HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN I -& - BÀI BÁO CÁO CUỐI KỲ ĐỀ TÀI: Wireshark MÔN HỌC: An toàn mạng Giảng viên: TS Đặng Minh Tuấn Tên sinh viên: Trần Khải Ngun Mã sinh viên: B18DCAT176 Nhóm mơn học: 01 MỤC LỤC DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT DANH MỤC HÌNH ẢNH DANH MỤC BẢNG Mở đầu Chương 1: Giới thiệu, lịch sử hình thành I Giới thiệu II Lịch sử hình thành Chương 2: Hướng dẫn cài đặt, hướng dẫn sử dụng 10 I Hướng dẫn cài đặt 10 Yêu cầu hệ thống: 10 Cách cài đặt 11 II Các thành phần 14 Cửa sổ 14 Menu 16 Thanh cơng cụ 25 Thanh công cụ "Bộ lọc" 27 Ngăn “Packet List” 29 Ngăn "Packet Details" 31 Ngăn "Packet Bytes" 31 Thanh trạng thái 32 III Hướng dẫn sử dụng 34 Thu thập liệu mạng trực tiếp 34 Làm việc với gói bắt 46 Chương 3: Demo 77 Chương 4: So sánh, đánh giá, kết luận 79 I So sánh 79 Các tính Tcpdump Wireshark 79 So sánh Tcpdump với Wireshark 79 Kết luận 84 II Đánh giá, kết luận 84 TÀI LIỆU THAM KHẢO 85 DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Từ viết tắt ACL ARP ASCII ATM DHCP DNS EBCDIC FTP GUI HTTP HTTPS ICMP IEEE IP LAN MAC PPP RAM RFC RPM SNMP SSH SSL/TLS TCP TELNET Thuật ngữ tiếng Anh/Giải thích Access control list Thuật ngữ tiếng Việt/Giải thích Danh sách kiểm sốt truy cập Address Resolution Protocol Giao thức phân giải địa American Standard Code Chuẩn mã trao đổi thông tin Hoa for Information Interchange Kỳ Asynchronous Transfer Mode Chế độ truyền không đồng Dynamic Host Configuration Giao thức cấu hình động máy chủ Protocol Domain Name System Hệ thống tên miền Extended Binary Coded Decimal Định dạng Mã trao đổi thập phân Interchange Code nhị phân mã hóa mở rộng File Transfer Protocol Giao thức truyền tập tin Graphical User Interface Giao diện đồ họa người dùng HyperText Transfer Protocol Giao thức truyền tải siêu văn Hypertext Transfer Protocol Một phần mở rộng Hypertext Secure Transfer Protocol (HTTP) Internet Control Message Protocol Giao thức gói Internet Protocol Institute of Electrical and Hội Kỹ sư Điện Điện tử Electronics Engineers Internet Protocol Giao thức Internet Local Area Network Mạng máy tính cục Media access control Kiểm sốt truy cập phương tiện truyền thông Point-to-Point Protocol Giao thức liên kết liệu, thường dùng để thiết lập kết nối trực tiếp nút mạng Random Access Memory Bộ nhớ truy cập ngẫu nhiên Request for Comments Đề nghị duyệt thảo bình luận Red Hat Package Manager Cơng cụ dùng để quản lý gói mặc định mã nguồn mở mặc định cho hệ thống dựa Red Hat Simple Network Monitoring Giao thức giám sát mạng đơn giản Protocol Secure Shell Giao thức mạng dùng để thiết lập kết nối mạng cách bảo mật Secure Socket Layer / Transport Bộ giao thức bảo mật SSL / TLS Layer Security Transmission Control Protocol Giao thức điều khiển truyền nhận TErminaL NETwork Giao thức mạng (network protocol) dùng kết nối với Internet kết nối mạng máy tính cục LAN TFTP Trivial File Transfer Protocol UDP User Datagram Protocol Universal Serial Bus USB Giao thức truyền tập tin bình thường Giao thức liệu người dùng Tiêu chuẩn công nghiệp cho giao tiếp liệu kỹ thuật số khoảng cách ngắn DANH MỤC HÌNH ẢNH Hình 1.1 Wireshark bắt gói tin cho phép bạn kiểm tra nội dung Hình 2.1 Cửa sổ 15 Hình 2.2 Menu 16 Hình 2.3 “File” Menu 16 Hình 2.4 “Edit” Menu 17 Hình 2.5 “View” Menu 18 Hình 2.6 “Go” Menu 19 Hình 2.7 “Capture” Menu 20 Hình 2.8 “Analyze” Menu 21 Hình 2.9 “Statistics” Menu 22 Hình 2.10 “Telephony” Menu 23 Hình 2.11 “Wireless” Menu 24 Hình 2.12 “Tools” Menu 25 Hình 2.13 “Help” Menu 25 Hình 2.14 Thanh cơng cụ 25 Hình 2.15 Thanh công cụ “Bộ lọc” 27 Hình 2.16 Ngăn “Packet List” 29 Hình 2.17 Ngăn “Packet Details” 31 Hình 2.18 Ngăn “Packet Bytes” 31 Hình 2.19 Ngăn “Packet Bytes” với tab 32 Hình 2.20 Thanh trạng thái ban đầu 32 Hình 2.21 Thanh trạng thái với tệp tải 33 Hình 2.22 Thanh trạng thái với menu cấu hình 34 Hình 2.23 Thanh trạng thái với trường giao thức chọn 34 Hình 2.24 Thanh trạng thái với thơng báo lọc hiển thị 34 Hình 2.25 Giao diện bắt Microsoft Windows 35 Hình 2.26 Giao diện bắt macOS 35 Hình 2.27 Tab đầu vào “Capture Options” 36 Hình 2.28 Tab đầu “Tùy chọn bắt” 37 Hình 2.29 Tab tùy chọn “Tùy chọn bắt” 38 Hình 2.30 Hộp thoại “Quản lý giao diện” 39 Hình 2.31 Hộp thoại “Đầu lọc biên dịch” 41 Hình 2.32 Tùy chọn đầu 41 Hình 2.33 Hộp thoại “Capture Information” 46 Hình 2.34 Wireshark với gói TCP chọn để xem 47 Hình 2.35 Xem gói tin cửa sổ riêng biệt 48 Hình 2.36 Popup menu tiêu đề cột “Danh sách gói” 49 Hình 2.37 Pop-up Menu ngăn “Danh sách gói” 50 Hình 2.38 Popup Menu ngăn “Chi tiết gói” 53 Hình 39 Popup Menu ngăn “Packet Bytes” 57 Hình 2.40 Lọc theo giao thức TCP 59 Hình 2.41 Hộp thoại “Hiển thị Biểu thức Bộ lọc” 68 Hình 2.42 Hộp thoại “Bộ lọc chụp” “Bộ lọc hiển thị” 70 Hình 2.43 Hiển thị cửa sổ Macro lọc 71 Hình 2.44 Thanh cơng cụ “Tìm gói tin” 72 Hình 2.45 Thanh cơng cụ “Chuyển đến gói tin” 73 Hình 2.46 Wireshark hiển thị gói tham chiếu thời gian 76 Hình 4.1 Bộ nhớ sử dụng Wireshark 80 Hình 4.2 Bộ nhớ sử dụng Tcpdump 80 Hình Wakeups/s & Events/s Wireshark Tcpdump 81 Hình 4.4 Điện sử dụng Wireshark Tcpdump 81 Hình 4.5 Thống kê chế độ giám sát 82 Hình 4.6 Ví dụ bắt gói tin Wireshark 83 Hình 4.7 Ví dụ bắt gói tin Tcpdump 83 DANH MỤC BẢNG Bảng 2.1 Các mục cơng cụ 27 Bảng 2.2 Các mục công cụ “Bộ lọc” 28 Bảng 2.3 Chế độ tệp tùy chọn bắt 42 Bảng 2.4 Các chức pop-up menu tiêu đề cột “Danh sách gói” 49 Bảng 2.5 Các chức popup menu “Danh sách gói” 53 Bảng 2.6 Các chức popup menu “Chi tiết gói” 56 Bảng 2.7 Các chức có popup menu “Packet Bytes” 58 Bảng 2.8 Các toán tử so sánh Bộ lọc Hiển thị 61 Bảng 2.9 Hoạt động logic lọc hiển thị 64 Bảng 2.10 Các chức lọc hiển thị 66 Mở đầu Xét đến gia tăng nhanh chóng việc triển khai cơng nghệ, an tồn, an ninh mạng trở thành nhu cầu thiết yếu toàn cầu nỗ lực điều chỉnh biện pháp bảo vệ, dù trực tiếp hay gián tiếp, để ngăn chặn hệ thống khỏi cơng mạng An tồn, an ninh mạng nhằm bảo vệ liệu khỏi kẻ công, điều quan trọng tất cá nhân, tổ chức Đây phần thiếu chiến lược giảm thiểu đe dọa mạng Điều quan trọng đạt tính bền vững khơng gian mạng, qua bảo mật liệu bảo vệ thông tin Tất quốc gia giới quan tâm đến việc bảo vệ môi trường liệu khỏi tin tặc phần mềm độc hại – liên hệ đến tác động sóng ransomware khổng lồ năm gần Các mối đe dọa mạng gia tăng nhanh chóng với âm mưu tinh vi thâm độc, đồng thời động để xâm nhập hệ thống thông tin Việc hiểu xác định lỗ hổng bảo mật bị khai thác gián điệp mạng trở thành yêu cầu chung chuyên gia bảo mật Tác động xâm nhập khiến tổ chức phải dừng hoạt động có sức hủy hoại nghiêm trọng Tư cộng đồng an toàn, an ninh mạng chuyển từ "nếu bị công" sang "khi bị công": chuẩn bị thay mong đợi cơng mạng hồn tồn tránh trì hiệu đảm bảo an tồn thơng tin mạng bất chấp cơng Vì cơng cụ hữu ích cho việc khai thác phân tích liệu, giám sát gói tin hiển thị xác báo cáo cho người dùng, tổ chức để ngăn chặn nguy công cần thiết Trong báo cáo đây, em xin trình bày cơng cụ Wireshark Hà Nội, ngày 12 tháng 12 năm 2021 Chương 1: Giới thiệu, lịch sử hình thành I Giới thiệu - Wireshark gì? Wireshark cơng cụ phân tích gói tin Cơng cụ phân tích gói tin bắt gói tin cho liệu gói tin chi tiết tốt Bạn coi cơng cụ phân tích gói tin thiết bị đo lường để kiểm tra xảy bên cáp mạng, giống thợ điện sử dụng vôn kế để kiểm tra xem xảy bên cáp điện (tất nhiên cấp độ cao hơn) Trong khứ, công cụ đắt tiền, độc quyền hai Tuy nhiên, với đời của Wireshark, điều thay đổi Wireshark cung cấp miễn phí, mã nguồn mở cơng cụ phân tích gói tin tốt - Tại lại sử dụng Wireshark? Dưới số lý người sử dụng Wireshark: • • • • • Quản trị viên mạng sử dụng để khắc phục cố mạng Các kỹ sư an ninh mạng sử dụng để kiểm tra vấn đề bảo mật Các kỹ sư QA sử dụng để xác minh ứng dụng mạng Các nhà phát triển sử dụng để gỡ lỗi việc triển khai giao thức Mọi người sử dụng để tìm hiểu giao thức mạng Wireshark hữu ích nhiều trường hợp khác - Tính Sau số tính mà Wireshark cung cấp: • Có sẵn cho UNIX Windows • Bắt liệu gói trực tiếp từ giao diện mạng • Mở tệp chứa liệu gói ghi lại tcpdump / WinDump, Wireshark nhiều chương trình bắt gói tin khác • Hiển thị gói với thơng tin giao thức chi tiết • Lưu liệu gói bắt • Xuất số tất gói tin số định dạng • Lọc gói tin theo nhiều tiêu chí • Tìm kiếm gói tin nhiều tiêu chí • Tạo số liệu thống kê khác Wireshark bắt gói tin cho phép bạn kiểm tra nội dung chúng Hình 1.1 Wireshark bắt gói tin cho phép bạn kiểm tra nội dung • Bắt trực tiếp từ nhiều phương tiện mạng khác Wireshark bắt lưu lượng truy cập từ nhiều loại phương tiện mạng khác nhau, bao gồm Ethernet, mạng LAN không dây, Bluetooth, USB, Các loại phương tiện cụ thể hỗ trợ bị giới hạn số yếu tố, bao gồm phần cứng hệ điều hành bạn • Nhập tệp từ nhiều chương trình bắt gói tin khác Wireshark mở chụp gói từ số lượng lớn chương trình bắt gói tin • Xuất tệp cho nhiều chương trình bắt gói tin khác Wireshark lưu gói bắt nhiều định dạng • Bộ phân tích giao thức Có phân tích (hoặc giải mã) giao thức cho nhiều giao thức khác • Phần mềm mã nguồn mở Wireshark dự án phần mềm mã nguồn mở phát hành theo giấy phép GNU General Public (GPL) Bạn thoải mái sử dụng Wireshark máy tính bạn thích mà khơng cần lo lắng khóa cấp phép phí thứ tương tự Ngoài ra, tất mã nguồn có sẵn miễn phí theo GPL Do đó, người dễ dàng thêm giao thức vào Wireshark, plugin tích hợp sẵn mã nguồn Xác định lưu Macro lọc Bạn xác định macro lọc với Wireshark gắn nhãn để sử dụng sau Điều tiết kiệm thời gian ghi nhớ gõ lại số lọc phức tạp mà bạn sử dụng Để xác định lưu macro lọc riêng bạn, làm theo bước bên dưới: Trong menu chính, chọn Analyze › Display Filter Macros… Wireshark mở hộp thoại tương ứng cửa sổ Hiển thị Macro Bộ lọc Hình 2.43 Hiển thị cửa sổ Macro lọc Để thêm macro lọc mới, nhấp vào nút [+] góc bên trái Một hàng xuất bảng Macro Bộ lọc Hiển thị Nhập tên macro bạn vào cột Tên Nhập macro lọc bạn vào cột Văn Để lưu sửa đổi bạn, nhấp vào nút [OK] góc bên phải cửa sổ Macro Bộ lọc Hiển thị Tìm gói tin Bạn dễ dàng tìm thấy gói sau bạn chụp số gói đọc tệp chụp lưu trước Chỉ cần chọn menu Wireshark mở cơng cụ cơng cụ danh sách gói hiển thị cơng cụ “Tìm gói” 71 Thanh cơng cụ "Tìm gói" Hình 2.44 Thanh cơng cụ “Tìm gói tin” Bạn tìm kiếm tiêu chí sau: Bộ lọc hiển thị Nhập chuỗi lọc hiển thị vào trường nhập văn nhấp vào nút [ Find ] + Ví dụ: để tìm bắt tay ba cách cho kết nối từ máy chủ 192.168.0.1, sử dụng chuỗi lọc sau: ip.src==192.168.0.1 and tcp.flags.syn==1 Giá trị tìm thấy kiểm tra cú pháp bạn nhập Nếu trình kiểm tra cú pháp giá trị bạn thành công, trường nhập chuyển sang màu xanh lục, không thành công, chuyển sang màu đỏ Giá trị thập lục phân Tìm kiếm chuỗi byte cụ thể liệu gói Ví dụ: sử dụng “ef: bb: bf” để tìm gói có chứa dấu thứ tự byte UTF-8 Chuỗi Tìm chuỗi liệu gói, với nhiều tùy chọn khác Biểu thức quy Tìm kiếm liệu gói cách sử dụng biểu thức quy tương thích với Perl Các mẫu PCRE nằm phạm vi tài liệu này, việc nhập “pcre test” vào cơng cụ tìm kiếm u thích bạn trả số trang web giúp bạn kiểm tra khám phá biểu thức Đi đến gói cụ thể Bạn dễ dàng chuyển đến gói cụ thể mục trình đơn menu Bắt đầu Lệnh "Quay lại" 72 Quay lại lịch sử gói, hoạt động giống lịch sử trang hầu hết trình duyệt web Lệnh "Đi phía trước" Tiếp tục lịch sử gói, hoạt động giống lịch sử trang hầu hết trình duyệt web Thanh cơng cụ “Chuyển đến gói tin” Hình 2.45 Thanh cơng cụ “Chuyển đến gói tin” Thanh cơng cụ mở cách chọn Go › Go to packet… từ menu Nó xuất cơng cụ danh sách gói, tương tự cơng cụ "Tìm gói" Khi bạn nhập số gói nhấn [ Go to packet ] Wireshark chuyển đến gói Lệnh "Chuyển đến gói tương ứng" Nếu trường giao thức chọn trỏ đến gói khác tệp bắt, lệnh chuyển đến gói Vì trường giao thức hoạt động giống liên kết (giống trình duyệt Web bạn), nên dễ dàng cần nhấp đúp vào trường để chuyển đến trường tương ứng Lệnh "Chuyển đến gói đầu tiên" Lệnh chuyển đến gói hiển thị Lệnh "Chuyển đến gói cuối cùng" Lệnh chuyển đến gói cuối hiển thị Đánh dấu gói tin Bạn đánh dấu gói ngăn “Danh sách gói” Một gói đánh dấu hiển thị với đen, quy tắc tô màu đặt Đánh dấu gói tin hữu ích để tìm thấy sau phân tích tệp tin lớn Thơng tin gói đánh dấu khơng lưu trữ tệp nơi khác Nó bị đóng tập tin 73 Bạn sử dụng đánh dấu gói để kiểm sốt đầu gói lưu, xuất in Để làm vậy, tùy chọn phạm vi gói có sẵn, xem khung “Phạm vi Gói” Có số cách để đánh dấu bỏ đánh dấu gói tin Từ menu Chỉnh sửa, bạn chọn từ tùy chọn sau: • Đánh dấu / Bỏ đánh dấu gói : chuyển đổi trạng thái đánh dấu gói Tùy chọn có sẵn menu ngữ cảnh danh sách gói • Đánh dấu tất : Hiển thị đặt trạng thái đánh dấu tất gói hiển thị • Bỏ đánh dấu tất : Hiển thị đặt lại trạng thái đánh dấu tất gói Bạn đánh dấu bỏ đánh dấu gói cách nhấp vào danh sách gói nút chuột Bỏ qua gói Bạn bỏ qua gói ngăn “Danh sách gói” Sau đó, Wireshark giả vờ chúng không tồn tệp Một gói bị bỏ qua hiển thị với trắng trước màu xám, quy tắc tơ màu đặt Thơng tin gói bị bỏ qua không lưu trữ tệp nơi khác Nó bị đóng tập tin Có số cách để bỏ qua hủy bỏ qua gói tin Từ menu Chỉnh sửa, bạn chọn từ tùy chọn sau: • Bỏ qua / Không bỏ qua : chuyển đổi trạng thái bị bỏ qua gói Tùy chọn có sẵn menu ngữ cảnh danh sách gói • Bỏ qua tất gói hiển thị : đặt trạng thái bị bỏ qua cho tất gói hiển thị • Khơng bỏ qua tất gói hiển thị : đặt lại trạng thái bị bỏ qua tất gói Các định dạng hiển thị thời gian tham chiếu thời gian Trong gói bắt, gói đánh dấu thời gian Các dấu thời gian lưu vào tệp, chúng có sẵn để phân tích sau Bạn tìm thấy mô tả chi tiết dấu thời gian, múi dấu tương tự tại: Dấu thời gian Có thể chọn định dạng trình bày dấu thời gian độ xác danh sách gói cách sử dụng menu View, xem Menu “View” Các định dạng trình bày có sẵn là: 74 • Ngày ngày: 1970-01-01 01: 02: 03.123456 Ngày tuyệt đối ngày gói tin bắt • Thời gian ngày: 01: 02: 03.123456 Thời gian tuyệt đối ngày gói tin bắt • Giây kể từ bắt đầu chụp: 123.123456 Thời gian liên quan đến thời điểm bắt đầu tệp bắt “Tham chiếu thời gian” trước gói • Giây kể từ gói bắt trước: 1.123456 Thời gian liên quan đến gói chụp trước • Giây kể từ gói hiển thị trước: 1.123456 Thời gian so với trước gói hiển thị • Giây kể từ kỷ nguyên (1970-01-01): 1234567890.123456 Thời gian so với kỷ nguyên (nửa đêm UTC ngày tháng năm 1970) Các khu vực sẵn có (hay cịn gọi số chữ số thập phân hiển thị) là: • Tự động (từ tệp bắt) Độ xác dấu thời gian định dạng tệp bắt tải sử dụng (mặc định) • Giây, Phần mười giây, Phần trăm giây, Mili giây, Micro giây Nano giây Độ xác dấu thời gian bị buộc cài đặt định Nếu độ xác thực có sẵn nhỏ hơn, số khơng thêm vào Nếu độ xác lớn hơn, chữ số thập phân cịn lại bị cắt bỏ Ví dụ độ xác: Nếu bạn có dấu thời gian hiển thị cách sử dụng "Giây kể từ gói trước", giá trị 1.123456 Điều hiển thị cách sử dụng cài đặt "Tự động" cho tệp libpcap (là micro giây) Nếu bạn sử dụng Giây, hiển thị đơn giản bạn sử dụng Nanoseconds, hiển thị 1.123456000 Tham chiếu thời gian gói Người dùng đặt tham chiếu thời gian cho gói Tham chiếu thời gian điểm bắt đầu cho tất phép tính thời gian gói Nó hữu ích, bạn muốn xem giá trị thời gian liên quan đến gói đặc biệt, ví dụ: bắt đầu yêu cầu Có thể đặt nhiều tham chiếu thời gian tệp chụp Các tham chiếu thời gian không lưu vĩnh viễn bị bạn đóng tệp Tham chiếu thời gian hữu ích định dạng hiển thị thời gian đặt thành “Giây kể từ bắt đầu bắt” Nếu định dạng hiển thị thời gian khác 75 sử dụng, việc tham chiếu thời gian khơng có tác dụng (và khơng có ý nghĩa gì) Để làm việc với tham chiếu thời gian, chọn mục Tham chiếu thời gian menu: menu [Chỉnh sửa] từ menu bật lên ngăn “Danh sách gói” • Đặt tham chiếu thời gian (chuyển đổi) Bật tắt trạng thái tham chiếu thời gian gói tin chọn • Tìm Tìm gói tham chiếu lần sau ngăn “Danh sách gói” • Tìm trước Tìm gói tham chiếu lần trước ngăn “Danh sách gói” Hình 2.46 Wireshark hiển thị gói tham chiếu thời gian Một gói tham chiếu thời gian đánh dấu chuỗi * REF * cột Thời gian (xem gói số 10) Tất gói hiển thị thời gian kể từ lần tham chiếu cuối 76 Chương 3: Demo Trong phần này, có demo sau: Sử dụng Wireshark để nghe thông điệp HTTP, TELNET, TFTP, FTP - HTTP: Link video: https://ptiteduvnmy.sharepoint.com/:v:/g/personal/nguyentk_b18at176_stu_ptit_edu_vn/EXa 21AEP3qRKhRxjGwn3IP0BJFGRc8No-xAwHXMNwekUlQ?e=iF9O36 - TELNET Link video: https://ptiteduvnmy.sharepoint.com/:v:/g/personal/nguyentk_b18at176_stu_ptit_edu_vn/EaSDtb8YrRx PhRi58CQp3zcBa4TBgoA5IJPwT_rnC5d4uw?e=G3tCxq - TFTP: Link video: https://ptiteduvnmy.sharepoint.com/:v:/g/personal/nguyentk_b18at176_stu_ptit_edu_vn/Edf nE3nN5AhAtOPEFLx6oAgB6jxGMeHewSUOaD2B8YBfzw - FTP Link video: https://ptiteduvnmy.sharepoint.com/:v:/g/personal/nguyentk_b18at176_stu_ptit_edu_vn/EWM801_r5q xImj2FbxfWmasBYsrgR7903FMq5bSJUliSXA?e=4MQahx Sử dụng Ettercap để công ARP Spoofing, sau dùng Wireshark để bắt thơng điệp HTTP, TELNET, TFTP, FTP - HTTP: Link video: https://ptiteduvnmy.sharepoint.com/:v:/g/personal/nguyentk_b18at176_stu_ptit_edu_vn/EQ mrgqL8165CtdeYjIx1NjgBylb6UXoASyt7U3jdCnqmnw?e=Ek2cRt - TELNET Link video: https://ptiteduvnmy.sharepoint.com/:v:/g/personal/nguyentk_b18at176_stu_ptit_edu_vn/EdjruiCFiFdE gc9zzLV3mL0BYIyXt_Jxu8Fl_2gVn3RHCg?e=f1hj1L - TFTP: Link video: https://ptiteduvnmy.sharepoint.com/:v:/g/personal/nguyentk_b18at176_stu_ptit_edu_vn/Edf nE3nN5AhAtOPEFLx6oAgB6jxGMeHewSUOaD2B8YBfzw?e=sUEIKl 77 - FTP Link video: https://ptiteduvnmy.sharepoint.com/:v:/g/personal/nguyentk_b18at176_stu_ptit_edu_vn/EReR5WcCtD 9BpbXS18vCN_gB17LPOpEX-C5NkEeCehoN7A?e=wGilxC Sử dụng Wireshark để tạo lọc phát công ARP Spoofing Link video: https://ptiteduvnmy.sharepoint.com/:v:/g/personal/nguyentk_b18at176_stu_ptit_edu_vn/ETVrr YR7mJ9LsFBNtCZT3BYBPy5Cp-DA3C6UE2biJqK41Q?e=srEXMz Sử dụng Wireshark để giải mã HTTPS Link video: https://ptiteduvnmy.sharepoint.com/:v:/g/personal/nguyentk_b18at176_stu_ptit_edu_vn/Efm2Y 55JPMBEuQgMDdIIOy0Bmf1zIuRudTdsVMqKS_7ykw?e=30YYwl 78 Chương 4: So sánh, đánh giá, kết luận I So sánh Mặc dù, có hàng trăm cơng cụ dị tìm gói tin có mặt thị trường theo yêu cầu cá nhân ngành khác nhau, số này, Tcpdump Wireshark công cụ ưa chuộng sử dụng rộng rãi Các tính Tcpdump Wireshark 1.1 Tcpdump Một công cụ thu thập lưu lượng mạng tốt nhẹ có sẵn miễn phí Tcpdump Nó hữu ích cho người học mạng người đam mê muốn hiểu rõ TCP / IP kết xuất gói tin định dạng thơ mà khơng cần phân tích nhiều Nhiệm vụ phân tích liệu thơ trí óc người dẫn đến rõ ràng khái niệm mạng gói Vì mục đích này, Tcpdump cung cấp nhiều tùy chọn xem chi tiết Gói chụp số định dạng tùy chọn '-t' cung cấp đầu dấu thời gian đọc người, '-X' hiển thị Hex ASCII nội dung gói, '-v '' -vv 'và' -vvv 'làm tăng thơng tin gói hiển thị 1.2 Wireshark Cơng cụ dị tìm mạng phổ biến Wireshark Nó cơng nhận giao diện đồ họa đơn giản tùy chọn chụp lọc mạnh mẽ Công cụ cung cấp miễn phí giống Tcpdump Wireshark có khả quét loại mạng - Ethernet, Wi-Fi, chế độ giám sát chí Bluetooth Đây lý Wireshark sử dụng tồn cầu gã khổng lồ ngành khơng cơng cụ dị tìm mà cịn Hệ thống phát xâm nhập (IDS) Công cụ nhanh chóng phát báo cáo công Từ chối Dịch vụ (DOS), công vào Tường lửa vi phạm bảo mật thơng qua mạng Wireshark đến độ sâu bit gói tin Nó tách gói giao thức mạng khác cách làm bật giao thức với bảng màu khác màu xanh cho HTTP, màu xanh lam cho DNS, v.v So sánh Tcpdump với Wireshark 2.1 Tùy chọn • Tcpdump có khả kết xuất gói cách chọn lọc dựa chuỗi, số phù hợp chí đoạn chương trình C với tùy chọn –dd –ddd Wireshark kết xuất tất gói sau áp dụng lọc phù hợp • Wireshark kết xuất gói nhiều tệp lệnh –b Nó tạo đệm vòng theo lựa chọn người dùng Tùy chọn khơng có sẵn Tcpdump • Wireshark thu thập in loại thống kê khác hiển thị cửa sổ cập nhật theo thời gian bán thực thông qua lệnh –z khơng có tính thống kê Tcpdump 79 • Tcpdump giải mã gói IPsec ESP biên dịch mật mã Điều thực lệnh –E Tính khơng có Wireshark • Chế độ có Tcpdump khơng có Wireshark Chế độ cho phép gói trực tiếp đến cửa sổ đầu cuối thay đệm Đây mặc định Tcpdump • Chi tiết (lượng thơng tin gói) quản lý dịng lệnh Tcpdump với lệnh –v, -vv –vvv thực Wireshark Giao diện đồ họa 2.2 Bộ nhớ Hình 4.1 Bộ nhớ sử dụng Wireshark Hình 4.2 Bộ nhớ sử dụng Tcpdump Sau phân tích hai cơng cụ nhiều lần cách chạy tiện ích Htop có sẵn Ubuntu, trường hợp coi mức trung bình số trường hợp thực hai công cụ chúng quét chế độ Ethernet (eth0) VIRT (Kích thước ảo) - Tổng kích thước chương trình nhớ VIRT Tcpdump xấp xỉ 27-29 Mb Wireshark gấp 20 lần, tức 620-640 Mb RES (Kích thước thường trú) - Bộ nhớ vật lý thực tế tiêu thụ trình 80 RES Tcpdump 5,8-6,3 Mb Wireshark 87-91 Mb SHR (Bộ nhớ dùng chung) - Kích thước chia sẻ VIRT SHR Tcpdump 5,1-5,3 Mb Wireshark 35-36 Mb MEM% (Phần trăm nhớ) - Phần trăm nhớ sử dụng trình Tcpdump có Mem% 0,6% Wireshark có 8,8-9,6% Từ phân tích trên, rõ ràng loại nhớ Wireshark sử dụng gấp vài lần nhớ Tcpdump sử dụng Vì nhớ thông số quan trọng để đánh giá công cụ, nên Tcpdump thắng nội dung 2.3 Điện sử dụng Hình Wakeups/s & Events/s Wireshark Tcpdump Điện sử dụng yếu tố quan trọng khác việc so sánh hiệu công cụ Các công cụ sử dụng lượng tối thiểu cho sản lượng tối đa cho hiệu Cơng cụ tiện ích Powertop sử dụng để phân tích mức sử dụng điện xử lý hai công cụ kết gần giống lúc Wireshark sử dụng lượng gấp hàng trăm lần so với Tcpdump Điều trở nên rõ ràng kết thực sau nhiều lần lặp lại khoảng thời gian dài Ngoài lệnh Powertop –calibrate chạy trước để có kết đáng tin cậy Trong Tcpdump sử dụng xử lý 37-38 micro giây / giây Wireshark sử dụng khoảng 1,5 micro giây giây xử lý Ngồi ra, Wireshark có 14 lần wakeups / giây Tcpdump có Graphics wakeups/giây Wireshark 0,1; không áp dụng với Tcpdump thiếu giao diện đồ họa Hình 4.4 Điện sử dụng Wireshark Tcpdump 81 Năng lượng sử dụng Tcpdump không đáng kể, 0% với Wireshark 0,2% Do số lượng lớn gói chế độ giám sát, việc sử dụng trở nên đa dạng hai trường hợp mức sử dụng tăng gần hai cơng cụ Hình 4.5 Thống kê chế độ giám sát Từ phân tích trên, rõ ràng Tcpdump đánh bại Wireshark Hiệu liên quan đến việc sử dụng lượng xử lý 2.4 Tốc độ bắt Tốc độ nắm bắt gói tin phát cách sử dụng định thời chạy đồng thời hai công cụ máy cục dẫn đến kết đầu gần giống Trong chế độ giám sát, tỷ lệ bắt cao, số lượng gói tin bị Tcpdump bỏ qua lớn Nhưng cách tăng snaplen, làm cho số khơng Sau đó, so sánh hai cơng cụ lấy kết Wireshark bắt gói nhanh 2-3% so với Tcpdump Mặc dù chế độ giám sát, điều nghe khơng có nhiều khác biệt quét mạng kỹ lưỡng tìm gói độc hại, việc đánh rơi khơng cảm nhận gói tạo khác biệt lớn Đây vấn đề nhạy cảm mà Wireshark bắt nhiều gói tin thời điểm Trong chế độ Ethernet, việc bắt gói Wireshark Tcpdump mạng có lưu lượng hơn, tức 1000 gói 60 giây Nếu số lượng gói tin tăng lên, Wireshark bắt nhiều với mức tăng 0,5-1% Phân tích cho thấy Wireshark đánh bại Tcpdump tốc độ bắt gói tin 2.5 Post Capture Một phần quan trọng nghiên cứu xoay quanh phải thực với gói tin cách cơng cụ giúp phân tích gói tin Đây mục đích việc sử dụng cơng cụ công cụ giúp tiết kiệm thời gian chúng tơi việc phân tích nội dung gói ưu tiên cơng cụ 82 Hình 4.6 Ví dụ bắt gói tin Wireshark Hình 4.7 Ví dụ bắt gói tin Tcpdump Như nhìn thấy từ hình trên, giao diện đồ họa mạnh mẽ nó, Wireshark phân tách loại gói tin khác mã màu Các mã định loại gói, mối quan hệ chúng giao thức Ví dụ: tin quảng bá định tuyến có mã màu màu hồng, HTTP có màu xanh cây, giao thức TCP có màu xám, v.v Mặt khác, Tcpdump khơng phân biệt loại gói tin khác để người dùng phân loại gói tin Lượng thơng tin điều chỉnh cú nhấp chuột Wireshark khi, phải xác định trước –v –Vv –vvv Tcpdump 83 Sau bắt đầu bắt, khó để nhóm áp dụng lọc Tcpdump, thực thời gian thực Wireshark dễ dàng Nếu lệnh lưu gói tệp không định trước chạy chụp Tcpdump, gói cửa sổ đầu cuối, Wireshark cung cấp phương tiện để lưu gói sau Nó chí cịn đưa cảnh báo cố gắng thoát mà khơng lưu gói tin Kết luận Từ phát trên, kết luận Tcpdump vượt trội Wireshark điện sử dụng, sử dụng nhớ vi xử lý Wireshark Wireshark có khả phân tích gói tin bắt tốc độ bắt cao II Đánh giá, kết luận Wireshark công cụ thiết kế cho cần giám sát mạng họ vấn đề bảo mật hiệu suất Wireshark đáp ứng nhu cầu người dùng gia đình người dùng cấp doanh nghiệp Và Wireshark đọc thơng tin thu từ ứng dụng Snoop, Sniffer Microsoft Network Monitor, đóng vai trị cơng cụ bổ sung để phân tích mạng Wireshark phân tích lưu lượng mạng kích thước mạng Wireshark thực điều với sức mạnh thường thấy công cụ đắt tiền hơn, miễn phí Vì vậy, phận CNTT cần phân tích mạng mạnh mẽ, khơng có ngân sách để mua phân tích có hiệu cao, chuyển sang sử dụng Wireshark Tuy nhiên, vấn đề với Wireshark thiếu tài liệu thức hỗ trợ cần thiết Wireshark có cộng đồng phát triển tích cực giới nguồn mở bạn tìm thấy hỗ trợ dạng diễn đàn, hướng dẫn Nhưng chuyên gia CNTT cấp doanh nghiệp cần đường dây nóng để gọi hỗ trợ lập tức, Wireshark đáp ứng Wireshark tiêu chuẩn phần mềm mã nguồn mở việc phân tích mạng Đây cơng cụ thân thiện với người dùng, mạnh mẽ giúp bạn hồn tồn nhận thức diễn mạng 84 TÀI LIỆU THAM KHẢO [1] R Sharpe, E Warnicke and U Lamping, "Wireshark User’s Guide," [Online] Available: https://www.wireshark.org/docs/wsug_html_chunked/ [Accessed 20 December 2021] [2] P Goyal and A Goyal, "Comparative Study of two Most Popular Packet Sniffing ToolsTcpdump and Wireshark," in 9th International Conference on Computational Intelligence and Communication Networks, Northern Cyprus, 2017 [3] "Wireshark," [Online] Available: https://en.wikipedia.org/wiki/Wireshark [Accessed 20 December 2021] [4] [Online] Available: https://wiki.wireshark.org/Home [Accessed 20 December 2021] 85 ... hành cuối hỗ trợ macOS 10.12 10 • Wireshark 2.6 phát hành cuối hỗ trợ Mac OS X 10.6 10.7 OS X 10.8 tới 10.11 • Wireshark 2.0 phát hành cuối hỗ trợ OS X Intel 32-bit • Wireshark 1.8 phát hành cuối. .. cài đặt Wireshark với Qt GUI: yum install wireshark wireshark-qt Nếu bạn tạo RPM riêng từ Wireshark source, bạn cài đặt chúng cách chạy, ví dụ: rpm -ivh wireshark- 2.0.0-1.x86_64.rpm wireshark- qt-2.0.0-1.x86_64.rpm... tích liệu, giám sát gói tin hiển thị xác báo cáo cho người dùng, tổ chức để ngăn chặn nguy công cần thiết Trong báo cáo đây, em xin trình bày công cụ Wireshark Hà Nội, ngày 12 tháng 12 năm 2021