II GIỚI THIỆU WIRESHARK WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark. WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm. Wireshark là công cụ dùng để phân tích các giao thức của mạng. Wireshark cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích VoIP.Wireshark có thể được sử dụng như một thiết bị giám sát những gì được truyền đường dây mạng tức là hoạt động giống như một chiếc Vôn kế trên đường dây điện.
Trang 1TÌM HIỂU WIRESHARK CÔNG CỤ HỖ TRỢ BẢO MẬT MẠNG NỔI TIẾNG (TÊN GỌI TRƯỚC ĐÂY:
ETHEREAL)
Trang 2Giới thiệu
về Wire shark
Cách làm việc của Wire sark
Các tình huống với Wire sark
an ninh mạng
cơ bản
Trang 4I - CÁC CÁCH THỨC NGHE GÓI
TIN TRÊN MẠNG
2- Các cách thức nghe gói tin trên mạng
- Living Promiscuously (chế độ bắt tất cả các gói tin đi qua)
- “Nghe” trong mạng có Hub
- “Nghe” trong mạng Switched
- Nghe trong mạng sử dụng Router
Trang 5II – GIỚI THIỆU VỀ WIRESHARK
1- Khái niệm
Wireshark là công cụ dùng để phân tích các giao thức của mạng Wireshark cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích VoIP
-Thân thiện với người dùng-Giá rẻ
-Hỗ trợ-Hệ điều hành hỗ trợ Wireshark
Trang 6II – GIỚI THIỆU VỀ WIRESHARK
2- Một số tính năng nâng cao của Wireshark
Trang 7II – GIỚI THIỆU VỀ WIRESHARK
3- Cài đặt
- Download : https://www.wireshark.org/#download
- Bản cập nhật mới nhất : Wireshark-win64-2.0.0_2.exe
Trang 8II – GIỚI THIỆU VỀ WIRESHARK
Trang 9II – GIỚI THIỆU VỀ WIRESHARK
Trang 16II – GIỚI THIỆU VỀ WIRESHARK
4- Giao diện người dùng
- Giao diện chính của Wireshark
Trang 17II – GIỚI THIỆU VỀ WIRESHARK
Giao diện khi gói tin được bắt và hiển thị
Trang 18II – GIỚI THIỆU VỀ WIRESHARK
Giao diện của Wireshark gồm có các phần sau:
1.Title bar 2.Thanh Menu 3.Thanh công cụ chính (Main Toolbar) 4.Thanh công cụ chính (Main Toolbar) 5.Ô liệt kê gói tin (Packet list pane)
6.Ô chi tiết gói tin (Packet details pane) 7.Ô mã nhị phân gói tin (Packet bytes pane) 8.Thanh trạng thái (Status bar)
Trang 19III – CÁCH LÀM VIỆC CỦA WIRESHARK
Khởi động trình duyệt web yêu thích của bạn, mà sẽ hiển thị trang web lựa chọn của bạn
Khởi động phần mềm Wireshark
Để bắt đầu bắt gói tin, click chọn Capture
Để lựa chọn các tùy chỉnh khác nhau, bạn cần click vào Options và đây là cửa sổ tùy chỉnh:
Trang 20III – CÁCH LÀM VIỆC CỦA WIRESHARK
Trang 21 Khi bạn bắt đầu bắt gói tin, một cửa sổ gói tin tóm tắt chụp sẽ xuất hiện, cửa sổ này tóm tắt số lượng các loại gói tin khác nhau đang bị bắt, và nút Stop đó sẽ cho phép bạn chặn bắt gói tin.
Trang 22III – CÁCH LÀM VIỆC CỦA WIRESHARK
VD: nhập địa chỉ URL: http://vnexpress.net vào trình duyệt của bạn, Wireshark
sẽ bắt và ghi lại Lựa chọn stop sẽ hiển thị cửa sổ chặn bắt gói tin
Trang 23III – CÁCH LÀM VIỆC CỦA WIRESHARK
Để hiện thị rõ ràng và cụ thể hơn, bạn có Click chuột phải vào khung hiển thị các gói tin bị chặn bắt, chọn Follow TCP Stream
Thoát Wireshark click vào “Close”
Trang 24IV – CÁC TÌNH HUỐNG VỚI WIRESHARK
1 A Lost TCP Connection (mất kết nối TCP)
Một trong các vấn đề phổ biến nhất là mất kết nối mạng.Chúng ta sẽ bỏ qua nguyên nhân tại sao kêt nối bị mất, chúng ta sẽ nhìn hiện tượng đó ở mức gói tin
2 Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối và các mã ICMP)
Một trong các công cụ khi kiểm tra kết nối mạng là công cụ ICMP ping Nếu mục tiêu trả lời lại là bạn đã ping thành công, không sẽ nhận được thông báo không thể kết nối tới máy đích
Trang 25IV – CÁC TÌNH HUỐNG VỚI WIRESHARK
3 Unreachable Port (không thể kết nối tới cổng)
Một trong các nhiệm vụ thông thường khác là kiểm tra kết nối tới một cổng trên một máy đích Việc kiểm tra này sẽ cho thấy cổng cần kiểm tra có mở hay không, có sẵn sang nhận các yêu cầu gửi đến hay không Ví dụ, để kiểm tra dịch vụ FTP có chạy trên một server hay không, mặc định FTP sẽ làm việc qua cổng 21 ở chế độ thông thường Ta sẽ gửi gói tin ICMP đến cổng
21 của máy đích, nếu máy đích trả lời lại gói ICMP loại o và mã lỗi 2 thì có nghĩa là không thể kết nối tới cổng đó
Trang 26IV – CÁC TÌNH HUỐNG VỚI WIRESHARK
4 Fragmented Packets
Ở đây có thể thấy kích thước gói tin ghi nhận được lớn hơn kích thước gói tin mặc định gửi đi khi ping là 32 bytes tới một máy tính chạy Windows
Trang 27IV – CÁC TÌNH HUỐNG VỚI WIRESHARK
5 Determining Whether a Packet Is Fragmented (xác định vị trí gói tin
bị phân đoạn) 6.No Connectivity (không kết nối) 7.The Ghost in Internet Explorer (con ma trong trình duyệt IE) 8.Lỗi kết nối FTP
Trang 28V – MỘT SỐ TÌNH HUỐNG AN NINH MẠNG
CƠ BẢN
1 OS Fingerprinting (Nhận dạng OS)
OS Fingerprinting là một kỹ thuật phổ biến được các haker sử dụng để thu
thập các thông tin về server từ xa, từ đó có những thông tin hữu ích để thực hiện các bước tấn công tiếp theo
2 A Simple Port Scan (quét cổng ở dạng đơn giản)
Một trong các chương trình quét port nhanh và phổ biến nhất là: nmap Mục tiêu của người tấn công:
- Tìm các port mở
- Xác định các tunnel bí mật
Trang 29V – MỘT SỐ TÌNH HUỐNG AN NINH MẠNG
CƠ BẢN
3 Blaster Worm (Sâu Blaster)
Ví dụ: Máy tính phía client hiển thị của sổ thông báo shutdown máy trong
vòng 60s Các thông báo này xuất hiện liên tục