Kiểm tra các lỗi của các máy PC có rất nhiều công cụ ,nhiều cách thức khác nhau , với cách capture các gói tin của các máy PC từ đó bạn có thể phầnnào xác định được nguyên gây ra lỗi của
Trang 1KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG
- -BÀI BÁO CÁO MÔN
QUẢN TRỊ HỆ THỐNG MẠNG
Giáo viên hướng dẫn : Vũ Trí Dũng
Sinh viên :
Trần Minh Hiếu 07520122 Phạm Trương Hoàng Tuấn 07520386
Phạm Nguyên Huy 07520472
Trang 2LỜI NÓI ĐẦU
Ngày nay, vai trò của Công Nghệ Thông Tin (CNTT) và Internet là vô cùng quan trọng Và sựphụ thuộc của các ngành kinh tế vào nền CNTT ngày càng lớn, vì thế mà vấn đề bảo mật hệthống mạng cho các doanh nghiệp được coi là vấn đề bức bách và quan trọng Càng có nhiều ý
đồ phá hoại, mà đích đến là những thông tin tối quan trọng của doanh nghiệp, nhu cầu này đòihỏi kỹ năng quản lý và bảo mật hệ thống của 1 chuyên viên mạng
Khi “Thông tin quý hơn vàng”, bất kỳ 1 doanh nghiệp nào khi bước vào cuộc chiến tranh lợi
nhuận luôn đặt vấn đề xây dựng nguồn tài nguyên dữ liệu lên hàng đầu Vì thế vai trò của bộphận IT (Information Technology), đặc biệt là chuyên viên mạng ngày càng quan trọng TạiViệt Nam, 1 doanh nghiệp ứng dụng CNTT quy mô lớn cần khoảng 10 chuyên viên mạng, quy
mô vừa cần khoảng 4 – 5 chuyên viên mạng, quy mô nhỏ cũng cần tối thiểu 1 chuyên viênmạng để đảm trách vai trò quản trị và bảo mật hệ thống mạng của doanh nghiệp mình
Trong thời ký nền kinh tế bị suy thoái, ngân sách bị cắt giảm, lượng tiền đầu tư vào nhữngchuyên viên mạng và những công cụ quản lý với độ bảo mật cao cũng được liệt vào 1 trongnhững nguồn đầu tư “xa xỉ” tại Việt Nam – 1 đất nước với nền kinh tế đang phát triển, trình độ
kỹ thuật công nghiệp còn chưa bắt kịp đà phát triển của khu vực và Thế giới Chính vì vậy, tạiViệt Nam, những nhà quản trị mạng cần tìm cho mình 1 lối đi mới, 1 công cụ hỗ trợ cho việcquản trị có thể tương xứng với tình hình kinh tế của nước nhà
Trang 31 Giới thiệu tổng quan
Với một quản trị viên hệ thống mạng ( LAN ) quản lí hàng chục máy PC , việc sử dụng cáccông cụ quản trị mạng rất cần thiết Kiểm tra các lỗi của các máy PC có rất nhiều công cụ ,nhiều cách thức khác nhau , với cách capture các gói tin của các máy PC từ đó bạn có thể phầnnào xác định được nguyên gây ra lỗi của máy tính đó hoặc của các một hệ thống mạng LAN
Có khá nhiều công cụ để giải quyết vấn đề trên , WIRESHARK là một trong những công cụ
có chức năng như thế , có rất ít sản phẩm có được những tính năng đặc biệt như Wireshark vàđiều này rất dễ nhận thấy tại sao Giả sử bạn muốn biết những gì đang thực sự xảy ra trên mạng
của mình Wireshark sẽ capture các gói dữ liệu, sau đó hiển thị chúng theo cách để bạn có thể dễ
dàng dõi theo các “cuộc trò chuyện” và truy cập giữa các máy tính Nó có các tùy chọn phân loại
và lọc hầu như vô tận, cho phép bạn có thể tìm chính xác những thông đang cần tìm
Bài báo cáo này sẽ đi tìm hiểu các chức năng , các ưu nhược điểm cơ bản và các tình huống
xử lý với WIRESHARK
Trang 4MỤC LỤC
1 Giới Thiệu Tổng Quan Về Bài Viết………… 3
2 Mục Lục………… 4
3 Công cụ quản lý – WireShark………… 5
3.1.Giới thiệu về WireShark……… 5
3.2.Giao diện của WireShark………6
4 Phân tích gói tin với WireShark ……….11
4.1.Phân tích gói tin là gì ? 11
4.2.Xử lý tình huống với WireShark……… 13
5 So sánh WireShark với một vài tool khác……… 21
5.1 WireShark & LANView……… 21
5.2 WireShark & Etherscan Analyze………23
6 Các ưu nhược điểm và một vài lời khuyên khi sử dụng WireShark…… 24
7 Kết Luận………27
8 Tài Liệu Tham Khảo………28
Trang 53. Công cụ quản lý – WireShark
3.1 Giới thiệu về Wireshark
WireShark có một bề dày lịch sử Gerald Combs là người đầu tiên phát triển phần mềm này.
Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998
Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông
về việc bản quyền của thương hiệu Ethereal Thay vào đó, Combs và phần còn lại của độiphát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án
tên là WireShark.
Wireshark là một bộ phân tích giao thức mạng, có thể capture, thanh tra và hiển thị lưu
lượng cho nhiều giao thức mạng
Chương trình có thể chạy trên bất cứ nền tảng nào: Windows, Linux, Mac OS X và các nềntảng khác Nó có một giao diện GUI dễ sử dụng
Nếu không hiểu sâu về các giao thức, công cụ này sẽ cung cấp cho chúng ta những kiến thứccần bổ sung
Wireshark cũng có thể lưu các dấu vết của các gói dữ liệu để kiểm tra về sau; mở các địnhdạng chuẩn từ các bộ phân tích khác; có thể được export thành các file XML, PostScript,CSV, hoặc plain text
Nếu muốn sử dụng các kiểu mã hóa, chẳng hạn như WEP, WPA, WPA2, Ipsec, hoặcSSL/TLS, chúng ta có thể cấu hình Wireshark với các khóa để nó có thể giải mã và hiển thị
dữ liệu thực nếu cần
Trang 63.2 Một vài chức năng của Wireshark
Giao diện của Wireshark
Phần menu
File : chứa các menu dùng để mở , gộp, lưu , in ,trích xuất (các file đã bắt được ) hoặc
kết thúc chương trình Wireshark
Edit : menu này chứa các phần có chức năng tìm kiếm gói tin , đánh dấu hay bỏ qua
gói tin đã bắt được
Trang 7 View : Menu này dùng để chỉnh sửa việc hiển thị các mục trong phần dữ liệu các gói
tin đã được bắt , như là : chỉnh sửa màu sắc các gói tin , chỉnh kích thước font ,hiểnthị hay ẩn các toolbar …
Go : mục này dùng để di chuyển đến một gói tin cụ thể được nhập vào bởi người sử
dụng
Capture : Menu này cho phép người dùng dừng hay bắt đầu việc bắt các gói tin và
chỉnh sửa các gói tin đã được lọc
Analyze : menu này chứa các thao tác chức năng để hiện thị các gói tin được lọc theo
một qui tắc đã được đặt , kích hoạt hay khóa các giao thức không cần thiết
Statistics : xem thông tin tổng quan về các gói tin ,các cổng gói tin , các điểm đầu và
cuối ,chiều dài gói tín ……
Telephony : hiển thị các số liệu thống kê liên quan đến telephony , như là phân tích
các media ,hiện thị các hệ thống phân cấp các giao thức
Tool : chứa các tool có liên quan đến wireshark như là “Firewall ACL Rules”
Help : chứa các thành phần hỗ trợ cho người sử dụng như là : các hướng dẫn cơ bản ,
danh sách các giao thức được hỗ trợ , một vài trang chủ liên quan và thông tin về
chương trình đang sử dụng
Phần Main Toolbar
Trang 8Cung cấp các chức năng thường được sử dụng để tạo sự dễ dàng cho người sử dụng Người sử dụng không thể tùy chỉnh các chức năng trên toolbar này , nhưng các thể ẩnhiện chúng ở menu View phù hợp với độ rộng của màn hình
Phần Filters Toolbar
Dùng để hiển thị các gói tin dựa vào điều kiện lọc gói tin được nhập vào ô trên
Filter Input : nơi nhập công thức để lọc kết quả các gói tin
Expression : là nơi để chỉnh sửa kết quả hiển thị các gói tin theo cách lọc gói tin được
gán trong hộp thoại đó
Clear : xóa các công thức vừa nhập
Apply : hiển thị kết quả với công thức đã nhập trong ô
Một vài công thức , phép toán
Phép Lớn Hơn Hoặc Bằng >= frame.len >= 10
Phần Packet List Pannel
Trang 9Hiển thị tất cả các gói tin bắt được
Các cột cơ bản của phần trên :
No : Hiển thị số thứ tự của gói tin
Time : Thời gian kể từ khi bắt đầu thực hiện bắt gói tin
Source : Địa chỉ nguồn của gói tin
Destination : Địa chỉ đích của gói tin
Protocol : giao thức của gói tin
Info : Thông tin nội dung gói tin
Màu của các gói tin : mỗi màu tượng trưng cho một giao thức , để xem “coloring rule” vào View -> Coloring Rules
Ví dụ :
Nền đen chữ đỏ : gói tin TCP bị lỗi Nền xanh nhạt : gói tin ARP Nền xanh lá cây : gói tin HTTP
Trang 11Hiển thị thông tin tổng quan của phần được chọn như là phần “Packet List Pannel” ,
“Packet Details”, “Packet Bytes”
4. Phân tích gói tin với Wireshark
4.1 Phân tích gói tin ?
Phân tích gói tin hay còn gọi là nghe các gói tin và phân tích giao thức, mô tả quá trìnhbắt và phiên dịch các dữ liệu sống như là các luồng đang lưu chuyển trong mạng với mụctiêu hiểu rõ hơn điều gì đang diễn ra trên mạng Phân tích gói tin có thể giúp chung tahiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băngthông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năngtấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật
Các bước nghe (phân tích) gói tin
Thu thập dữ liệu : Chế độ này cho phép card mạng có thể nghe tất cả các gói tin
đang lưu chuyển trên phân mạng của nó
Chuyển đổi dữ liệu : trong bước này, các gói tin nhị phân trên được chuyển đổi
thành các khuôn dạng có thể đọc được
Phân tích : phân tích các gói tin đã được chuyển đổi
Các bước để nghe gói tin
4.1.1 Living Promiscuously (chế độ bắt tất cả các gói tin đi qua)
Trang 12Cần một card mạng có hỗ trợ chế độ Promiscuous Chế độ Promiscuous cho phép cardmạng nhìn thấy tất cả các gói tin đi qua hệ thống dây mạng Khi nó ở chế độ
Promiscuous, nó bắt tất cả các gói tin và gửi toàn bộ tới CPU
4.1.2 “Nghe” trong mạng hub
Cơ chế hoạt động của Hub cho phép gói tin được gửi tất cả các cổng của hub Đểphân tích một máy tính trên một hub, tất cả các công việc cần làm là cắm máy nghevào một cổng còn trống trên hub
4.1.3 “Nghe” trong mạng switch
Môi trường switch là kiểu mạng phổ biến mà bạn làm việc Switch cung cấp mộtphương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast, multicast.Switch cho phép kết nối song công (full-duplex), có nghĩa là máy trạm có thể truyền
và nhận dữ liệu đồng thời từ switch Khi cắm một máy nghe vào một cổng củaswitch, chúng ta chỉ có thể nhìn thấy các broadcast traffic và những gói tin gửi vànhận của máy tính mà mình đang sử dụng
Trang 13Port mirroring : lắng nghe lưu lượng đi qua cổng này (cổng được cắm để lắng
nghe ) sang một cổng khác
Hubbing Out : kỹ thuật mà trong đó chúng ta đặt thiết bị mục tiêu và máy nghe
vào cùng một phân mạng bằng cách đặt chúng trực tiếp vào một hub
ARP Cache Poisoning : là quá trình gửi một thông điệp ARP với địa chỉ MAC
giả mạo tới switch hoặc router nhằm mục đích nghe lưu lượng của thiết bị mục tiêu
4.1.4 “Nghe” trong mạng sử dụng Router
Tất cả các kỹ thuật nghe trong mạng switch đều có thể được sử dụng trong mạngrouter , chỉ có một việc cần quan tâm khi mà thực hiện với mạng router là sự quantrọng của việc đặt máy nghe khi mà thực hiện xử lý một vấn đề liên quan đến nhiềuphân mạng
4.2 Xử lý các tính huống với wireshark
4.2.1 Phát hiện vấn đề mất kết nối TCP
Một trong các vấn đề phổ biến nhất là mất kết nối mạng Mục này sẽ đề cập đến vấn đềphát hiện mất kết nối TCP bằng Wireshark
Ví dụ:
Một ví dụ truyền file bị mất kết nối:
Bắt đầu bằng việc gửi 4 gói TCP ACK từ 10 3 71 7 đến 10 3 30 1
Trang 14Lỗi bắt đầu từ gói thứ 5, chúng ta nhìn thấy xuất hiện việc gửi lại gói của TCP.
TCP gửi một gói tin đến đích, nếu không nhận được trả lời sau một khoảng thời gian nó
sẽ gửi lại gói tin ban đầu Nếu vẫn tiếp tục không nhận được phản hồi, máy nguồn sẽtăng gấp đôi thời gian đợi cho lần gửi lại tiếp theo
Như ta thấy ở hình trên, TCP sẽ gửi lại 5 lần, nếu 5 lần liên tiếp không nhận được phảnhồi thì kết nối được coi là kết thúc
Hiện tượng này ta có thể thấy trong Wireshark như sau:
Trang 15Khả năng xác định gói tin bị lỗi đôi khi sẽ giúp chúng ta có thể phát hiện ra mấu chốt
mạng bị mất là do đâu
4.2.2 Xác định máy tính nhiễm virus
Hiện tượng : máy tính của A có hiện tượng như sau, khi sử dụng trình duyệt IE, trình duyệt tự
động trỏ đến rất nhiều trang quảng cáo Khi A thay đổi bằng tay thì vẫn bị hiện tượng đó thậmchí khởi động lại máy cũng vẫn bị như thế
Thông tin chúng ta có :
A không thạo về máy tính lắm
Máy tính của A dùng Widows XP, IE
Tiến hành:
Vì hiện tượng này chỉ xảy ra trên máy của A nên chúng ta sẽ tiếp hành bắt gói tin từ máy của
A
Phân tích:
Trang 16Chi tiết gói tin thứ 5:
Từ máy tính gửi yêu cầu GET của HTTP đến địa chỉ như trên hình:
Một số gói tiếp theo có sự lặp ACK
Sau một loạt các thay đổi trên thì có truy vấn DNS đến deskwx.weatherbug.com
Đây là địa chỉ A không hề biết và không có ý định truy cập.
Trang 17Như vậy có thể là có một process nào đó đã làm thay đổi địa chỉ trang chủ mỗi khi IEđược bật lên Dùng một công cụ kiểm tra process ẩn ví dụ như Process Explore và thấyrằng có tiến trình weatherbug.exe đang chạy Sau khi tắt tiến trình này đi không cònhiện tượng trên nữa.
Thông thường các tiến trình như weatherbug có thể là virus, spyware
4.2.3 Hệ thống download chậm
Tình huống: cả mạng download rất chậm
Tiến hành : đặt wireshark lắng nghe toàn bộ đầu ra của mạng
Phân thích : hình ảnh dưới đây cho thấy có rất nhiều kết nối TCP,HTTP điều này có
nghĩa là có rất nhiều kết nối HTTP download dữ liệu về nên chiếm băng thông củamạng
Trang 18Mở cửa sổ Analyze->Expert Infos để thấy thêm thông tin.
Mặc định Expert Infos hiển thị tất cả các thông tin Nếu chỉ hiện thị Error+Warn+Note thì ta sẽ có các thông tin sau.
Trang 19Hình trên cho thấy:
có rất nhiều kết nối TCP do chương trình Window update mở
có hiện tượng TCP Previous segment lost packets và các gói tin TCP gửi đi bị lặp
ACK và bị drop, khiến TCP phải gửi lại gói tin
Kết luận : nguyên nhân do download chậm là có nhiều chương trình Windows update
(có thể các máy để auto update) và hiện tượng mất gói tin Như vậy cần tắt bớt các
Trang 205. So sánh wireshark với một vài công cụ khác
5.1 Wireshark & LANView
Giao diện sử dụng của LANView
LANView là phần mềm thương mại có kích thước nhỏ gọn, chỉ với 2.8 MB Giao diệnchính của chương trình gồm 3 phần:
Phần trên là menu
Bên trái là thanh slidebar chứa các công cụ mà ta muốn làm việc
Bên phải là của sổ hiện thông tin chi tiết
Trang 21So với wireshark thì LANView mạnh về quản trị mạng LAN, với nhiều công cụ khácnhau như scan port và host, network connection để hiện các kết nối của từng máy tínhtrong mạng LAN, broadcast message, remote shutdown, lookup host (tìm kiếm host),hiện biểu đồ giao thông mạng.
Giao diện cực kỳ đơn giản, rất thích hợp cho những người quản trị không chuyên về IT vẫn sử dụng dễ dàng
LANView cho ta biết thông tin tất cả các máy tính trong mạng LAN như là địa chỉ IP, MAC, tên host, users and groups, tài nguyên chia sẻ trên mạng
Việc bắt gói tin, lọc và tìm kiếm gói trên mạng rất thuận lợi (như hình dưới)
Cửa sổ tùy chọn bắt gói tin trong LANView
Trang 225.2 Wireshark & Etherscan Analyzer
Giao diện của Ethernetscan
Etherscan là phần mềm phân tích gói tin hoạt động trên nền window
Etherscan đọc được nhiều giao thức như là Ethernet, NetBEUI, TCP/IP, và nhiều giaothức khác Nó có khả năng xây dựng lại các phiên TCP/IP, với tính năng này ta có thểthấy dữ liệu ở dạng nguyên bản ví dụ như ta có thể đọc nội dung của một email, bất
kỳ attachment chính xác như khi nó được gửi
Tính năng lọc gói nâng cao, gồm các tab Protocol, IP address, Ports, Words,Advanced
Ngoài việc bắt và phân tích gói tin trên giao tiếp mạng của máy tính, Etherscan có thểlưu lại (save) và tải (load) những gói tin trong file, có thể gửi 1 gói tin do mình tự tạo lên mạng -> chức năng này Wireshark không có
Kết luận : so với công cụ wireshark thì etherscan cũng có các chức năng tương đồng
Trang 23etherscan có các chức năng wireshark không có như là gửi một gói tin do mình tự tạo ( wireshark chỉ bắt và đọc gói tin ).
6. Các ưu nhược điểm và lời khuyên khi sử dụng Wireshark
Hỗ trợ cả hệ điều hành Window lẫn Linux
WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ nhữngloại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent
Và cũng bởi vì Wireshark là phần mềm mã nguồn mở nên chắc chắn những giao thứcmới sẽ được thêm vào
Hỗ trợ rất nhiều định dạng tập tin của các chương trình bắt gói tin khác nhau