HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN CƠ SỞ AN TỒN THƠNG TIN Đề tài: TÌM HIỂU VỀ GIAO THỨC HTTP VÀ HTTPS Sinh viên thực hiện: LÊ THỊ PHƯỢNG AT150545 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN CƠ SỞ AN TỒN THƠNG TIN Đề tài: TÌM HIỂU VỀ GIAO THỨC HTTP VÀ HTTPS Sinh viên thực hiện: LÊ THỊ PHƯỢNG AT150545 LỜI NÓI ĐẦU Ngày công nghệ thông tin phát triển, việc truy cập, trao đổi, chia sẻ liệu trang web cần thiết Có lẽ điều quen thuộc truy cập vào địa web, thấy bắt đầu với http:// hay https:// HTTP, HTTPS giao thức truyền tải siêu văn tảng Internet, máy trính người dùng máy chủ server Môi trường Internet phát triển, kéo theo tội phạm mạng tăng cao, cần phải hiểu rõ giao thức mạng http, https, cách thức hoạt động giao thức hệ thống mạng để sử dụng giao thức trường hợp sử dụng giao thức để truy cập Internet an toàn Nhận thấy mức độ cần thiết tầm quan trọng xu hướng phát triển tương lai, chúng em nghiên cứu đề tài: “Tìm hiểu giao thức HTTP HTTPS” Đề tài trình bày vấn đề tổng quan giao thức mạng, giới thiệu HTTP, HTTPS với nội dung sau: Chương 1: Tổng quan giao thức mạng Chương 2: Giao thức mạng HTTP HTTPS Chương 3: Phân tích gói tin qua phần mềm Wireshark Kết luận hướng phát triển MỤC LỤC DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT STT Chữ viết tắt Giải nghĩa HTTP Giao thức truyền tải siêu văn HTTPS Giao thức truyền tải siêu văn bảo mật SEO Tối ưu hóa cơng cụ tìm kiếm CA Cơ quan phát hành chứng kỹ thuật số RSA Một thuật tốn hệ mã hóa cơng khai DSA Thuật tốn chữ ký số PKCS Một chuẩn phịng thí nghiệm RSA Data Security phát triển IDEA Phương pháp mã khối DES Tiêu chuẩn mã hóa liệu 10 MAC Mã xác thực thông điệp 11 HMAC Mã xác thực thông điệp dựa hàm băm 12 URL Trình định vị tài nguyên thống 13 URI Chuỗi ký tự xác định tài nguyên web 14 IETF Nhóm đặc trách kỹ thuật Internet 15 W3C Tổ chức tiêu chuẩn quốc tế thức cho website 16 RFC Đề nghị duyệt thảo bình luận 17 TCP Giao thức điều khiển truyền vận 18 IP Giao thức Internet 19 FTP Giao thức truyền tải tập tin 20 SMTP Giao thức truyền tải thư tín đơn giản 21 REST Chuyển trạng thái trình bày DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU CHƯƠNG TỔNG QUAN VỀ GIAO THỨC MẠNG 1.1 Khái niệm giao thức mạng Giao thức mạng tập hợp quy tắc thiết lập để xác định cách liệu truyền thiết bị khác mạng Về bản, cho phép thiết bị kết nối giao tiếp với Các giao thức mạng lý dễ dàng giao tiếp với người khắp giới Một số giao thức mạng bản: − TCP (Transmission Control Protocol): giao thức có nhiệm vụ chia nhỏ liệu thành gói để truyền liệu Thiết lập kết nối máy tính đảm bảo việc truyền liệu thành công; − IP (Internet Protocol): định tuyến gói liệu chúng truyền qua mạng Internet, đảm bảo liệu truyền đến nơi nhận; − HTTP (HyperText Transfer Protocol): cho phép trap đổi thông tin, chủ yếu dạng siêu văn qua Internet; − HTTPS (HyperText Transfer Protocol Secure): giao thức truyền tải siêu văn bảo mật, phiên an toàn HTTP, tất giao tiếp trình duyệt trang web mã hóa; − FTP (File Transfer Protocol): cho phép trao đổi tập tin qua Internet; − SMTP (Simple Mail Transfer Protocol): cho phép gửi thông điệp thư điện tử qua internet; − … 1.2 Mối đe dọa mạng Các mối đe dọa mạng hoạt động gây hại tác nhân gây ảnh hưởng đến an tồn bảo mật thơng tin hay quan tổ chức nói chung Ba mối đe dọa mạng: − Mối đe dọa bên trong: nguy đến từ người dùng có quyền truy cập hợp pháp vào tài sản công ty, sử dụng quyền truy cập đó, dù cố tình hay vô ý gây hại cho doanh nghiệp − Mối đe dọa bên ngoài: nguy đến từ đối tượng Internet, nằm ngoai quan, doanh nghiệp Bằng cách họ chiếm quyền điều khiển truy cập trái phép vào máy tính bạn Nhằm mục đích đánh cắp thơng tin để tống tiền rao bán thông tin quan trọng − Mối đe dọa kết hợp: phương pháp công mạng đặc trưng hai mối đe dọa Có đến 60% vụ cơng, rị rỉ thơng tin từ mối đe dọa bên Vì đối tượng bên có điều kiện hiểu rõ mặt mạng lưới, hệ thống thơng tin, vị trí nhạy cảm, từ khả khai thác có hội cao 1.3 Những tính chất an tồn thông tin Một hệ thống bảo mật gồm ba đặc trưng cốt yếu tính bí mật thơng tin (Confidentiality), tính tồn vẹn thơng tin (Integrity), tính khả dụng hệ thống (Availability) 1.3.1 Tính bí mật (Confidentiality) Tính bảo mật thơng tin tính giới hạn đối tượng truy xuất đến thông tin, đảm bảo đối tượng cấp quyền biết nội dung thông tin Nguyên nhân phá vỡ tính bảo mật: − Nghe lén, đọc − Xâm nhập trái phép − Sự bất cẩn (nhầm lẫn, cảnh giác) người có bí mật − Gián điệp… 1.3.2 Tính tồn vẹn (Integrity) Tính tồn vẹn thông tin đảm bảo tồn nguyên vẹn thông tin, loại trừ thay đổi thông tin có chủ đích hư hỏng, mát thơng tin cố thiết bị phần mềm Toàn vẹn nội dung nguồn gốc Hoạt động dựa hai chế: - Cơ chế ngăn chặn: có chức ngăn chặn hành vi trái phép làm thay đổi - nội dung nguồn gốc thông tin Cơ chế phát hiện: thực chức giám sát thơng báo có thay đổi diễn thơng tin cách phân tích kiện diễn hệ thống Nguyên nhân phá vỡ tính tồn vẹn: - Lỗi đường truyền Lỗi phát sinh lưu trữ Tấn cơng sửa đổi, phá hủy 1.3.3 Tính khả dụng (Availability) Tính khả dụng (sẵn sàng) đảm bảo khả truy cập thơng tin Tính hệ thống thơng tin người dùng hợp lệ có nhu cầu Nguyên nhân phá vỡ tính khả dụng: - Tấn cơng DoS, DdoS Cấu hình sai Tính tồn vẹn bị phá vỡ Hỏng hóc Mất điện, thiên tai, hỏa hoạn,… 10 3.2.2 Quá trình trao đổi liệu Quá trình thiết lập kết nối kiểu bắt tay bước Trên cửa sổ Wireshark, dựa TCP segment [SYN], theo dõi q trình thiết lập kết nối diễn máy tính local client học viên remote webserver theo hướng Client->Server Server->Client Hình 2.13 Quá trình bắt tay bước 3.2.2.1 HTTP Request - HTTP GET: Sau bắt tay bước thực xong, yêu cầu HTTP GET gửi đến máy chủ 30 Hình 2.14 Yêu cầu HTTP GET đến máy chủ Các trường quan trọng gói GET: 31 Hình 2.15 Các trường gói HTTP-GET GET / HTTP/1.1\r\n: Phương pháp yêu cầu, gói tin HTTP GET, phiên yêu cầu HTTP 1.1; Host: actvn.edu.vn\r\n : tên máy chủ web mà client gửi yêu cầu HTTP GET; User-Agent: Mozilla/5.0(X11;Ubuntu; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0\r\n : Loại trình duyệt phía client; Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q= 0.8\r\n: Cho máy chủ biết loại tệp mà trình duyệt phía client chấp nhận; Accept-Language:en-US,en;q=0.5\r\n: tiêu chuẩn ngôn ngữ chấp nhận; Accept-Encoding: gzip, deflate\r\n: mã hóa chấp nhận phía client Connection: keep-alive\r\n : kiểm sốt xem kết nối mạng có mở sau giao dịch kết thúc hay không Loại kết nối tồn tại; Upgrade-Insecure-Requests: 1\r\n : Nâng cấp yêu cầu bảo mật (có thể) - HTTP POST: Yêu cầu máy chủ chấp nhận thực thể đính kèm request xác nhận URL, ví dụ: thơng tin khách hàng, file tải lên, 32 Hình 2.16 Nội dung gói tin POST 3.2.2.2 HTTP Response HTTP OK: Sau liệu gửi thành công, HTTP OK: cho biết yêu cầu thành cơng Hình 2.17 Các trường hợp gói HTTP 33 HTTP/1.1 200 OK\r\n: Máy chủ phiên HTTP 1.1; 200- Mã trạng thái máy chủ gửi (mã phản hồi trạng thái thành công) cho biết yêu cầu thành cơng; Cache-Control: private\r\n: kiểm sốt nhớ đệm Xác định xem phản hồi /yêu cầu lưu vào nhớ đệm hay không, nơi lưu vào nhớ cache liệu có phải xác thực với máy chủ gốc trước lưu vào nhớ đệm hay không Private: phản hồi lưu trữ nhớ cache trình duyệt, phản hồi thông thường lưu nhớ cache Content-Type: text/html; charset=utf-8\r\n: cho biết loại nội dung nội dung trả thực gì- dạng text/html với tiêu chuẩn mã hóa ký tự Server: Microsoft-IIS/10.0\r\n: chi tiết máy chủ X-AspNet-Version: 4.0.30319\r\n: Phiên cấu hình máy chủ Set-Cookie: ASP.NET_SessionId=2vumv2kfych3agjn3s5kwica; path=/; HttpOnly; SameSite=Lax\r\n: Là cookie sử dụng để xác định phiên người dùng máy chủ Set-Cookie: AntiXsrfToken=7c4e57836f3045b4a17c594ed4f4886d; path=/; HttpOnly\r\n: gửi cookie từ máy chủ đến user agent HttpOnly: khơng có giá trị xác định, làm cho cookie thao tác server mà không bị thao tác script phía người dùng X-Powered-By: ASP.NET\r\n: cho biết trang web chạy khuôn khổ Date: Wed, 15 Sep 2021 01:25:47 GMT\r\n: Ngày tại, thời gian tính theo GMT máy chủ nhận HTTP GET Content-Length: 27451\r\n: tổng độ dài nội dung xác phần thân HTTP 34 3.3 Phân tích gói tin HTTPS 3.3.1 Thu thập lưu lượng truy cập HTTPS Điều hướng đến web: https://dantri.com.vn/ 3.3.2 Chọn lưu lượng truy cập đích Để xem lưu lượng HTTPS, nhập tls vào lọc Chọn gói TLS có nhãn Client Hello Hình 2.18 Lưu lượng truy cập HTTPS Quan sát địa đích: 42.113.206.24 3.3.3 Phân tích lưu lượng kết nối TCP Quan sát lưu lượng thu ngăn sách gói Wireshark gói đầu tiên( TCP SYN, SYN+ACK, ACK) 35 Hình 2.19 Quá trình bắt tay bước HTTPS Lưu ý: tất kết nối có địa MAC, địa IP số cổng phù hợp 3.3.4 Quá trình bắt tay SSL/TLS Hình 2.20 Qúa trình bắt tay SSL/TLS Bước 1: Chọn gói có nhãn Client Hello Tại liệt kê phiên SSL/TLS mã sử dụng 36 Hình 2.21 Client Hello Bước 2: Phân tích lưu lượng SSl/TLS Server Hello Chọn TLS có nhãn Server Hello Tại máy chủ thấy danh sách phiên SSL/TLS, mật mã chọn phiên mà máy chủ sử dụng Sau đó, máy chủ gửi tin nhắn đến máy khách có chứa phiên SSL/TLS mật mã mà chọn 37 Hình 2.22 Server Hello Bước 3: Trao đổi khóa máy chủ Chọn gói có nhãn Certificate, Server Key Exchange, Server Hello Done Sau máy chủ máy khách nhấn vào phiên SSL /TLS mật mã, máy chủ gửi hai thứ Đấu tiên chứng SSL /TLS cho máy khách Máy khách (trình duyệt web) xác thực chứng máy chủ Các trình duyệt web tự lưu trữ danh sách Root CA (Tổ chứng phát hành chứng chủ) Các CA gốc bên thứ ba trình duyệt web tin cậy Hình 2.23 Chứng SSL/TLS Điều thứ hai mà máy chủ gửi Khóa cơng khai chữ ký Khóa cơng khai thực bao gồm chứng Máy khách máy chủ mã hóa thơng báo khóa cơng khai giải mã khóa riêng Máy chủ khơng chia sẻ khóa riêng tư cho 38 Hình 2.24 Khóa cơng khai chữ ký máy chủ gửi Khi kết thúc q trình trao đổi khóa máy chủ, máy chủ gửi thông báo Server Hello Done Bước 4: Trao đổi khóa với máy khách Chọn gói TLS tiếp theo, có nhãn Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message Cho đến nay, tất thông tin gửi máy khách máy chủ không mã hóa Bây máy khách nhận khóa cơng khai máy chủ tạo khóa phiên mã hóa khóa cơng khai gửi đến máy chủ Khóa phiên giải mã khóa riêng máy chủ có khóa riêng nên máy khách máy chủ biết khóa phiên Khóa phiên có giá trị phiên Nếu người dùng đóng máy khách truy cập vào máy chủ vào ngày hôm sau, khóa phiên tạo máy khách 39 Hình 2.25 Trao đổi khóa với máy khách Bước 5: Thay đổi thơng số mật mã Chọn gói TLS có nhãn New Session Ticket Hình 2.26 Thay đổi thơng số mật mã Quan sát thông điệp bắt tay mã hóa Đây máy chủ xác nhận phiên mã hóa Bước 6: Phân tích trao đổi liệu mã hóa HTTPS Chọn gói TLS khác có nhãn Application Data 40 Máy khách máy chủ gửi cho thơng điệp mã hóa cho biết thơng tin xác Hình 2.27 Dữ liệu mã hóa 41 KẾT LUẬN Để hiểu cấu trúc hoạt động Web Server việc nắm kiến thức tảng liên quan giao thức mạng, HTTP, HTTPS hữu ích Qua việc nghiên cứu tìm hiểu phân tích chi tiết gói tin, q trình gửi nhận liệu, giúp chúng em hiểu phần khác hai giao thức này, từ việc nắm cách thức hoạt động giao thức HTTP HTTPS chúng em nhận thấy, HTTPS an toàn so với HTTP nhiều việc mã hóa liệu, bảo mật thơng tin cá nhân Tuy nhiên ưu điểm HTTP tốc độ phản hồi website truy cập nhanh HTTPS nhiều sử dụng cho trang tin tức cần thông tin nhanh Với trang web lớn để đảm bảo an tồn thơng tin người dùng trình sử dụng nên chấp nhận việc giảm tốc độ truy cập người dùng Việc giúp trang web email, ngân hàng, thông tin cá nhân khách hàng bảo mật tốt Trong thực đề tài này, hạn chế thời gian trình độ nên khơng tránh khỏi thiếu sót hạn chế định, chúng em mong có đóng góp ý kiến bổ sung thầy để nhóm có thêm kinh nghiệm hoàn thành tốt đề tài Chúng em xin chân thành cảm ơn! 42 TÀI LIỆU THAM KHẢO [1] https://viblo.asia/p/nhung-thu-ban-nen-biet-ve-http, truy nhập cuối ngày 21/9/2021 [2] https://www.tutorialsteacher.com/https/what-is-https, truy nhập cuối ngày 12/9/2021 [3] https://helpex.vn/article/giai-thich-ve-tls-ssl-vi-du-ve-lo-hong-va-tan-cong-tlsphan-cuoi-cung, truy cập cuối ngày 12/9/2021 [4] https://www.w3.org/Protocols/HTTP/1.1/rfc2616.pdf , truy cập cuối ngày 12/9/2021 [5] https://www.wireshark.org/docs/man-pages/wireshark-filter.html truy cập cuối ngày 28/9/2021 [6] https://linuxhint.com/http_wireshark/ truy cập cuối ngày 28/9/2021 43 PHỤ LỤC Phân chia công việc: - Chương + phần giao thức HTTP: Nguyễn Thị Huyền Giao thức HTTPS: Lê Thị Ngọc Chương phân tích gói tin: Lê Thị Phượng ... KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN CƠ SỞ AN TỒN THƠNG TIN Đề tài: TÌM HIỂU VỀ GIAO THỨC HTTP VÀ HTTPS Sinh viên thực hiện: LÊ THỊ PHƯỢNG AT150545 LỜI NÓI ĐẦU Ngày công nghệ thông tin phát triển,... thiết tầm quan trọng xu hướng phát triển tương lai, chúng em nghiên cứu đề tài: ? ?Tìm hiểu giao thức HTTP HTTPS? ?? Đề tài trình bày vấn đề tổng quan giao thức mạng, giới thiệu HTTP, HTTPS với nội... tăng cao, cần phải hiểu rõ giao thức mạng http, https, cách thức hoạt động giao thức hệ thống mạng để sử dụng giao thức trường hợp sử dụng giao thức để truy cập Internet an toàn Nhận thấy mức