HỌC PHẦN THỰC tập tốt NGHIỆP báo cáo bài THỰC HÀNH PHÂN TÍCH gói TIN NÂNG CAO

Giới thiệu Bài thực hành “Phân tích gói tin nâng cao” sẽ tìm hiểu một số vấn đề về việc phân tích gói tin của hệ thống mạng không dây khi bị tấn công..  Cài đặt chương trình Wireshark

HỌC PHẦN

THỰC TẬP TỐT NGHIỆP

BÁO CÁO BÀI THỰC HÀNH

PHÂN TÍCH GÓI TIN NÂNG CAO

Hà Nội, 2019

6.1 Phần cứng, phần mềm 3

6.2 Máy ảo và công cụ 3

7 Các nhiệm vụ cần thực hiện 3

Nhiệm vụ 1 Xác định BSSID, SSID 3

Nhiệm vụ 2 Mã hóa trong WLAN 1

Nhiệm vụ 3 Phân tích các trạm liên quan 3

Nhiệm vụ 4 Phân tích những dấu hiệu bất thường 5

Thông tin phiên bản bài thực hành

Phiên bản

Comment [LL1]: Nhiệm vụ thực hiện Comment [LL2]: Người thực hiện

1 Điều kiện tiên quyết

Không

2 Giới thiệu

Bài thực hành “Phân tích gói tin nâng cao” sẽ tìm hiểu một số vấn đề về việc phân tích gói tin của hệ thống mạng không dây khi bị tấn công

3 Kịch bản thực hành

Có 1 hệ thống mạng không dây của một công ty do A quản lý Một buổi tối,

A nhận thấy hệ thống mạng do anh ta quản lý bị tấn công và sau đó A không truy cập được vào giao diện quản lý WAP của mạng này nữa Tuy nhiên anh ta đã kịp thu thập luồng dữ liệu tấn công này (wlan.pcap) A cung cấp cho chúng ta gói tin wlan.pcap và cung cấp them thông tin địa chỉ MAC của A là 00:11:22:33:44:55 và khẳng định khi đó không ai khác sử dụng WAP này

4 Mục tiêu bài thực hành

Trình bày các mục tiêu của bài thực hành theo các gạch đầu dòng:

- BSSID, SSID của WAP là gì?

- WAP có sử dụng mã hóa không?

- Những trạm nào có trong mạng WLAN?

- Có gì bất thường trong hệ thống mạng?

5 Tổ chức thực hành

Yêu cầu thực hành: Thực hành độc lập

6 Môi trường thực hành

6.1 Phần cứng, phần mềm

6.2 Máy ảo và công cụ

- Cài 01 máy ảo Kali Linux trên phần mềm Vmware

7 Các nhiệm vụ cần thực hiện

Nhiệm vụ 1 Xác định BSSID, SSID

 Cài đặt chương trình Wireshark sau đó sử dụng Wireshark tiến hành mở gói tin cần phân tích (wlan.pcap)

 Sử dụng bộ lọc của Wireshark với nội dung wlan.fc.type_subtype==0x08

để tìm ra các khung Beacon.

 Sau khi sử dụng bộ lọc ta thu được kết quả như hình trên Chúng ta thu được những thông tin trong Beacon frame, BSSID của WAP là

“00:23:69:61:00:d0”, SSID là “Ment0rNet”, kênh hoạt động là 2

Nhiệm vụ 2 Mã hóa trong WLAN

 Để xác định các dữ liệu truyền trong WLAN có được mã hóa không, ta tiến hành lọc cái khung dữ liệu (Data frame) bằng bộ lọc

wlan.fc.type_subtype==0x20

(Data Frame), Subtype = 0, Bit Protected được thiết lập giá trị 1 Điều này chứng tỏ dữ liệu đã được mã hóa

liệu đã được mã hóa

Nhiệm vụ 3 Phân tích các trạm liên quan

 Khi các máy trạm muốn tiến hành kết nối tới WAP sẽ tiến hành gửi các Management frame là Association Request (subtype=0) và sẽ nhận được các Association Response (subtype=1) trả về Chúng ta sẽ sử dụng Wireshark để

lọc các Assosiation Response trả về wlan.fc.type_subtype==0x01

Quan sát thấy có 73 kết quả được trả về (Displayed-73) hoặc sử dụng tính

 Tiến hành phân tích 1 frame bất kỳ Ta thấy phần Status code: Successful (0x0000) Có nghĩa đây là một trạm đã tiến hành kết nối thành công tới WAP và nhận được Association Reponse trả về với code Successful (0x0000)

Thực tế, không phải kết nối nào đến WAP cũng thành công, do đó để lọc những kết nối thành công đến WAP chúng ta phải sử dụng thêm bộ lọc

wlan_mgt.fixed.status_code==0x0000 Chúng ta thu được 73 kết quả trả về, vậy

có thể kết luận không có kết nối nào thất bại đến WAP.

 Sử dụng tính năng Conversations tiến hành thống kê các địa chỉ và số lần kết nối Người dùng kết nối thành công 4 lần và một kết nối khác không rõ kết nối 68 lần

Nhiệm vụ 4 Phân tích những dấu hiệu bất thường

Sao chép file „wlan.pcap‟ vào hệ điều hành kali và sử dụng tshark để phân tích nhanh 1 số thông tin

- Số lượng khung dữ liệu được mã hóa:

Sử dụng câu lệnh:

tshark -r '/root/Desktop/wlan.pcap' '(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)'| wc –l

quan sát kết quả thu được 59274 khung dữ liệu bị mã hóa, trùng với kết quả sử dụng Wireshark ở trên

- Để biết số lượng khung dữ liệu được mã hóa gửi đi từ những địa chỉ nào

(sử dụng bộ lọc wlan.sa – source adress) sử dụng câu lệnh:

tshark -r '/root/Desktop/wlan.pcap' -Y '(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)' -T fields -e wlan.sa|sort|uniq -c|sort –nr

Chúng ta có thể thấy 1 trạm chưa rõ định danh (1c:4b:d6:69:cd:07) gửi khoảng gấp 3 lần số khung dữ liệu mà trạm của người dùng đã gửi

Địa chỉ “00:23:69:61:00:ce” chỉ khác byte cuối cùng so với BSSID Trên thực tế, WAP không chỉ cung cấp dịch vụ truy cập phân tán mà nó còn hoạt động như một trạm cung cấp các dịch vụ quản lý, DHCP, ghi log…Do vậy WAP của chúng ta sử dụng địa chỉ “00:23:69:61:00:d0” để cung cấp dịch vụ truy cập và sử dụng địa chỉ

“00:23:69:61:00:ce” để cung cấp các dịch vụ khác (DHCP, logging…)

- Số lượng khung dữ liệu được mã hóa gửi đi đến những địa chỉ nào (sử

dụng bộ lọc wlan.da – destination adress):

tshark -r '/root/Desktop/wlan.pcap' -Y '(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)' -T fields -e wlan.da|sort|uniq -c|sort -nr

Ta có thể nhận thấy khoảng 42837 khung dữ liệu mã hóa được gửi tới địa chỉ broadcast và chúng hầu hết được gửi từ 1c:4b:d6:69:cd:07

- Số lượng khung dữ liệu xét theo cả địa chỉ nguồn và địa chỉ đích:

tshark -r '/root/Desktop/wlan.pcap' -Y '(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)' -T fields -e wlan.sa -e wlan.da|sort|uniq -c|sort -nr

Nhận xét:

Trạm 1c:4b:d6:69:cd:07 gửi 42816 khung dữ liệu tới địa chỉ broadcast (ff:ff:ff:ff:ff:ff)

14076 và 858 khung dữ liệu được gửi giữa người dùng (00:11:22:33:44:55) và WAP (00:23:69:61:00:ce)

740 khung dữ liệu được gửi đi giữa de:ad:be:ef:13:37 và WAP (

00:23:69:61:00:ce)

Chúng ta đưa ra giả thuyết lý do cho việc gửi một số lượng lớn gói tin tới địa chỉ quảng bá:

- ARP request

- Tấn công phá khóa WEP Ở đây chúng ta nghiêng về giả thuyết này:

Giả thiết rằng 1c:4b:d6:69:cd:07 là nhân tố khả nghi Sử dụng tshark để lưu lại

toàn bộ hoạt động từ trạm này

tshark -r '/root/Desktop/wlan.pcap' -Y '(wlan.sa==1c:4b:d6:69:cd:07)' -T fields -e wlan.fc.type -e wlan.fc.subtype | sort -n| uniq -c| sort –

nr

42816 khung dữ liệu

77 yêu cầu xác thực

69 yêu cầu kết nối

Để tiến hành lấy khóa từ WEP chúng ta sẽ sử dụng aircrack Aircrack-ng là bộ chương trình được viết với mục đích công phá khóa mạng WEP, WPA-PSK và được tích hợp sẵn trên Kali Linux Sử dụng câu lệnh:

#aircrack-ng -b 00:23:69:61:00:d0 '/root/Desktop/wlan.pcap'

Khóa thu được [D0:E5:9E:B9:04], tấn công thành công

Kết luận :Mạng của người dùng bị tổn hại, WEP thực sự bị bẻ khóa do vậy khóa WEP cần thay đổi

Chúng ta sử dụng Wireshark để tiến hành giải mã nội dung các gói tin với khóa thu được [D0:E5:9E:B9:04] Vào Edit->Preferences->Protocol->IEEE 802.11

Trước lúc giải mã:

Sau khi điền khóa thu được, các khung dữ liệu (Data frame) sẽ được tiến hành giải mã:

Tiến hành kiểm tra các thông tin sau khi giải mã, ta thấy máy có địa chỉ MAC de:ad:be:ef:13:37 tương ứng với địa chỉ IP 192.168.1.109, MAC 00:23:69:61:00:ce có địa chỉ IP 192.168.1.1 Sử dụng bộ lọc để xem các trao đổi giữa 2 địa chỉ trên:

Tiếp tục sử dụng Follow TCP Stream ta dễ dàng thấy được de:ad:be:ef:13:17 đã thực hiện xác thực sử dụng HTTP Basic Access Authentication Thông tin được dùng để xác thực là YWRtaW46YWRtaW4= (đã

bị mã theo base64)

Thực hiện giải mã thông tin trên thu được thông tin xác thực có username=admin và password=admin