Đang tải... (xem toàn văn)
WIRESHARK WIRESHARK WIRESHARK MỤC LỤC 1 Giới thiệu 1 1 Wireshark là gì? 1 2 Mục đích sử dụng 1 3 Tính năng 1 4 Nó không thể làm những việc gì? 2 Cài đặt Wireshark 2 1 Các thành phần 2 2 Các công cụ 2 3 Các chức năng khác 2 4 Về chương trình WinPCap 3 Giao diện người dùng 3 1 Giới thiệu 3 2 Cửa sổ chính 4 Thu thập động dữ liệu trong mạng (Capturing Live Network Data) 4 1 Giới thiệu 4 2 Các tùy chọn (Menu Capture Options) 4 3 Bộ lọc 5 Làm việc với các gói tin bắt được 5 1 Xem các gói tin đã bắt 5.
WIRESHARK WIRESHARK MỤC LỤC Giới thiệu 1.1 Wireshark gì? 1.2 Mục đích sử dụng 1.3 Tính 1.4 Nó khơng thể làm việc gì? Cài 2.1 2.2 2.3 2.4 Giao diện người dùng 3.1 Giới thiệu 3.2 Cửa sổ Thu thập động liệu mạng (Capturing Live Network Data) 4.1 Giới thiệu 4.2 Các tùy chọn (Menu Capture/ Options) 4.3 Bộ lọc Làm việc với gói tin bắt 5.1 Xem gói tin bắt 5.2 Lọc gói tin xem 5.3 Tạo biểu thức lọc hiển thị 5.4 Hộp thoại biểu thức lọc (Filter Expression Dialog box) 5.5 Tìm kiếm gói tin đặt Wireshark Các thành phần Các công cụ Các chức khác Về chương trình WinPCap WIRESHARK Giới thiệu 1.1 Wireshark ? Ethereal chương trình phân tích giao thức mã nguồn mở ban đầu viết Gerald Combs Sau đổi tên thành Wireshark năm 2006 Hiện Wireshark quản lý phát triển hàng trăm người khắp giới Wireshark cơng cụ dùng để phân tích giao thức mạng Wireshark cho phép bạn xem chi tiết giao thức mạng có, bắt gói tin phân tích offline chúng, phân tích VoIP Dữ liệu bắt thơng qua giao diện đồ hoạ qua TTY-mode tiện ích TShark Wireshark đọc/ghi nhiều dạng file tcpdump (libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer®, … Dữ liệu nén dạng gzip bắt giải nén lập tức, Wireshark cung cấp nhiều phương thức giải nén cho nhiều phương thức khác IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, … Wireshark có hỗ trợ nhiều quy tắc tơ màu cho phương thức khác nhau, giúp bạn phân tích chúng trực quan hơn.Wireshark làm việc với nhiều loại kết nối mạng, bao gồm Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, … 1.2 Mục đích sử dụng • Người quản trị mạng khắc phục lỗi mạng • Kĩ sư an ninh mạng xem xét vấn đề bảo mật • Người phát triển phân tích gỡ rối hoạt động giao thức • Người dùng nghiên cứu chất giao thức mạng • … 1.3.Tính • Được cài đặt hai HĐH phổ biến UNIX Windows • Thu thập gói tin lan tỏa đến card mạng • Hiển thị gói tin với thơng tin giao thức chi tiết • Có thể lưu giữ liệu thu thập vào file để sau sử dụng lại • Lọc gói tin theo nhiều tiêu chuẩn • • Tìm kiếm gói tin theo nhiều tiêu chuẩn Hiển thị màu sắc gói tin dựa chế lọc (để nhìn rõ hơn) • Tạo nhiều thống kê khác 1.4 Nó khơng thể làm việc ? Như cơng cụ khác, Wireshark dùng cho số việc không cho số việc khác Ở danh sách số việc mà Wireshark làm: • Nó khơng thể dùng để vạch mạng Thay vào cơng cụ Nmap đảm nhiệm chức • Nó khơng sinh ra liệu mạng - cơng cụ bị động Những công cụ nmap, ping traceroute ví dụ cơng cụ có khả sinh liệu mạng Những công cụ cơng cụ chủ động WIRESHARK • Nó thông tin chi tiết giao thức mà thật hiểu Nó hiểu nhiều giao thức mở rộng ra, bạn thêm vào giao thức hỗ trợ cho nó khơng hiểu Tuy nhiên bạn xem liệu mà bắt dạng hexdump • Nó bắt liệu tốt giao diện driver hệ điều hành hỗ trợ Vd việc việc bắt liệu thông qua mạng không dây Nó khơng làm việc tốt với số phần mềm phần cứng kết hợp Cài đặt Wireshark 2.1 Các thành phần Wireshark ứng dụng mã nguồn mở download miễn phí trang www.wireshark.org Cách cài đặt dễ dàng hướng dẫn Nhấn kép vào file cài đặt Nhấn nút "Next" hình Welcome Nhấn nút "I Agree" để chấp nhận điều kiện đăng kí WIRESHARK Nhấn nút "Next" để chấp nhận thiết đặt mặc định hộp thoại Choose Components Nhấn nút "Next" hộp thoại Select Additional Tasks WIRESHARK Nhấn nút "Next" hộp thoại Choose Install Location WIRESHARK Tại thời điểm này, trình cài đặt yêu cầu bạn muốn cài đặ WinPcap Hãy chắn ô Instal WinPcap chọn nhấn nút "Next" Việc cài đặt Wireshark bắt đầu chép file vào hệ thống bạn WIRESHARK Trình cài đặt WinPcap giới thiệu suốt trình cài Wireshark Nhấn nút "Next" hình Welcome 10 Nhấn nút "Next" hình WinPcap Setup Wizard WIRESHARK 11 Nhấn nút "I Agree" hình License Agreement 12 Nhấn nút "Finish" để đón trình cài đặt WinPcap WIRESHARK 13 Nhấn nút "Next" hộp thoại Wireshark Installtion Complete 14 Nhấn nút "Finish" để đóng trình cài đặt Wireshark WIRESHARK 2.2 Các cơng cụ • Editcap: chương trình đọc file liệu thu thập ghi số chọn lọc (hoặc tất cả) gói tin sang file liệu khác • Text2Pcap: chương trình đọc mã ASCII ghi liệu vào file • Mergecap: chương trình kết hợp nhiều file liệu thành file • Capinfos: chương trình cung cấp thông tin file liệu 2.3 Các chức khác • Start Menu ShortCuts: thêm shortcuts vào Start Menu • Desktop Icon: thêm biểu tượng wireshark vào hình Desktop • Quick Launch Icon: thêm biểu tượng wireshark vào Explorer Quick launch 2.4 Chương trình WinPCap WinPCap chương trình dùng để thu thập tức luồng liệu mạng Nếu chưa cài đặt WinPcap, bạn sử dụng wireshark để mở file thu thập liệu có sẵn Vì vậy, wireshark WinPcap thường cài đặt Tuy nhiên, kể từ phiên wireshark 0.10.12, cài WinPcap tích hợp vào cài wireshark nên khơng cần phải tải cài đặt hai gói phần mềm riêng biệt Thơng tin thêm WinPcap: • http://wiki.Ethereal.com/WinPcap • http://www.winpcap.org Giao diện người dùng 3.1 Giới thiệu Khởi động Wireshark windows đơn giản cách nhấn kép vào shortcut menu Start Điều giúp mở hình Wireshark 10 WIRESHARK 3.2 Cửa sổ Title bar - Thanh chứa thông tin khác phụ thuộc vào Wireshark làm Nếu bắt liệu mạng, hiểu thị giao điện sử dụng Nếu hiển thị liệu từ lần bắt liệu trước đó, tên file chứa liệu bắt hiển thị (untitled hiển thị lần bắt trình diễn, dừng lại khơng lưu lại) Ngược lại hiển thị tên ứng dụng: Wireshark network Protocol Analyzer Menu bar - Thanh cung cấp khả truy cập đến tính ứng dụng 11 WIRESHARK a File - Chức làm với việc với liệu bắt lưu lại export đến định dạng file khác b Edit - Chức tìm kiểm packets, thiết đặt thay đổi thời gian, tham khảo thiết đặt c View - Chức thay đổi cách hiển thị thông tin Wireshark d Go - Chức tìm vị trí packet rõ e Capture - Chức bắt đầu dừng lại lần bắt, lưu lại filter làm việc với giao diện mạng f Analyze - Chức giải thích lọc liệu bắt g Statistics - Chức thống kê phân tích liệu bắt h Help - Chức trợ giúp Main tool bar - Lối tắt để sử dụng chức thường dùng menu Filter tool bar - Truy cập nhanh đến chức filter Packet list pane - Hiển thị tất packet file bắt Ô liệt kê gói tin hiển thị tóm tắt gói tin bắt Mỗi dòng danh sách ứng với gói tin file liệu thu thập Nếu chọn dịng này, Packet Details Packet Bytes hiển thị thông tin chi tiết gói tin tương ứng Khi phân tích gói tin, Ethereal lấy thơng tin từ phân tích giao thức đặt vào cột Vì thơng tin giao thức tầng cao ghi đè lên thơng tin giao thức tầng thấp nên bạn nhìn thấy thơng tin giao thức tầng cao Ví dụ, giả sử gói tin TCP nằm bên gói tin IP, gói tin IP lại nằm bên frame Ethernet Bộ phân tích Ethernet ghi liệu (chẳng hạn địa card mạng), sau phân tích IP ghi đè liệu IP (ví dụ địa IP), cuối phân tích TCP ghi đè lên thơng tin IP Có nhiều cột thơng tin khác chọn hiển thị cột cách thiết lập tùy chọn (Preference settings) The default columns will show: • No The number of the packet in the capture file This number won't change, even if a display filter is used • Time The timestamp of the packet The presentation format of this timestamp can be changed, see Section 6.9, “Time display formats and time 12 WIRESHARK • • • • references” Source The address where this packet is coming from Destination The address where this packet is going to Protocol The protocol name in a short (perhaps abbreviated) version Info Additional information about the packet content Packet details pane - Chỉ rõ chi tiết packet chọn khung Packet List Ô chi tiết gói tin hiển thị chi tiết gói tin chọn liệt kê gói tin Giao thức trường gói tin biểu diễn dạng cây, dễ dàng mở rộng thu gọn lại Some protocol fields are specially displayed • Generated fields Ethereal itself will generate additional protocol fields which are surrounded by brackets The information in these fields is derived from the known context to other packets in the capture file For example, Ethereal is doing a sequence/acknowledge analysis of each TCP stream, which is displayed in the [SEQ/ACK analysis] fields of the TCP protocol • Links If Ethereal detected a relationship to another packet in the capture file, it will generate a link to that packet Links are underlined and displayed in blue If double-clicked, Ethereal jumps to the corresponding packet Packet bytes pane - Chế độ xem hexdum packet Packet List Ô mã nhị phân hiển thị liệu biểu diễn dạng số 16 gói tin chọn (là gói tin chọn gói tin chi tiết) Cột bên trái ghi vị trí tương đối (offset) liệu gói tin, cột liệu ñược biểu diễn dạng số 16 cột bên phải kí tự ASCII tương ứng (hoặc dấu chấm (‘.’) kí tự khơng hiển thị được) Tùy thuộc vào liệu gói tin, đơi chứa nhiều trang, chẳng hạn Ethereal ráp nhiều gói tin lại thành khối liệu Trong trường hợp này, vài tab xuất đáy để lựa chọn trang cần xem Status bar - Cung cấp thông điệp thông tin phản hồi đến người dùng 13 WIRESHARK Thanh trạng thái biểu diễn số thông tin thêm trạng thái chương trình liệu thu thập Thông thường phần bên trái hiển thị thông tin liên quan đến ngữ cảnh (tên, kích thước file liệu thu thập, thời gian thực thu thập), phần bên phải hiển thị số lượng gói tin thu thập Các thích viết tắt: • P: số gói tin bắt • D: số gói tin hiển thị • M: số gói tin đánh dấu Thu thập tức liệu mạng 4.1 Giới thiệu Thu thập tức liệu mạng tính chủ yếu wireshark Wiresshark cung cấp chức sau • Thu thập thông tin từ kiểu kiến trúc phần cứng mạng khác (Ethernet, Token Ring, ATM, …) • Chấm dứt việc thu thập thông tin số tiêu sau đạt được: độ lớn liệu 14 WIRESHARK • thu thập, thời gian thu thập hay tổng số gói tin bắt Hiển thị gói tin phân tích tiếp tục thu thập thơng tin • Lọc gói tin, giảm độ lớn liệu • Ghi nhiều file khác Có thể lựa chọn để ghi liệu thu theo thứ tự xoay tròn vào file giữ lại x file cuối Điều có ích cần thu thập liệu thời gian dài Start Capturing Để thu thập gói tin wireshark, sử dụng phương thức sau: • Nhấn vào biểu tượng cơng cụ Q trình thu thập khởi tạo sau bấm vào nút "Capture" hộp hội thoại • Nhấn vào biểu tượng • Nếu đặt hết tham số, ấn vào nút trình thu thập cơng cụ để đặt tham số tùy chọn công cụ để bắt đầu Hộp hội thoại "Capture Interfaces" Khi chọn "Interfaces " từ menu Capture, xuất hộp hội thoại "Capture Interfaces" minh họa hình Description HĐH cung cấp tham số chi tiết cho card mạng IP Là địa IP ứng với card mạng Nếu không xác định địa IP (chẳng hạn khơng có DHCP server) unknown Nếu máy tính có hai địa IP, hai địa hiển thị (nhưng không xác định địa Packets : Số lượng packet bắt kể từ mở Hộp hội thoại Packets/s : Số lượng packet bắt giây cuối Stop : Dừng trình thu thập Capture: Bắt đầu q trình thu thập với cấu hình từ lần thu thập trước Prepare : Mở hộp hội thoại Capture Options card mạng lựa chọn Close : Đóng hộp hội thoại 4.2 Các tùy chọn (Menu Capture/ Options) 15 WIRESHARK Khi khởi động việc bắt liệu, Wireshark hiển thị hộp thoại tùy chọn (Capture Options) Nếu không tuỳ chọn đó, để chế độ mặc định Trong nhiều trường hợp điều khơng ảnh hưởng nhiều đến kết hiển thị Capture frame - Chọn loại card mạng phần interface IP address: địa IP giao diện lựa chọn Nếu không rõ địa IP hiển thị “unknown” Link-layer header type: nên để mặc định Buffer size: Đây kích thước đệm hạt nhân mà giữ gói tin bị bắt,đến chúng ghi vào đĩa Capture packets in promiscuous mode: đánh dấu tick muốn bắt tất gói tin mạng LAN bạn, khơng bắt gói tin đến máy tính bạn Limit each packet to n bytes: giới hạn kích thước gói tin Nên để mặc đĩnh giá 65535 Capture File(s) frame Use multiple files: Thay sử dụng tập tin nhất, Wireshark tự động chuyển sang hình mới,nếu điều kiện gây cụ thể đạt Next file every n megabyte: Chuyển sang file sau số byte (s)/kilobyte(s)/megabyte(s)/GB(s)đã bị bắt Next file every n minute(s): Chuyển sang file sau số lượng định thứ hai (s) / 16 WIRESHARK phút(s)/giờ(s)/ngày(s)đã trôi qua Ring buffer with n files: Tạo thành vòng đệm tập tin chụp, với số lượng định tập tin Stop capture after n file(s): Dừng thu sau chuyển đến tập tin số lần định Stop Capture frame After n packet(s): Dừng chụp sau số gói tin bị bắt After n megabytes(s): Dừng chụp sau số byte(s)/kilobyte(s)/megabyte(s)/GB(s)đãđượcbắt.Tùy chọn chuyển sang màu xám,nếu "Sử dụng nhiều file" chọn After n minute(s): Dừng chụp sau số lượng định thứ hai (s)/phút(s)/giờ(s)/ngày(s) trôi qua Display Options frame Update list of packets in real time: cập nhật danh sách gói tin theo thời gian thực, Automatic scrolling in live capture: tự động di chuyển trực tiếp để bắt Hide capture info dialog: ẩn hộp thoại Name Resolution frame : Enable MAC name resolution: tính dịch địa MAC thành tên Enable network name resolution: tính dịch địa mạng thành tên Enable transport name resolution: tính dịch địa giao vận thành giao thức 4.3 Bộ lọc Có thể điền biểu thức lọc vào trường Filter hộp thoại Capture Options Biểu thức xem tổ hợp biểu thức nguyên thủy (primitive) kết nối với theo phép tốn AND OR NOT Khn dạng tổng quát biểu thức: [not] primitive [and|or [not] primitive …] Ví dụ 1: Bắt thơng tin ứng dụng telnet đến từ host cụ thể đó: tcp port 23 and host 10.0.0.5 Ví dụ 2: Bắt thơng tin telnet khơng xuất phát từ địa IP 10.0.05: tcp port 23 and not host 10.0.0.5 Dưới biểu thức nguyên thủy thường sử dụng: • • • • [src|dst] host : lọc dựa tên địa IP máy tính Nếu có thêm từ khóa src (hoặc dst) lấy gói tin có địa gửi (hoặc địa nhận) host Nếu khơng có hai từ khóa này, hệ thống thu giữ tất gói tin có địa gửi nhận host ether [src|dst] host : lọc dựa địa Ethernet host Từ khóa src dst giống gateway host : lọc gói tin sử dụng host gateway (router) Có nghĩa địa Ethernet địa host địa IP khơng phải địa host [src|dst] net [{mask }|{len }] Lọc theo địa subnet mạng Từ khóa src dst cần lấy gói tin gửi từ (hoặc đến) mạng cụ thể Có thể bạn phải mặt nạ mạng tiền tố CIDR trường hợp bạn địa subnet khác subnet máy tính cài Ethereal 17 WIRESHARK • • [tcp|udp] [src|dst] port : lọc theo cổng TCP UDP less|greater : lọc gói tin theo độ dài cho trước • ip|ether proto : lọc dựa giao thức cho trước thuộc tâng Ethernet tầng IP Làm việc với gói tin bắt 5.1 Xem gói tin bắt Sau bạn bắt số gói tin, hay mở file liệu thu thập, chọn xem gói tin hiển thị liệt kê gói tin cách nhấn chuột vào Chi tiết gói tin hiển thị ô phía – theo dạng dạng nhị phân Có thể mở rộng hiển thị gói tin cách ấn vào dấu (+), thơng tin chi tiết giao thức hình Ngồi ra, bạn xem gói tin cửa sổ riêng Đ i ều cho phép bạn dễ dàng so sánh hai hay nhiều gói tin Đ ể xem vậy, nhấn chuột phải vào gói tin chọn Show Packet in New Window 5.2 Lọc gói tin xem Bộ lọc hiển thị cho phép bạn tập trung vào gói tin bạn quan tâm ẩn gói tin khác 18 WIRESHARK Bạn chọn gói tin dựa trên: • Giao thức • Sự xuất trường • • Giá trị trường So sánh trường • … nhiều thế! Bạn lọc nhiều trường khác cách chọn hộp thoại Add Expression… Chẳng hạn, để thu hẹp danh sách gói tin thành gói tin đến địa IP 192.168.0.1, ta dùng biểu diễn ip.addr = = 192.168.0.1 5.3 Tạo biểu thức lọc hiển thị Wireshark cung cấp ngôn ngữ lọc hiển thị đơn giản hiệu Bạn so sánh giá trị gói tin kết hợp biểu thức thành phép lọc phức tạp Các bảng sau cung cấp nhiều thông tin để bạn sử dụng Bảng toán tử so sánh: Viết tắt tiếng Anh e q Cú pháp C Mô tả ví dụ Equal ip.addr==10.0.0.5 == 19 WIRESHARK n e != Not equal ip.addr!=10.0.0.5 g t > Greater than frame.pkt_len > 10 l t < Less than frame.pkt_len < 128 g e >= Greater than or equal to frame.pkt_len ge 0x100 l e
