Áp dụng những kỹ thuật về an toàn bảo mật thông tin trên môi trường mạng, hãy thực hiện mô tả, phân tích gói tin bằng phần mềm Wireshark để làm rõ các bước các như: giao thức TCPIP UDP, gói tin, địa chỉ nguồn, địa chỉ đích, thời gian luân chuyển của gói

Sử dụng phần mềm Wireshark để thực hiện mô tả, phân tích gói tin thông qua đó ta có thể làm rõ các vấn đề về: TCPIP, gói tin, địa chỉ nguồn, địa chỉ đích, thời gian luân chuyển giữa các gói tin. Wireshark là một ứng dụng dùng để bắt (capture), phân tích và xác định các vấn đề liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy cập bất thường. Phần mềm này cho phép quản trị viên hiểu sâu hơn các Network Packets đang chạy trên hệ thống, qua đó dễ dàng xác định các nguyên nhân chính xác gây ra lỗi.

TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

-

ĐỀ BÀI: Áp dụng những kỹ thuật về an toàn bảo mật thông tin trên môi trường mạng, hãy thực hiện mô tả, phân tích gói tin bằng phần mềm Wireshark để làm rõ các bước các như: giao thức TCP/IP - UDP, gói tin, địa chỉ nguồn,

địa chỉ đích, thời gian luân chuyển của gói tin.

Họ Và Tên Sinh Viên: Nguyễn Văn Tùng

Mã Sinh Viên: 1911060858

Lớp: ĐH9C5

Học phần:

Giảng Viên Hướng Dẫn:

Hà Nội, Năm 2022

LỜI CẢM ƠN

PHẦN 1: GIỚI THIỆU

1 Mục đích

Sử dụng phần mềm Wireshark để thực hiện mô tả, phân tích gói tin

có thể làm rõ các vấn đề về: TCP/IP, gói tin, địa chỉ nguồn, địa chỉ

chuyển giữa các gói tin

2 Môi trường sử dụng:

Hệ điều hành: Microsoft Windows 7, 8, 10

Các công cụ sử dụng: Wireshark

3 Tổng quan về Wireshark

Wireshark là một ứng dụng dùng để bắt (capture), phân tích và xác

liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy

mềm này cho phép quản trị viên hiểu sâu hơn các Network Packets đang chạy trên hệ thống, qua đó dễ dàng xác định các nguyên nhân chính xác gây ra lỗi

Thân thiện với người dùng: Giao diện của Wireshark là một trong

phần mềm phân tích gói dễ dùng nhất Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu

Đây là một phần mềm mã nguồn mở, được cấp phép GPL, và do đó

dụng, tự do chia sẻ và sửa đổi

Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt

nhất của các dự án mã nguồn mở

Đa nền tảng: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay

4 Một số tính năng nâng cao của wireshark

-Name Resolution

Dữ liệu truyền trong mạng thông qua một vài hệ thống địa chỉ, các

thường dài và khó nhớ (Ví dụ: MAC) Phân giải điạch chỉ là quá trình

mà một giao thức sử dụng để chuyển đổi một địa chỉ loại này thành một địa chỉ loại khác đơn giản hơn Chúng ta

có thể tiết kiệm thời gian bằng cách sử dụng một vài công cụ phân giải địa chỉ để file dữ liệu ta bắt được dễ đọc hơn Ví dụ như là chúng

ta có thể sử dụng phân giải tên DNS để giúp định danh tên của một máy tính mà ta đang có gắng xác định như là nguồn của các gói cụ thể

-Các kiểu công cụ phân giải tên trong Wireshark: có 3 loại

MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP

Nếu việc phân giải này lỗi, Wireshark sẽ chuyển 3 byte đầu tiên của địa chỉ MAC sang tên hãng sản xuất đã được IEEE đặc tả, ví dụ: Netgear_01:02:03

Network Name Resolution: chuyển đổi địa chỉ tầng 3 sang một tên

đọc như là MarketingPC1

Transport Name Resolution: chuyển đổi một cổng sang một tên

tương ứng với nó, ví dụ: cổng 80 là http

Protocol Dissection

Một protocol dissector cho phép Wireshark phân chia một giao thức

thành phần để phân tích ICMP protocol dissector cho phép Wireshark

được và định dạng chúng như là một gói tin ICMP Bạn có thể nghĩ

là một bộ phiên dịch giữa dòng dữ liệu trên đường truyền và chương

mục đích để hỗ trợ một giao thức nào đó, một dessector cho giao

trong Wireshark Wireshark sử dụng đồng thời vài dissector để phiên

quyết định dissector nào được sử dụng bằng cách sử dụng phân tích

sẵn và thực hiện việc dự đoán Thật không may là Wireshark không

trong việc lựa chọn dissector phù hợp cho một gói tin Tuy nhiên, ta

chọn này trong từng trường hợp cụ thể

Following TCP Streams

Một trong những tính năng hữu ích nhất của Wireshark là khả năng

TCP như là ở tầng ứng dụng Tính năng này cho phép bạn phối hợp

quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm

dùng cuối nhìn thấy trong ứng dụng Còn hơn cả việc xem các dữ liệu

giữa máy trạm và máy chủ trong một mớ hỗn độn, tính năng này sắp

xem một cách đơn giản Bạn có thể sử dụng công cụ này để bắt và

messages được gửi bởi một người làm thuê (người này đang bị ghi

ngờ phát tán các thông tin tài chính của công ty)

Cửa sổ thống kê phân cấp giao thức

Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân

thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm

nhiêu phần trăm, Thay vì phải đếm từng gói tin để thu được kết

dụng cửa sổ thống kê phân cấp giao thức của Wireshark Đây là cách

mạng của bạn Ví dụ, nếu bạn biết rằng 10% lưu lượng mạng của bạn

lưu lượng ARP, và một ngày nào đó, bạn thấy lưu lượng ARP lên tới

thể hiểu rằng đang có một cái gì đó không ổn xảy ra

Xem các Endpoints

Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể Ví

endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và

192.168.1.5 và 192.168.0.8 Một ví dụ ở tầng 2 có thể là kết nối giữa

chỉ MAC của chúng Các NIC gửi và nhận dữ liệu, các MAC đó tạo nên

kết nối

Hàng ngày, có hàng triệu vấn đề lỗi trong một mạng máy tính, từ

nhiễm Spyware cho đến việc phức tạp như lỗi cấu hình router, và các

được xử lý tất cả lập tức Tốt nhất là chúng ta có thể hi vọng thực

cách chuẩn bị đầy đủ các kiến thức và các công cụ tương ứng với các vấn đề

Tất cả các vấn đề trên mạng đều xuất phát ở mức gói, nơi mà không

dấu đối với chúng ta, nơi mà không có thứ gì bị ẩn đi bởi các cấu trúc

bắt mắt hoặc là các nhân viên không đáng tin cậy Không có gì bí mật ở đây, và chúng ta có thể điều khiển được mạng và giải quyết các vấn đề Đây chính là thế giới của phân tích gói tin

5 Thế nào là phân tích gói tin?

Phân tích gói tin, thông thường được quy vào việc nghe các gói tin và

thức, mô tả quá trình bắt và phiên dịch các dữ liệu sống như là các

trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng

thường được thực hiện bởi một packet sniffer, một công cụ được sử

trên đang lưu chuyển trên đường dây Phân tích gói tin có thể giúp

mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng

thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng

phá hoại, và tìm ra các ứng dụng không được bảo mật Có một vài

gói tin, bao gồm cả miễn phí và sản phẩm thương mại Mỗi chương

các mục tiêu khác nhau Một vài chương trình nghe gói tin phổ biến

command-line program), OmniPeek, và Wireshark (cả hai đều là

đồ hoạ) Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm

các giao thức mà chương trình cần hỗ trợ, tính dễ sử dụng, chi phí, hỗ

chương trình hỗ trợ cho hệ điều hành nào

PHẦN 2: SỬ DỤNG WIRESHARK ĐỂ PHÂN TÍCH GÓI TIN

1 Phân tích quá trình PING:

Khởi động phần mềm Wireshark:

Tìm và chọn đến card mạng đang có luồng dữ liệu đang chạy (Ở đây

là WIFI)

Phân tích PING

Để bắt đầu quá trình PING thì chúng ta sẽ stop wireshark và start lại nó

Sau đó thực hiện lệnh ping đến địa chỉ ip “Default Gateway”:

192.168.1.1

Lọc dữ liệu “ icmp ”:

Bằng từ khóa “ icmp”

-Sau khi lọc dữ liệu xong thì chúng ta đã có thể đọc được 1 số thông tin như sau:

No: số thứ tự tập tin trong tập file capture hiện tại

Time: Thời gian tương đối mà gói tin này được bắt, tính từ lúc bắt đầu quá

trình bắt gói tin

Source: Địa chỉ ip nguồn của kết nối

Destination: Địa chỉ đích của kết nối

Protocal: giao thức kết nối của gói tin

Length: Chiều dài của gói tin

Info: Các thông tin liên quan đến gói tin

-Chúng ta có thể xem thông tin chi tiết loại gói tin của mình thì chúng

click vào 1 gói tin mà chúng ta muốn xem và ta sẽ xem được thêm những không tin khác về:

Frame

Ethernet II

Internet Protocal Version 4

Internet Control Message Protocal

2 Phân tích quá trình kết nối HTTP:

Kết nối tới trang web : http://dangky.hunre.edu.vn/

Phân tích kết nối DNS

Lọc ra dữ liệu tương ứng UDP/53 từ địa chỉ Ip máy tính 192.168.1.4

“DNS” hoặc “ ip.addr == 192.162.1.75 && dns”

-Thông tin chi tiết của gói tin như: Frame

Enthernet II

Internet Protocal Version 4

User Datagram Protocal

Domain Name System

Phân tích kết nối HTTP, tạo kết nối TCP đến máy chủ của website

http://dangky.hunre.edu.vn

Lọc luồng dữ liệu web bằng từ khóa “http”

Nhưng ở bước trên chúng ta chỉ có thể nhìn thấy luồng dữ liệu web

sẽ phải thay thế bằng từ khóa “ip.addr == 192.168.1.4 &&

118.70.128.93” để có thể thấy được gói bắt tay 3 bước với các file:

ACK], [ACK]

Địa chỉ ip 192.168.1.75: Là địa chỉ ip local

Địa chỉ ip 118.70.128.93: Là địa chỉ ip đích đến

Sau đó chúng ta muốn xem thông tin resquest và reponse cụ thể hơn

chuột phải vào protocol có giá trị là “HTTP” sau đó chọn phần

stream” hoặc “HTTP stream”

Phần chữ màu đỏ là phần request từ máy windows của mình gửi lên máy chủ

Phần chữ màu xanh chính là phần reponse được trả về cho chúng

ta từ server

Tài liệu tham khảo

[1] Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống

-Quantrimang.

[2] Huong dan thi nghiem wireshark – slideshare.

[3]https://123docz.net//document/5083341-phan-tich-goi-tin-bang-wiresharkicmp-ip-tcp-udp-arp-enthernet.htm.