Đồ án nghiên cứu công cụ phân tích lưu lượng thông tin nhằm nâng cao tính bảo mật trong hệ thống mạng LAN

Đồ án nghiên cứu công cụ phân tích lưu lượng thông tin nhằm nâng cao tính bảo mật trong hệ thống mạng LAN Ngày nay, hầu hết các cơ quan, tổ chức, doanh nghiệp đều đã xây dựng cho mình một hệ thống mạng nội bộ riêng. Điều này đã giúp cho việc quản lý, sản xuất, kinh doanh trở nên dễ dàng hơn. Những mạng này luôn là mục tiêu tấn công của tin tặc. Do vậy, vấn đề bảo mật cho hệ thống mạng LAN trở nên rất quan trọng. Có nhiều cách để nâng cao tính bảo mật cho hệ thống mạng LAN như đặt tường lửa, VLAN, mã hóa dữ liệu,… trong đó có việc nghiên cứu công cụ phân tích lưu lượng thông tin trong mạng.

Trang 1

TRƯỜNG ĐẠI HỌC MỎ – ĐỊA CHẤT KHOA CÔNG NGHỆ THÔNG TIN

Giảng viên hướng dẫn:

Sinh viên thực hiện:

Trang 2

Mục lục

1 TỔNG QUAN -3

1.1 GIỚI THIỆU -3

1.2 ĐỊNH NGHĨA -3

1.3 CÁC BƯỚC PHÂN TÍCH GÓI TIN -3

2 CÔNG CỤ PHÂN TÍCH LƯU LƯỢNG THÔNG TIN TRONG MẠNG -4

2.1 CÁCH THỨC CÔNG CỤ PHÂN TÍCH “NGHE” GÓI TIN TRÊN MẠNG -4

2.1.1 Living Promiscuously (chế độ bắt tất cả gói tin đi qua) -4

2.1.2 “Nghe” trong mạng có Hub -4

2.1.3 “Nghe” trong mạng Switched -5

2.1.4 Nghe trong mạng sử dụng Router -9

2.2 MỤC ĐÍCH SỬ DỤNG CÔNG CỤ -10

2.3 MỘT SỐ CÔNG CỤ PHÂN TÍCH LƯU LƯỢNG THÔNG TIN PHỔ BIẾN -11

2.3.1 Wireshark -11

2.3.2 NetworkMiner -12

2.3.3 Tcpdump -13

2.3.4 OmniPeek -13

2.3.5 Foremost -15

2.3.6 Scapy -15

3 NGHIÊN CỨU CÔNG CỤ WIRESHARK -16

3.1 GIỚI THIỆU VỀ WIRESHARK -16

3.1.1 Bắt đầu với Wireshark -16

3.1.2 Capturing Packets -16

3.1.3 Filtering Packets -18

3.1.4 Inspecting Packets -19

3.2 CÁC TÌNH HUỐNG THỰC TẾ VỚI WIRESHARK -20

3.2.1 Một sổ tình huống cơ bản -20

3.2.2 Xử lý các tình huống về băng thông mạng -33

3.2.3 Một số tình huống an ninh mạng căn bản -41

Tài liệu tham khảo: -46

Trang 3

1 Tổng quan

1.1 Giới thiệu

Ngày nay, hầu hết các cơ quan, tổ chức, doanh nghiệp đều đã xây dựng chomình một hệ thống mạng nội bộ riêng Điều này đã giúp cho việc quản lý, sản xuất,kinh doanh trở nên dễ dàng hơn Những mạng này luôn là mục tiêu tấn công củatin tặc Do vậy, vấn đề bảo mật cho hệ thống mạng LAN trở nên rất quan trọng Cónhiều cách để nâng cao tính bảo mật cho hệ thống mạng LAN như đặt tường lửa,VLAN, mã hóa dữ liệu,… trong đó có việc nghiên cứu công cụ phân tích lưu lượngthông tin trong mạng

1.2 Định nghĩa

Phân tích lưu lượng thông tin là việc bắt hay còn gọi là “nghe” các gói tinđang lưu thông trên mạng và phân tích nó phục vụ cho mục đích của người quảntrị

Phân tích gói tin thường được thực hiện bởi một packet sniffer, một công cụđược sử dụng để bắt dữ liệu thô đang truyền trên đường dây Phân tích gói tin giúp

ta biết được cấu tạo mạng, máy nào đang sử dụng băng thông, chỉ ra các khả năngbị tấn công và các ứng dụng không được bảo mật, …

1.3 Các bước phân tích gói tin

Quá trình phân tích gói tin được chia làm 3 bước cơ bản:

 Bước 1: Thu thập dữ liệu

Chương trình thu thập gói tin chuyển interface mạng sang chế độPromiscuous Chế độ này cho phép card mạng có thể “nghe” được tất cả các gói tinđang lưu chuyển trên phân mạng của nó Chương trình “nghe” gói tin sử dụng chếđộ này cùng với việc truy nhập ở mức thấp để bắt các dữ liệu nhị phân trên đườngtruyền

Trang 4

 Bước 2: Chuyển đổi dữ liệu

Trong bước này, các gói tin ở dạng nhị phân trên được chuyển đổi thành cáckhuôn dạng có thể đọc được

 Bước 3: Phân tích

Phân tích gói tin đã được chuyển đổi ở bước 2

2 Công cụ phân tích lưu lượng thông tin

Công cụ phân tích lưu lượng thông tin hay còn được gọi là sniffer, là mộtchương trình thu thập các gói dữ liệu trên một mạng nhất định nhằm phân tích nóđể phục vụ cho mục đích của người sử dụng nó

2.1 Mục đích sử dụng sniffer

Việc sử dụng sniffer thường có 2 mục đích chính: kiểm tra bảo trì mạng vàxâm nhập mạng, cụ thể:

- Phân tích và chẩn đoán các vấn đề của mạng

-Theo dõi lưu lượng sử dụng mạng

-Thu thập và lập báo cáo thống kê mạng

- Lọc các nội dung đáng ngờ ra khỏi lưu lượng mạng

- Phát hiện các cố gắng xâm nhập mạng

- Do thám những người sử dụng mạng khác và thu thập thông tin nhạy cảmnhư mật khẩu

- Thu thập thông tin để tăng hiệu quả một cuộc xâm nhập mạng

2.2 Cách thức sniffer “nghe” gói tin trên mạng

Để thực hiện việc nghe các gói tin trên mạng, ta phải chỉ ra những vị trítương ứng để đặt “máy nghe” vào hệ thống đường truyền của mạng Quá trình nàyđơn giản là đặt “máy nghe” vào đúng vị trí vật lý nào đó trong một mạng máy tính.Việc nghe các gói tin không đơn giản chỉ là cắm một máy tính xách tay vào mạngvà bắt gói, thực tế nhiều khi việc đặt máy nghe vào mạng khó hơn việc phân tích

Trang 5

các gói tin Thách thức của việc này là ở chỗ có một số lượng lớn các thiết bị mạngphần cứng được sử dụng để kết nối các thiết bị với nhau Lý do là vì ba loại thiết bịchính (Hub, Switch và Router) có nguyên lý hoạt động rất khác nhau và điều nàyđòi hỏi ta phải nắm rõ được cấu trúc vật lý của mạng mà ta đang phân tích.

Chúng ta sẽ nghiên cứu một số mạng thực tế để chỉ ra cách tốt nhất để bắtcác gói tin trong từng môi trường mạng sử dụng Hub, Switch và Router

2.2.1 Living Promiscuously (chế độ bắt tất cả gói tin đi qua)

Trước khi nghe các gói tin trên mạng ta cần một card mạng có hỗ trợ chế độPromiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy tất cả các gói tin

đi qua hệ thống dây mạng Khi một card mạng không ở chế độ này, nó nhìn thấymột số lượng lớn các gói tin trên mạng nhưng không gửi cho nó, nó sẽ hủy (drop)các gói tin này Khi nó ở chế độ Promiscuous, nó sẽ bắt tất cả gói tin và gửi toànbộ tới CPU

2.2.2 “Nghe” trong mạng sử dụng Hub

Việc “nghe” trong một mạng có Hub là một điều kiện trong mơ trong việcphân tích gói tin Cơ chế hoạt động của Hub cho phép gói tin được gửi trong tất cảcác cổng của Hub Hơn nữa, để phân tích một máy tính trên một Hub, tất cả cáccông việc mà bạn cần làm là cắm “máy nghe” và một cổng còn trống trên Hub Tacó thể nhìn thất tất cả các thông tin truyền và nhận từ tất cả các máy đang kết nốivới Hub đó, cửa sổ tấm nhìn không bị hạn chế khi mà máy nghe được kế nối vớimột mạng Hub

2.2.3 “Nghe” trong mạng sử dụng Switch

Một môi trường Switched là kiểu mạng phổ biến thường thấy Switch cungcấp một phương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast,mutilcast Switch cho phép kết nối song công (full-duplex), có nghĩa là máy trạmcó thể truyền và nhận dữ liệu đồng thời từ Switch Khi cắm một máy nghe vào mộtcổng của Switch, bạn chỉ có thể nhìn thấy các broadcast trafic và những gói tin gửi– nhận của máy tính mà bạn đang sử dụng

Trang 6

Có 3 cách chính để bắt được các gói tin từ một thiết bị mục tiêu trên mạngSwitch: port mirroring, ARP cache poisoning và các hubbing out.

Port Mirroring

Port mirroring hay còn gọi là port spanning có thể là cách đơn giản nhất đểbắt các lưu lượng từ thiết bị mục tiêu trên Switch Với cách này, ta phải truy cậpđược giao diện dòng lệnh của Switch mà máy mục tiêu cắm vào Tất nhiên làSwitch này phải hỗ trợ tính năng port mirroring và có một port trống để ta có thểcắm máy nghe vào Khi ánh xạ cổng, bạn đã copy toàn bộ lưu lượng đi qua cổngnày sang một cổng khác

Trang 7

ARP Cache Poisoning

Địa chỉ tầng 2 (địa chỉ MAC) được sử dụng chung với hệ thống địa chỉ tầng

3 Tất cả các thiết bị này trong một mạng liên lạc với nhau thông qua địa chỉ IP Doswitch làm việc tại tầng 2, vì vậy nó phải có khả năng phiên dịch địa chỉ tầng 2(MAC) sang địa chỉ tầng 3 (IP) hoặc ngược lại để có thể chuyển tiếp gói tin tớithiết bị tương ứng Quá trình phiên dịch được thực hiện thông qua một giao thứctầng 2 là ARP (Address Resolution Protocol) Khi một máy tính cần gửi dữ liệucho một máy khác, nó gửi một yêu cầu ARP tới switch mà nó kết nối Switch đó sẽgửi một gói ARP broadcast tới tất cả các máy đang kết nối với máy đích Thông tinnhận được lưu trữ trong ARP cache của switch và switch sẽ không cần phải gử mộtthông điệp ARP broadcast tới mỗi lần nó cần gửi dữ liệu tới máy nhận

ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đườngtruyền trong một mạng switch Nó thường được sử dụng phổ biến bởi hacker đểgửi các gói tin địa chỉ sai tới máy nhận với mục tiêu để nghe trộm đường truyềnhiện tại hoặc tấn công từ chối dịch vụ, nhưng ARP cache poisoning chỉ có thể phụcvụ như là một cách hợp pháp để bắt các gói tin của máy mục tiêu trong mạngswitch ARP cache poisoning là quá trình gửi thông điệp ARP với địa chỉ MAC giả

Trang 8

mạo tới switch hoặc router nhằm mục đích nghe lưu lượng của thiết bị mục tiêu.Có thể sử dụng chương trình Cain & Abel để thực hiện việc này.

Hubbing Out

Một các đơn giản khác để bắt các lưu lượng của thiết bị mục tiêu trong mộtmạng Switch là Hubbing Out Hubbing Out là kỹ thuật mà trong đó bạn đặt thiết bịmục tiêu và “máy nghe” vào cùng một phân mạng bằng cách đặt chúng trực tiếpvào một hub

Rất nhiều người đã nghĩ rằng hubbing out là lừa dối nhưng nó thực sự là mộtgiải pháp hoàn hảo trong các tình huống mà bạn không thể thực hiện port mirroringnhưng vẫn có khả năng truy cập vật lý tới Switch mà thiết bị mục tiêu cắm vào

Trang 9

Trong hầu hết các tình huống, hubbing out sẽ giảm tính năng song công củathiết bị mục tiêu (full to haft) Trong khi phương thức này không phải là cách sạch

sẽ nhất để nghe và nó thường được sử dụng như là một lựa chọn khi mà switchkhông hỗ trợ port mirroring

Khi hubbing out, chắc chắn rằng bạn sử dụng một cái hub chứ không phải làmột switch bị gắn nhầm nhãn Khi mà bạn sử dụng hub, hãy kiểm tra để chắc chắnrằng nó là một hub bằng cách cắm hai máy tính vào nó và nhìn xem cái một có thểnhìn thấy lưu lượng của cái còn lại hay không

2.2.4 “Nghe” trong mạng sử dụng Router

Tất cả các kỹ thuật nghe trong mạng switch đều có thể được sử dụng trongmạng router Chỉ có một việc cần quan tâm khi thực hiện với mạng router là sựquan trọng của việc đặt “máy nghe” khi mà thực hiện xử lý một vấn đề liên quannhiều phân mạng Broadcast domain của một thiết bị được mở rộng cho đến khi nógặp router Khi đó, lưu lượng sẽ được chuyển giao sang dòng dữ liệu router tiếptheo và bạn sẽ mất liên lạc với các gói tin đó cho đến khi bạn nhận được một ACKcủa các máy nhận trả về Trong tình huống này, dữ liệu sẽ được chuyển qua nhiều

Trang 10

router, vì vậy rất quan trọng để thực hiện phân tích tất cả các lưu lượng trên cácgiao diện của router.

Ví dụ, liên quan đến vấn đề liên kế, ta có thể gặp phải một mạng với một sốphân mạng được kết nối với nhau thông qua các router Trong mạng đó, một phânmạng liên kết đến một phân mạng với mục đích lưu trữ và tham chiếu dữ liệu Vấnđề mà chúng ta đang cố gắng giải quyết là phân mạng D không thể kết nối với cácthiết bị trong phân mạng A

Khi mà ta nghe lưu lượng của một thiết bị trong phân mạng D Khi đó, bạncó thể nhìn thấy rõ ràng lưu lượng truyền tới phân mạng A nhưng không có biênnhận (ACK) nào được gửi lại Khi nghe luồng lưu lượng ở phân mạng cấp trên đểtìm ra nguyên nhân vấn đề, ta tìm ra rằng lưu lượng bị hủy bởi router phân mạng

B Cuối cùng dẫn đến việc ta kiểm tra cấu hình của router, nếu đúng hãy giải quyếtvấn đề đó Đó là một ví dụ điển hình lý do vì sao cần nghe lưu lượng của thiết bịtrên nhiều phân mạng với mục mục tiêu xác định chính xác vấn đề

Trang 11

2.3 Một số sniffer phổ biến 2.3.1 Wireshark

Wireshark là một công cụ kiểm tra, theo dõi và phân tích thông tin mạngđược phát triển bởi Gerald Combs (người Mỹ) Phiên bản đầu tiên của Wiresharkmang tên Ethereal được phát hành năm 1988 Đến nay, WireShark vượt trội về khảnăng hỗ trợ các giao thức (khoảng 850 loại), từ những giao thức phổ biến nhưTCP, IP đến những loại đặc biệt như AppleTalk và BitTorrent Các ưu điểm củaphần mềm Wireshark bao gồm:

- Thân thiện với người dùng: Giao diện của Wireshark thân thiện, dễ sửdụng, đồ họa trực quan với hệ thống điều khiển rất rõ ràng và được bố trí hợp lý

- Chi phí: Wireshark là một sản phẩm miễn phí, có thể tải về và sử dụngWireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại

- Hỗ trợ kỹ thuật: Cộng đồng của Wireshark là một trong những cộng đồngtốt và năng động nhất trong các dự án mã nguồn mở

- Hỗ trợ đa hệ điều hành: Wireshark hỗ trợ hầu hết hệ điều hành hiện nay

Từ những lợi ích Wireshark đem lại đã giúp nó trở nên phổ biến như hiệnnay Wireshark có thể đáp ứng nhu cầu của các nhà phân tích chuyên nghiệp vànghiệp dư

Trang 12

2.3.2 NetworkMiner

NetworkMiner là một công cụ phân tích điều tra mạng (Network ForensicsAnalysis Tool – NFAT) dành cho hệ điều hành Windows NetworkMiner có thểđược sử dụng như một công cụ chặn bắt gói tin thụ động nhằm nhận biết các hệđiều hành, các phiên làm việc, tên host, các port mở mà không cần đặt bất cứluồng dữ liệu nào lên mạng

NetworkMiner cũng có thể phân tích các tệp tin pcap trong trường hợp ngoạituyến và tái tạo các tập tin truyền tải, cấu trúc thư mục hay chứng chỉ từ tệp tinpcap Mục đích của NetworkMiner là thu thập dữ liệu (chẳng hạn như chứng cứ)về các host trên mạng, chứ không thu thập dữ liệu về lưu lượng truy cập Nó quantâm đến trung tâm máy chủ (nhóm các thông tin trên từng máy) chứ không tậptrung vào gói tin (thông tin về danh sách các gói tin, khung nhìn ) NetworkMinerlà công cụ tiện dụng trong việc phân tích máy chủ C&C (Command & Control)hay khi kiểm soát lưu lượng truy cập từ mạng lưới botnet

Trang 13

2.3.3 Tcpdump

Đây là công cụ được phát triển nhằm mục đích phân tích các gói dữ liệumạng theo dòng lệnh Tcpdump cho phép người dùng chặn và hiển thị các gói tinđược truyền đi hoặc được nhận trên một mạng mà máy tính có tham gia

Tcpdump xuất ra màn hình nội dung các gói tin (chạy trên card mạng màmáy chủ đang lắng nghe) phù hợp với biểu thức logic chọn lọc mà người dùngnhập vào Với từng loại tùy chọn khác nhau người dùng có thể xuất những mô tảvề gói tin này ra file pcap để phân tích sau và có thể đọc nội dung của file pcap đóvới option –r của lệnh tcpdump

Để truy cập vào một số chi tiết, người dùng có thể lựa chọn một bảng điềukhiển sẵn có từ công cụ Ví dụ, có thể xem các địa chỉ IP sử dụng hầu hết các băngthông từ bảng điều khiển mạng, trong đó các tab cho phép phân tích lưu lượng dữliệu Các đồ thị sẽ hiển thị thống kê cho việc phân bố kích thước gói tin, các điểmtruy cập không dây và các giao thức được sử dụng

Nếu muốn kiểm tra các kết nối đến một máy tính nào đó, người dùng có thểgửi các gói dữ liệu bằng cách sử dụng các bộ chuyển đổi mạng có sẵn Hơn nữa,quản trị viên có thể chia nhỏ gói dữ liệu hoặc sử dụng Tools Menu để giải mã cácgói tin sử dụng mã hóa SSL

Trang 14

Các tính năng của OmniPeek bao gồm:

- Phân tích lưu lượng truy cập của bất kỳ phân đoạn mạng (nội bộ hoặc từxa), bao gồm Gigabit và các phân đoạn mạng WAN

- Có khả năng phân tích tất cả các lỗ hổng đang hoạt động trong mạng

- Có khả năng thay đổi các bộ lọc mà không cần khởi động lại Sniffer

- Có khả năng hoàn thành phân tích tất cả các gói dữ liệu gửi/nhận

- Có khả năng xem lưu lượng nội bộ, toàn cầu hoặc cả hai cùng một lúc

- Tính linh hoạt độc đáo cho phép người dùng toàn quyền kiểm soát lưulượng trên các phân khúc độc lập, cho phép các nhà thiết kế có thể xác định cácvấn đề và vị trí của nó

Trang 15

2.3.5 Foremost

Foremost là một chương trình điều khiển (console) dùng để khôi phục tệp tindựa vào tiêu đề, phụ đề và các cấu trúc dữ liệu Quá trình này thường được gọi làchạm khắc dữ liệu (data carving) Foremost có thể làm việc trên các tệp tin image,được tạo ra bởi các công cụ như dd, Safeback, Encase hoặc trực tiếp từ trên ổcứng Tiêu đề và phụ đề có thể được xác định bởi một tệp tin cấu hình hoặc có thểsử dụng một switch dòng lệnh dựa trên dạng tệp tin tích hợp Các dạng tích hợpnày sẽ tra cứu cấu trúc dữ liệu của định dạng tệp tin được cung cấp nhằm đảm bảoviệc phục hồi sẽ nhanh và đáng tin cậy hơn

2.3.6 Scapy

Scapy là một công cụ thao tác với gói tin dùng cho mạng máy tính, được viếtbằng Python bởi nhà nghiên cứu Philippe Biondi Nó có thể giả mạo hoặc giải mãcác gói tin, gửi lại trên đường truyền, chặn bắt và làm khớp các yêu cầu với phảnhồi Scapy cũng có thể xử lý những tác vụ khác như quét, truy vết, thăm dò, kiểmthử đơn vị, tấn công và phát hiện mạng

Scapy cung cấp một giao diện Python vào libpcap (WinPCap trên Windows)theo một cách tương tự như cung cấp trong Wireshark với giao diện trực quan.Scapy cũng có thể giao tiếp với một số chương trình khác để cung cấp tính trựcquan bao gồm cả Wireshark cho việc giải mã các gói tin, GnuPlot cho việc tạo đồthị, graphviz hoặc Vpython cho việc hiển thị

Trang 16

3 Nghiên cứu công cụ Wireshark 3.1 Giới thiệu về Wireshark

Wireshark, hay còn gọi là Ethereal, được xem là 1 trong những ứng dụngphân tích dữ liệu hệ thống mạng, với khả năng theo dõi, giám sát các gói tin theothời gian thực, hiển thị chính xác và báo cáo cho người dùng qua giao diện khá đơngiản và thân thiện

Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay Nócó thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nóđưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau

Các giao thức được hỗ trợ bởi WireShark: WireShark vượt trội về khả năng

hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đếnnhững loại đặc biệt như là AppleTalk và Bit Torrent Và cũng bởi Wireshark đượcphát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được thêm vào

3.2 Sử dụng Wireshark cơ bản 3.2.1 Bắt đầu với Wireshark

Bạn có thể tải xuống Wireshark cho Windows hoặc macOS từ trang web

chính thức: https://www.wireshark.org Nếu bạn đang sử dụng Linux hoặc một

hệ thống giống UNIX khác, có thể bạn sẽ tìm thấy Wireshark trong packagerepository

Lưu ý: Nhiều tổ chức không cho phép Wireshark và các công cụ tương tựhoạt động trên mạng của họ Do đó, lưu ý không sử dụng công cụ này tại nơi làmviệc trừ khi bạn được phép

3.2.2 Capturing Packets

Sau khi khởi động chương trình ta chọn một interface muốn phân tích

trong Interface List để bắt đầu hoạt động Ví dụ, nếu muốn giám sát lưu lượng mạng qua mạng Wireless thì chọn card mạng Wifi tương ứng Nhấn nút Capture Options để hiển thị thêm nhiều tùy chọn khác.

Trang 17

Ngay sau đó, chúng ta sẽ thấy các gói dữ liệu bắt đầu xuất hiện, Wireshark

sẽ “bắt” từng gói package ra và vào hệ thống mạng Nếu đang giám sát thông tin

trên Wireless trong chế độ Promiscuous thì sẽ nhìn thấy các gói dữ liệu khác trong

toàn bộ hệ thống

Trang 18

Nếu muốn tạm ngừng quá trình này thì các bạn nhấn nút Stop ở phía trên.

3.2.3 Filtering Packets

Cách cơ bản nhất để áp dụng filter là nhập thông tin vào ô Filter, sau đó nhấn Apply hoặc nhấn Enter Ví dụ, nếu gõ http thì chúng ta sẽ chỉ nhìn thấy các gói dữ liệu HTTP Ngay khi nhập từ khóa, Wireshark sẽ tự động hoàn chỉnh

chuỗi thông tin này dựa vào gợi ý tương ứng

Trang 19

Nhấn chuột phải vào từng package và chọn Follow HTTP Stream chúng ta sẽ

thấy chi tiết của từng gói tin

Đóng cửa sổ này lại và filter sẽ tự động được áp dụng, Wireshark tiếp tụchiển thị đầy đủ và chính xác các package có liên quan

3.2.4 Inspecting Packets

Trang 20

Nhấn và chọn 1 package bất kỳ để kiểm tra các phần thông tin cụ thể hơn.

Hoặc cũng có thể trực tiếp tạo filter bằng cách nhấn chuột phải vào phần

thông tin chi tiết và chọn Apply as Filter -> Selected để áp dụng.

3.3 Các tình huống khi phân tích gói tin với Wireshark 3.3.1 Các tình huống cơ bản

Trang 21

Trong phần này chúng ta sẽ đề cập đến vấn đề cụ thể hơn Sừ dụngWheshark và phân tích gói tin để giải quyết một vấn đề cụ thể của mạng.

Một số tình huống điển hình:

A Lost TCP Connection (mất kết nối TCP)

Một trong các vấn đề phổ biến nhất là mất kết nối mạng.Chúng ta sẽ bỏ quanguyên nhân tại sao kết nối bị mất, chúng ta sẽ nhìn hiện tượng đó ở mức gói tin

Ví dụ:

Một ví dụ truyền file bị mất kết nối:

Bắt đầu bằng việc gửi 4 gói TCP ACK từ 10.3.71.7 đến 10.3.30.1

Lỗi bắt đầu từ gói thứ 5, chúng ta nhìn thấy xuất hiện việc gửi lại gói củaTCP

Theo thiết kế, TCP sẽ gửi một gói tin đến đích, nếu không nhận được trả lờisau một khoảng thòi gian nó sẽ gửi lại gói tin ban đầu Nếu vẫn tiếp tục khôngnhận được phản hồi, máy nguồn sẽ tăng gấp đôi thời gian đợi cho lần gửi lại tiếptheo

Trang 22

Như ta thấy ở hình trên, TCP sẽ gửi lại 5 lần, nếu 5 lần liên tiếp không nhậnđược phản hồi thì kết nối được coi là kết thúc.

Hiện tượng này ta có thể thấy trong Wireshark như sau:

Trang 23

Khả năng xác định gói tin bị lỗi đôi khi có thể giúp chúng ta phát hiện ramấu trốt mạng bị mất là do đâu.

Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối và các mã ICMP)

Một trong các công cụ khi kiểm tra kết nối mạng là công cụ ICMP ping Nếumay mắn thì phía mục tiêu trả lời lại điều đó có nghĩa là bạn đã ping thành công,còn nếu không thì sẽ nhận được thông báo không thể kết nối tới máy đích Sử dụngcông cụ bắt gói tin trong việc này sẽ cho bạn nhiều thông tin hơn thay vì chỉ dùngICMP ping bình thường Chúng ta sẽ nhìn rõ hơn các lỗi của ICMP

Định dạng
Số trang	47
Dung lượng	12,93 MB