II GIỚI THIỆU WIRESHARK WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark. WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm. Wireshark là công cụ dùng để phân tích các giao thức của mạng. Wireshark cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích VoIP.Wireshark có thể được sử dụng như một thiết bị giám sát những gì được truyền đường dây mạng tức là hoạt động giống như một chiếc Vôn kế trên đường dây điện.
Trang 1KHOA: CÔNG NGHỆ THÔNG TIN
Nhóm 7: Tin kinh tế - K56
BÀI TẬP LỚN
ĐỀ TÀI: Tìm hiểu Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng
(tên gọi trước đây: Ethereal).
Nguyễn Thị Huế : 1121050216 TS : Lê Thanh Huệ
Hà Nội: 12 / 2015
Trang 2MỤC LỤC
LỜI MỞ ĐẦU 4
I- CÁC CÁCH THỨC NGHE GÓI TIN TRÊN MẠNG 6
1- Living Promiscuously (chế độ bắt tất cả các gói tin đi qua) 7
2- “Nghe” trong mạng có Hub 7
3- “Nghe” trong mạng Switched 7
4- Nghe trong mạng sử dụng Router 9
II- GIỚI THIỆU WIRESHARK 11
1- Mục đích sử dụng 13
2- Một số tính năng nâng cao của Wireshark 13
III- CÀI ĐẶT WIRESHARK 17
IV- GIAO DIỆN NGƯỜI DÙNG 27
1- Title bar 28
2- Thanh Menu 28
3- Thanh công cụ chính (Main Toolbar) 29
4- Thanh lọc (Filter toolbar): 29
5- Ô liệt kê gói tin (Packet list pane) 29
6- Ô chi tiết gói tin (Packet details pane) 30
7- Ô mã nhị phân gói tin (Packet bytes pane) 30
8- Thanh trạng thái (Status bar) 30
V- THU THẬP ĐỘNG DỮ LIỆU TRONG MẠNG 31
VI- CÁC TÌNH HUỐNG VỚI WIRESHARK 35
1- A Lost TCP Connection (mất kết nối TCP) 35
2- Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối và các mã ICMP) 37
3- Unreachable Port (không thể kết nối tới cổng) 38
4- Fragmented Packets 38
5- Determining Whether a Packet Is Fragmented (xác định vị trí gói tin bị phân đoạn) 39
6- No Connectivity (không kết nối) 39
7- The Ghost in Internet Explorer (con ma trong trình duyệt IE) 41
8- Lỗi kết nối FTP 44
VII- XỬ LÍ CÁC TÌNH HUỐNG MẠNG VỚI WIRESHARK 47
1- Anatomy of a Slow Download (cốt lõi của việc download chậm) 47
Trang 32- Did That Server Flash Me? 51
3- POP Goes the Email Server 53
VIII- MỘT SỐ TÌNH HUỐNG AN NINH MẠNG CƠ BẢN 55
1- OS Fingerprinting (Nhận dạng OS) 55
2- A Simple Port Scan (quét cổng ở dạng đơn giản) 56
3- Blaster Worm (Sâu Blaster) 57
TÀI LIỆU THAM KHẢO 60
KẾT LUẬN 61
Trang 4LỜI MỞ ĐẦU
Hàng ngày, có hàng triệu vấn đề lỗi trong một mạng máy tính, từ việc đơn giản
là nhiễm Spyware cho đến việc phức tạp như lỗi cấu hình router, và các vấn đề nàykhông thể được xử lý tất cả lập tức Tốt nhất là chúng ta có thể hi vọng thực hiện côngviệc đó bằng cách chuẩn bị đầy đủ các kiến thức và các công cụ tương ứng với cácvấn đề Tất cả các vấn đề trên mạng đều xuất phát ở mức gói, nơi mà không có gìđược che dấu đối với chúng ta, nơi mà không có thứ gì bị ẩn đi bởi các cấu trúc menu,các hình ảnh bắt mắt hoặc là các nhân viên không đáng tin cậy Không có gì bí mật ởđây, và chúng ta có thể điều khiển được mạng và giải quyết các vấn đề Đây chính làthế giới của phân tích gói tin
Phân tích gói tin, thông thường được quy vào việc nghe các gói tin và phân tíchgiao thức, mô tả quá trình bắt và phiên dịch các dữ liệu sống như là các luồng đanglưu chuyển trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng Phântích gói tin thường được thực hiện bởi một packet sniffer, một công cụ được sử dụng
để bắt dữ liệu thô trên đang lưu chuyển trên đường dây Phân tích gói tin có thể giúpchúng ta hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụngbăng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra cáckhả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảomật Có một vài kiểu chương trình nghe gói tin, bao gồm cả miễn phí và sản phẩmthương mại Mỗi chương trình được thiết kế với các mục tiêu khác nhau Một vàichương trình nghe gói tin phổ biến như là Tcpdump (a command-line program),OmniPeek, và Wireshark (cả hai đều là chương trình có giao diện đồ hoạ) Khi lựachọn chương trình nghe gói tin, ta cần phải quan tâm đến một số vấn đề: các giao thức
mà chương trình cần hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật và chương trình
hỗ trợ cho hệ điều hành nào, và Wireshark chính là phần mềm đáp ứng được nhữngmong muốn đó Vì vậy chúng em cùng nhau nghiên cứu và tìm hiểu về phần mềm
Trang 5Wireshark, với mong muốn giới thiệu một chương trình điển hình với nhiều tính năngmạnh hỗ trợ việc bắt và phân tích gói tin cho tất cả mọi người.
BẢNG PHÂN CÔNG CÔNG VIỆC
Nguyễn Thị Huế: - Tìm hiểu về Wireshark, và những tình huống thường
gặp khi làm việc với Wireshark và xử lý chúng
- Làm Word
- Cài đặt WiresharkTrần Quang Huy: - Tìm hiểu về các cách thức nghe gói tin, Wireshark và
những tình huống an ninh mạng cơ bản
- Làm Slide
- Cài đặt Wireshark
Trang 6I- CÁC CÁCH THỨC NGHE GÓI TIN TRÊN MẠNG
Các bước để nghe gói tin:
Quá trình nghe gói tin được chia làm 3 bước: thu thập dữ liệu, chuyển đổi dữ liệu
và phân tích
- Thu thập dữ liệu: đây là bước đầu tiên, chương trình nghe gói tin chuyển giao
diện mạng được lựa chọn sang chế độ Promiscuous Chế độ này cho phépcard mạng có thể nghe tất cả các gói tin đang lưu chuyển trên phân mạng của
nó Chương trình nghe gói sử dụng chế độ này cùng với việc truy nhập ở mứcthấp để bắt các dữ liệu nhị phân trên đường truyền
- Chuyển đổi dữ liệu: trong bước này, các gói tin nhị phân trên được chuyển
đổi thành các khuôn dạng có thể đọc được
- Phân tích: phân tích các gói tin đã được chuyển đổi.
Để thực hiện việc bắt các gói tin trên mạng, ta phải chỉ ra những vị trí tương ứng
để đặt “máy nghe” vào hệ thống đường truyền của mạng Quá trình này đơn giản làđặt “máy nghe” vào đúng vị trí vật lý nào trong một mạng máy tính Việc nghe cácgói tin không đơn giản chỉ là cắm một máy xách tay vào mạng và bắt gói Thực tế,nhiều khi việc đặt máy nghe vào mạng khó hơn việc phân tích các gói tin Tháchthức của việc này là ở chỗ là có một số lượng lớn các thiết bị mạng phần cứng được
sử dụng để kết nối các thiết bị với nhau Lý do là vì 3 loại thiết bị chính (hub, switch,router) có nguyên lý hoạt động rất khác nhau Và điều này đòi hỏi ta phải nắm rõđược cấu trúc vật lý của mạng mà ta đang phân tích Chúng ta sẽ nghiên cứu một sốmạng thực tế để chỉ ra cách tốt nhất để bắt các gói tin trong từng môi trường mạng sửdụng Hub, Switch và Router
Trang 71- Living Promiscuously (chế độ bắt tất cả các gói tin đi qua).
Trước khi nghe các gói tin trên mạng, ta cần một card mạng có hỗ trợ chế độPromiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy thất cả các gói tin
đi qua hệ thống dây mạng Khi một card mạng không ở chế độ này, nó nhìn thấy một
số lượng lớn các gói tin trên mạng nhưng không gửi cho nó, nó sẽ huỷ (drop) các góitin này Khi nó ở chế độ Promiscuous, nó bắt tất cả các gói tin và gửi toàn bộ tớiCPU
2- “Nghe” trong mạng có Hub.
Việc nghe trong một mạng có hub là một điều kiện trong mơ cho việc phân tíchgói tin Cơ chế hoạt động của Hub cho phép gói tin được gửi tất cả các cổng của hub.Hơn nữa, để phân tích một máy tinh trên một hub, tất cả các công việc mà bạn cầnlàm là cắm máy nghe vào một cổng còn trống trên hub Bạn có thể nhìn thấy tất cảcác thông tin truyền và nhận từ tất cả các máy đang kết nối với hub đó, của sổ tầmnhìn của bạn không bị hạn chế khi mà máy nghe của bạn được kết nối với một mạnghub
3- “Nghe” trong mạng Switched.
Một môi trường switched là kiểu mạng phổ biến mà bạn làm việc Switch cungcấp một phương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast,multicast Switch cho phép kết nối song cổng (full-duplex), có nghĩa là máy trạm cóthể truyền và nhận dữ liệu đồng thời từ switch Khi bạn cắm một máy nghe vào mộtcổng của switch, bạn chỉ có thể nhìn thấy các broadcast traffic và những gói tin gửi
và nhận của máy tính mà bạn đang sử dụng Có 3 cách chính để bắt được các gói tin
từ một thiết bị mục tiêu trên mạng switch: port mirroring, ARP cache poisoning vàhubbing out
Trang 8Port Mirroring
Port mirroring hay còn gọi là port spanning có thể là cách đơn giản nhất để bắtcác lưu lượng từ thiết bị mục tiêu trên mạng switch Với cách này, bạn phải truy cậpđược giao diện dòng lệnh của switch mà máy mục tiêu cắm vào Tất nhiên là switchnày phải hỗ trợ tính năng port mirroring và có một port trống để bạn có thể cắm máynghe vào Khi ánh xạ cổng, bạn đã copy toàn bộ lưu lượng đi qua cổng này sang mộtcổng khác
Hubbing Out
Một cách đơn giản khác để bắt các lưu lượng của thiết bị mục tiêu trong mộtmạng switch là hubbing out Hubbing out là kỹ thuật mà trong đó bạn đặt thiết bịmục tiêu và máy nghe vào cùng một phân mạng bằng cách đặt chúng trực tiếp vàomột hub
Rất nhiều người nghĩ rằng hubbing out là lừa dối, nhưng nó thật sự là một giảipháp hoàn hảo trong các tình huống mà bạn không thể thực hiện port mirroringnhưng vẫn có khả năng truy cập vật lý tới switch mà thiết bị mục tiêu cắm vào Trong hầu hết các tình huống, hubbing out sẽ giảm tính năng song công của thiết
bị mục tiêu (full to haft) Trong khi phương thức này không phải là cách sạch sẽ nhất
để nghe, và nó thường được bạn sử dụng như là một lựa chọn khi mà switch không
Trang 9ARP Cache Poisoning
Địa chỉ tầng 2 (địa chỉ MAC) được sử dụng chung với hệ thống hệ thống địa chỉtầng 2 Tất cả các thiết bị trong một mạng liên lạc với nhau thông qua địa chỉ IP Doswitch làm việc tại tầng 2, vì vậy nó phải có khả năng phiên dịch địa chỉ tầng 2(MAC) sang địa chỉ tầng 3 (IP) hoặc ngược lại để có thể chuyển tiếp gói tin tới thiết
bị tương ứng Quá trình phiên dịch được thực hiện thông qua một giao thức tầng 3 làARP (Address Resolution Protocol) Khi một máy tính cần gửi dữ liệu cho một máykhác, nó gửi một yêu cầu ARP tới switch mà nó kết nối Switch đó sẽ gửi một góiARP broadcast tới tất cả các máy đang kết nối với nó để hỏi Khi mà máy đích nhậnđược gói tin này, nó sẽ thông báo cho switch bằng cách gửi địa chỉ MAC của nó Saukhi nhận được gói tin phản hồi, Switch định tuyến được kết nối tới máy đích Thôngtin nhận được được lưu trữ trong ARP cache của switch và switch sẽ không cần phảigửi một thông điệp ARP broadcast mới mỗi lần nó cần gửi dữ liệu tới máy nhận ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đường truyềntrong một mạng switch Nó được sử dụng phổ biến bởi hacker để gửi các gói tin địachỉ sai tới máy nhận với mục tiêu để nghe trộm đường truyền hiện tại hoặc tấn công
từ chối dịch vụ, nhưng ARP cache poisoning chỉ có thể phục vụ như là một cách hợppháp để bắt các gói tin của máy mục tiêu trong mạng switch ARP cache poisoning làquá trình gửi một thông điệp ARP với địa chỉ MAC giả mạo tới switch hoặc routernhằm mục đích nghe lưu lượng của thiết bị mục tiêu Có thể sử dụng chương trinhCain & Abel để thực hiện việc này (http://www.oxid.it)
4- Nghe trong mạng sử dụng Router.
Tất cả các kỹ thuật nghe trong mạng switch đều có thể được sử dụng trong mạngrouter Chỉ có một việc cần quan tâm khi mà thực hiện với mạng router là sự quantrọng của việc đặt máy nghe khi mà thực hiện xử lý một vấn đề liên quan đến nhiềuphân mạng Broadcast domain của một thiết bị được mở rộng cho đến khi nó gặprouter Khi đó, lưu lượng sẽ được chuyển giao sang dòng dữ liệu router tiếp theo vàbạn sẽ mất liên lạc với các gói tin đó cho đến khi bạn nhận được một ACK của cácmáy nhận trả về Trong tình huống này, dữ liệu sẽ lưu chuyển qua nhiều router, vì
Trang 10vậy rất quan trọng để thực hiện phân tích tất cả lưu lượng trên các giao diện củarouter
(Ví dụ, liên quan đến vấn đề liên kết, bạn có thể gặp phải một mạng với một sốphân mạng được kết nối với nhau thông qua các router Trong mạng đó, một phânmạng liên kết với một phân mạng với mục đích lưu trữ và tham chiếu dữ liệu Vấn đề
mà chúng ta đang cố gắng giải quyết là phân mạng D không thể kết nối với các thiết
bị trong phân mạng A.Khi mà bạn nghe lưu lượng của một thiết bị trong phân mạng
D Khi đó, bạn có thể nhìn tháy rõ ràng lưu lượng truyền tới phân mạng A, nhưngkhông có biên nhận (ACK) nào được gửi lại Khi bạnnghe luồng lưu lượng ở phânmạng cấp trên để tìm ra nguyên nhân vấn đề, bạn tìm ra rằng lưu lượng bị huỷ bởirouter ở phân mạng B Cuối cùng dẫn đến việc bạn kiểm tra cấu hình của router, nếuđúng, hãy giải quyết vấn đề đó của bạn Đó là một ví dụ điển hình lý do vì sao cầnnghe lưu lượng của nhiều thiết bị trên nhiều phân mạng với mục tiêu xác định chínhxác vấn đề.)
Network Maps
Để quyết định việc đặt máy nghe ở đâu, cách tốt nhất là bạn phải biết được mộtcách rõ ràng mạng mà bạn định phân tích Nhiều khi việc xác định vấn đề đã chiếmnửa khối lượng công việc trong việc xử lý sự cố
Trang 11II- GIỚI THIỆU WIRESHARK
WireShark có một bề dầy lịch sử Gerald Combs là người đầu tiên phát triển phầnmềm này Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998 Támnăm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theođuổi một cơ hội nghề nghiệp khác Thật không may, tại thời điểm đó, ông không thểđạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệuEthereal Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng mộtthương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark
WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lêntới 500 cộng tác viên Sản phẩm đã tồn tại dưới cái tên Ethereal không được pháttriển thêm
Wireshark là công cụ dùng để phân tích các giao thức của mạng Wireshark cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích VoIP.Wireshark có thể được sử dụng như một
thiết bị giám sát những gì được truyền đường dây mạng - tức là hoạt động giống nhưmột chiếc Vôn kế trên đường dây điện
Trước đây, những công cụ như vậy hoặc đắt tiền hoặc độc quyền nhưng
Wireshark lại là phần mềm mã nguồn mở phân tích gói tin tốt nhất hiện nay Phiên bản mới nhất của Wireshark có thể tải từ website:
https://www.wireshark.org/#download
Dữ liệu có thể bắt được thông qua giao diện đồ hoạ hoặc qua TTY-mode của tiệních TShark Wireshark có thể đọc/ghi nhiều dạng file như tcpdump (libpcap),Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor,Network General Sniffer®, … Dữ liệu nén dạng gzip bắt được có thể giải nén
Trang 12ngay lập tức, ngoài ra Wireshark cũng cung cấp nhiều phương thức giải nén chonhiều phương thức khác như IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP,
… Wireshark có hỗ trợ nhiều quy tắc tô màu cho các phương thức khác nhau, giúpbạn phân tích chúng trực quan hơn.Wireshark làm việc với nhiều loại kết nối mạng,bao gồm Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring,Frame Relay, FDDI, …
Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay Nó cóthể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa
ra nhiều tính năng để thu hút mỗi đối tượng khác nhau
Các giao thức được hỗ trợ bởi WireShark:
WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ nhữngloại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent
Và cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thứcmới sẽ được thêm vào Và có thể nói rằng không có giao thức nào mà Wiresharkkhông thể hỗ trợ
- Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao
diện phần mềm phân tích gói dễ dùng nhất Wireshark là ứng dụng đồ hoạ với hệthống menu rất rõ ràng và được bố trí dễ hiểu Không như một số sản phẩm sửdụng dòng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thậttuyệt vời cho những ai đã từng nghiên cứu thế giới của phân tích giao thức
- Giá rẻ: Wireshark là một sản phẩm miễn phí GPL Bạn có thể tải về và sử dụng
Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại
- Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng
động nhất của các dự án mã nguồn mở
- Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều
hành hiện nay
Trang 131- Mục đích sử dụng
• Người quản trị mạng khắc phục lỗi mạng
• Kĩ sư an ninh mạng xem xét các vấn đề bảo mật
• Người phát triển phân tích và gỡ rối hoạt động của các giao thức
• Người dùng nghiên cứu bản chất giao thức mạng
Các kiểu công cụ phân giải tên trong Wireshark: có 3 loại
MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP tầng 3 Nếu
việc phân giải này lỗi, Wireshark sẽchuyển 3 byte đầu tiên của địa chỉ MAC sangtên hãng sản xuất đã được IEEE đặc tả, ví dụ: Netgear_01:02:03
Network Name Resolution: chuyển đổi địa chỉ tầng 3 sang một tên DNS dễ đọc
như là MarketingPC1
Transport Name Resolution: chuyển đổi một cổng sang một tên dịch vụ tương
ứng với nó, ví dụ: cổng 80 là http
Trang 14b- Protocol Dissection
Một protocol dissector cho phép Wireshark phân chia một giao thức thành một sốthành phần để phân tích ICMP protocol dissector cho phép Wireshark phân chia dữliệu bắt được và định dạng chúng như là một gói tin ICMP Bạn có thể nghĩ rằng mộtdissector như là một bộ phiên dịch giữa dòng dữ liệu trên đường truyền và chươngtrình Wireshark Với mục đích để hỗ trợ một giao thức nào đó, một dessector chogiao thức đó phải được tích hợp trong Wireshark Wireshark sử dụng đồng thời vàidissector để phiên dịch mỗi gói tin Nó quyết định dissector nào được sử dụng bằngcách sử dụng phân tích lôgic đã được cài đặt sẵn và thực hiện việc dự đoán Thậtkhông may là Wireshark không phải lúc nào cũng đúng trong việc lựa chọn dissectorphù hợp cho một gói tin Tuy nhiên, ta có thể thay đổi việc lựa chọn này trong từngtrường hợp cụ thể
c- Following TCP Streams
Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòngTCP như là ở tầng ứng dụng Tính năng này cho phép bạn phối hợp tất cả các thôngtin liên quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm chứagiống như là người dùng cuối nhìn thấy trong ứng dụng Còn hơn cả việc xem các dữliệu đang được truyền giữa máy trạm và máy chủ trong một mớ hỗn độn, tính năngnày sắp xếp dữ liệu để có thể xem một cách đơn giản Bạn có thể sử dụng công cụnày để bắt và giải mã một phiên instant messages được gửi bởi một người làm thuê(người này đang bị nghi ngờ phát tán các thông tin tài chính của công ty)
d- Cửa sổ thống kê phân cấp giao thức
Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân bố các giaothức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và DHCP
là bao nhiêu phần trăm, Thay vì phải đếm từng gói tin để thu được kết quả, chúng
ta có thể sử dụng cửa sổ thống kê phân cấp giao thức của Wireshark Đây là cáchtuyệt với để kiểm thử mạng của bạn Ví dụ, nếu bạn biết rằng 10% lưu lượng mạngcủa bạn được sử dụng bởi các lưu lượng ARP, và một ngày nào đó, bạn thấy lưulượng ARP lên tới 50%, bạn hoàn toàn có thể hiểu rằng đang có một cái gì đó không
ổn xảy ra
Trang 15e- Xem các Endpoints
Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể Ví dụ, có haiendpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và nhận dữ liệu,192.168.1.5 và 192.168.0.8 Một ví dụ ở tầng 2 có thể là kết nối giữa hai NIC vật lý
và địa chỉ MAC của chúng Các NIC gửi và nhận dữ liệu, các MAC đó tạo nên cácendpoint trong kết nối
Khi thực hiện phân tích gói tin, bạn có thể nhận ra rằng bạn đã khoanh vùng vấn
đề chỉ còn là một enpoint cụ thể trong mạng Hộp thoại Wireshark endpoints chỉ ramột vài thống kê hữu ích cho mỗi endpoint, bao gồm các địa chỉ của từng máy cũngnhư là số lượng các gói tin và dung lượng đã được truyền nhận của từng máy
Trang 16f- Cửa số đồ thị IO
Cách tốt nhất để hình dung hướng giải quyết là xem chúng dưới dạng hình ảnh.Cửa sổ đồ thị IO của Wireshark cho phép bạn vẽ đồ thị lưu lượng dữ liệu trên mạng.Bạn có thể sử dụng tính năng này để tìm kiếm các đột biến hoặc những thời điểmkhông có dữ liệu truyền của các giao thức cụ thể mà bạn đang quan tâm Bạn có thể
vẽ đồng thời 5 đường trên cùng một đồ thị cho từng giao thức mà bạn quan tâm bằngcác màu khác nhau Điều này giúp bạn dễ dàng hơn để thấy sự khác nhau của các đồthị
Trang 17III- CÀI ĐẶT WIRESHARK
Wireshark là một ứng dụng mã nguồn mở và có thể download miễn phí tại trang
https://www.wireshark.org/#download Sau khi download Wireshark về, tập tin lưu
trênmáy có dạngWireshark-win64-2.0.0_2.exe Để khởi động tiến trình cài đặt, bạn
thực thi file trên
Các bước cài đặt như sau:
Nhấn kép vào file cài đặt
Hình 1: Bắt đầu cài đặt
Ấn Next để tiếp tục
Hình 2: Thông tin bản quyền
Trang 18Nhấn “I Agree” để tiếp tục
Hình 3: Trang Components của Wireshark
Chọn tất cả rồi ấn “next” để tiếp tục
Hình 4: Cửa sổ Additional Tasks
Ấn “next” để tiếp tục
Trang 19Hình 5: Chọn đường dẫn đến thư mục bạn định cài Wireshark
Mặc định, wireshark sẽ được cài đặt trong thư mục C:\Program Files\Wireshark.Bạn có thể chọn đường dẫn khác bằng cách nhấn vào “Browse…”
Sau cùng, Nhấn “Next” để tiếp tục
Hình 6: Bạn có cài winpcap không?
Trang 20Để Wireshark có thể hoạt động được, bạn phải cài đặt driver Winpcap trênmáytính của bạn Trình cài đặt wireshark sẽ kiểm tra xem bạn đã cài đặt winpcapchưa.Nếu chưa cài đặt winpcap hoặc bạn đã cài rồi nhưng phiên bản cũ hơn, chương trình
sẽ hỏi bạn có cài winpcap không? Nếu chưa cài đặt Winpcap thì click vào “InstallWinPcap4.1.3” thì trong quá trình cài đặt máy sẽ cài đặt cùng lúc WinPcap
Ấn “next” để tiếp tục
Hình 7: Bạn có cài đặt USBPcap?
Click vào “Install USBPcap 1.1.0.0-q794bf26” Khi đó trong quá trình cài đặt máy sẽ giúp ta cài đặt “USBPcap 1.1.0.0-q794bf26” Sau đó nhấn “Install”
Hình 8: Đang trong quá trình cài đặt
Nếu máy chưa cài WinPcap thì trong quá trình cài đặt máy sẽ cài WinPcap
Nhấn “next” để cài WinPcap
Trang 21Hình 9: Cửa số cài đặt Winpcap
Nhấn “Next”
Hình 10: Cửa số cài đặt Winpcap
Nhấn “Next”
Trang 22Hình 11: Thông tin bản quyền của WinPcap
Nhấn “I Agree” để tiếp tục khi bạn đồng ý với các điều khoản của WinPcap
Hình 12: Bạn đã cài xong WinPcap
Nhấn “Finish” để hoàn thành cài đặt Winpcap chúng ta tiếp tục cài đặt USBPcap
Trang 23Hình 13: Thông tin bản quyền của USBPcap
Nhấn “Next” để tiếp tục
Hình 14: Thông tin bản quyền của USBPcap
Click vào “I accept the tems of the License Agreement” rồi nhấn “Next” để tiếp tục
Trang 24Hình 15: Cửa sổ cài đặt USBPcap
Nhấn “Next” để tiếp tục sau khi đang chọn các thành phần mà bạn muốn cài đặt
Hình 16: Chọn đường dẫn đến thư mục bạn định cài đặt USBPcap
Chọn đường dẫn ở Browse rồi nhấn “Install”
Trang 25Hình 17: Trong quá trình cài đặt USBPcap
Nhấn “Close” để kết thúc quá trình cài đặt USBPcap và tiếp tục quá trình cài đặtWireshark Sau khi quá trình cài đặt Wireshark chạy xongnhấn “next”
Hình 18: Cài đặt Wireshark
Trang 26Hình 19: Hoàn thành việc cài đặt Wireshark trên Windows
Ở đây bạn có thể chọn để tiến hành chạy Wireshark ngay và hiển thị những tintức
Nhấn “Finish”và quá trình cài đặt kết thúc
Trang 27IV- GIAO DIỆN NGƯỜI DÙNG
Khởi động Wireshark trên windows đơn giản bằng cách nhấn kép vàoshortcuttrên menu Start Điều này sẽ giúp mở ra màn hình chính của Wireshark
Hình 20: Giao diện chính của Wireshark
Khi bạn chạy chương trình Wireshark, giao diện người dùng dưới dạng đồ họathường gặp sau khi các gói tin được bắt và hiển thị:
Trang 28Hình 21: Giao diện khi gói tin được bắt và hiển thị 1- Title bar
Thanh này sẽ chứa những thông tin khác nhau phụ thuộc vào những gì Wiresharkđang làm Nếu nó đang bắt dữ liệu mạng, nó sẽ hiểu thị giao diện đang sử dụng Nếu
nó đang hiển thị dữ liệu từ lần bắt dữ liệu trước đó, tên của file chứa trong dữ liệu bắtđược đó sẽ được hiển thị (untitled sẽ được hiển thịnếu lần bắt đó được trình diễn,dừng lại và không được lưu lại) Ngược lại nó sẽ hiển thị tên của ứng dụng:Wireshark network Protocol Analyzer
Trang 29 View: chứa lệnh điều khiển việc hiển thị dữ liệu thu được, bao gồm việc tô màucác gói tin, phóng to cỡ font, biểu diễn gói tin trong cửa số riêng, mở rộng hoặcthu hẹp cây chi tiết gói tin…
Capture: chứa lệnh bắt đầu hoặc kết thúc việc thu thập các gói tin và lệnh hiệuchỉnh bộ lọc
Analyze: chứa các lệnh thao tác trên bộ lọc hiển thị, cho phép hoặc không chophép phân tích chi tiết các giao thức, định cấu hình bộ giải mã cho người dùng và
“lần” theo vết của một luồng TCP
Statistics: chứa các lệnh hiển thị các kết quả thống kê khác nhau, bao gồm bảngtóm tắt của các gói tin đã được bắt, hiển thị cấu trúc phan tầng các giao thức
Help: giúp đỡ người dùng sử dụng các chức năng cơ bản, xem danh sách các giaothức được hỗ trợ, các trang hướng dẫn, các trang web, và hộp thoại About nhưthường lệ
3- Thanh công cụ chính (Main Toolbar)
Thanh công cụ chính có các nút lệnh giúp người sử dụng nhanh chóng ra các lệnhcần thiết.Lối tắt để sử dụng các chức năng thường dùng trong thanhmenu
4- Thanh lọc (Filter toolbar):
Truy cập nhanh đến chức năng filter.Thanh công cụ lọc cung cấp các thao táctrực tiếp trên bộ lọc hiển thị đang được sử dụng
5- Ô liệt kê gói tin (Packet list pane)
Ô liệt kê gói tin hiển thị tóm tắt về mỗi gói tin bắt được
Trang 30Mỗi dòng trong danh sách ứng với một gói tin trong file dữ liệu thu thập Nếuchọn một dòng trong ô này, ô Packet Details và Packet Bytes sẽ hiển thị thông tin chitiết về gói tin tương ứng
Khi phân tích một gói tin, Wireshark sẽ lấy thông tin từ bộ phân tích giao thức vàđặt vào các cột Vì thông tin về giao thức ở tầng cao sẽ ghi đè lên thông tin của giaothức ở tầng thấp nên bạn sẽ chỉ nhìn thấy thông tin giao thức tầng cao nhất có thể
Ví dụ, giả sử một gói tin TCP nằm bên trong gói tin IP, gói tin IP lại nằm bêntrong frame Ethernet Bộ phân tích Ethernet ghi dữ liệu của mình (chẳng hạn địa chỉcard mạng), sau đó bộ phân tích IP ghi đè bằng dữ liệu IP (ví dụ địa chỉ IP), và cuốicùng bộ phân tích TCP sẽ ghi đè lên thông tin về IP
Có rất nhiều cột thông tin khác nhau và có thể chọn hiển thị cột nào bằng cáchthiết lập tùy chọn (Preference settings)
6- Ô chi tiết gói tin (Packet details pane)
Giao thức Ô chi tiết gói tin hiển thị chi tiết gói tin được chọn ở ô liệt kê gói tin
Và các trường của gói tin được biểu diễn dưới dạng cây, có thể dễ dàng mở rộnghoặc thu gọn lại
7- Ô mã nhị phân gói tin (Packet bytes pane)
Ô mã nhị phân hiển thị dữ liệu biểu diễn dưới dạng cơ số 16 của gói tin đượcchọn (là gói tin được chọn trong ô gói tin chi tiết)
Cột bên trái ghi vị trí tương đối (offset) của dữ liệu trong gói tin, cột ở giữa là dữliệu được biểu diễn dưới dạng cơ số 16 và cột bên phải là kí tự ASCII tương ứng(hoặc dấu chấm (‘.’) nếu kí tự không hiển thị được)
