TRƯỜNG ĐẠI HỌC MỎ - ĐỊA CHẤT KHOA CÔNG NGHỆ THÔNG TIN -*** - QUẢN TRỊ MẠNG ĐỀ TÀI SỐ TÌM HIỂU VÀ TRIỂN KHAI CƠNG CỤ PHÂN TÍCH GĨI TIN TRONG MẠNG Giảng viên hướng dẫn: TS Diêm Cơng Hồng Sinh viên thực hiện: Nguyễn Thị Hịa (1621050574) Nguyễn Thị Hoa Ngọc (1621050823) Cơng Thị Oanh (1621050300) Phạm Thị Hương Quỳnh (1621050803) Lớp: MMT K61B Hà Nội – 2019 MỤC LỤC 2 DANH MỤC HÌNH ẢNH 3 ĐỀ TÀI 1: TÌM HIỂU VÀ TRIỂN KHAI CƠNG CỤ PHÂN TÍCH GĨI TIN TRONG MẠNG Giới thiệu Hàng ngày, có hàng triệu vấn đề lỗi mạng tính, từ việc đơn giản nhiễm Spyware việc phức tạp lỗi cấu hình router,… Và vấn đề khơng thể sử lý tất Tốt có hi vọng thực cơng việc chuẩn bị đầy đủ kiến thức công cụ tương ứng với vấn đề Tất vấn đề mạng xuất phát mức gói, nới mà khơng có che dấu chúng ta, nơi mà khơng có thứ bị ẩn cấu trúc menu, hình ảnh bắt mắt nhân viên không đáng tin cậy Không có bí mật đây, điều khiển mạng giải vấn đề Đây giới phân tích gói tin Thế phân tích gói tin Phân tích gói tin, thơng thương quy vào việc nghe gói tin phận tích giao thức, mơ tả q trình bắt phiên dịch liệu sống luồng lưu chuyển mạng với mục tiêu hiểu rõ điều diễn mạng Phân tích gói tin thường thực packet sniffer, công cụ sử dụng để bắt liệu thô lưu chuyển đường dây Phân tích gói tin giúp cúng ta hiểu cấu tạo mạng, mạng, xác định sử dụng băng thơng, thời điểm mà việc sử dụng mạng đạt cao điểm, khả công hành vi phá hoại, tìm ứng dụng khơng bảo mật Có vài kiểu chương trình nghe gói tin khác bao gồm miễn phí sản phẩm thương mại Mỗi chương trình thiết kế với mục tiêu khác Một vài chương trình nghe gói tin phổ biến Tcpdump (a command-line program), OmniPeek Wireshark (cả hai chương trình có gia diện đồ họa),… Khi lựa chọn 4 chương trình nghe gói tin, ta cần phải quan tâm đến số vấn đề như: giao thức mà chương trình hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật chương trình hỗ trợ cho hiệ điều hành Các bước để nghe gói tin Q trình nghe gói tin chia làm bước: thu thập liệu, chuyển đổi liệu phân tích • Thu thập liệu: Đây bước đầu tiên, chương trình nghe gói tin chuyển giao diện mạng lựa chọn sang chế độ Promiscuos Chế độ cho phép card mạng nghe tất gói tin lứ chuyển phân mạng cảu Chương trình nghe gói tin sử dụng chế độ với việc truy nhập mức thấp để mắt liệu nhị phân đường truyền • Chuyển đổi liệu: Trong bước này, gói tin nhị phân chuyển đổi thành khn dạng đọc • Phân tích: Cuối cùng, phân tích gói tin chuyển đổi Có nhiều chương trình khác nghe gói tin, nhóm em xin triển khai chương trình điển hình với nhiều tính mạnh hỗ trợ việc bắt phân tích gói tin, WireShark Nội dung phần chính: • • 5 Các cách thức nghe gói tin mạng Giới thiệu WireShark • • 6 Các tình huốn với WireShark Xử lý tình mạng với WireShark I Các cách thức nghe gói tin mạng Để thực việc bắt gói tin mạng, ta phải vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền mạng Quá trình đơn giản đặt “máy nghe” vào vị trí vật lý mạng máy tính Việc nghe gói tin khơng đơn giản cắm máy tính xách tay vào mạng bắt gói, thực tế nhiều việc đặt máy nghe vào mạng khó việc phân tích gói tin Thách thức viếc chỗ có số lượng lớn thiết bị mạng phần cứng sử dụng để kết nối thiết bị với Lý ba loại thiết bị (Hub, Switch Router) có nguyên lý hoạt động điều đòi hỏi ta phải nắm rõ cấu trúc vật lý mạng mà ta phân tích Chúng ta nghiên cứu số mạng thực tế để tốt để bắt gói tin mơi trường mạng sử dụng Hub, Switch Router Living Promiscuously (chế độ bắt tất gói tin qua) Trước nghe gói tin mạng ta cần card mạng có hỗ trợ chế độ Promiscuous Chế độ Promiscuous cho phé card mạng nhìn thấy tấ gói tin qua hệ thống dây mạng Khi card mạng khơng chế đọ này, nhìn thấy số lượng lớn gói tin mạng khơng gửi cho nó, hủy (drop) gói tin Khi chế độ Promiscuous, bắt tất gói tin gửi tồn tới CPU “Nghe” mạng có Hub Việc nghe mạng có Hub điểu kiện mơ việc phân tích gói tin Cơ chế hoạt động Hub cho phép gói tin gửi tất cơng Hub Hơn nữa, để phân tích máy tín Hub, tất cơng việc mà bạn cần làm cám máy nghe cổng cịn trống Hub Ta nhìn thất tất 7 thông tin truyền nhận từ tất máy kết nối với Hub đó, cửa sổ nhìn khơng bị hạn chế mà máy nghe kế nối với mạng Hub “Nghe” mạng Switched Một môi trường Switched kiểu mạng phổ biến thường thấy Switch cung cấp phương thức hiệu để vận chuyển liệu thống qua broadcast, unicast, mutilcast Switch cho phép kết nối song công (full-duplex), có nghĩa máy trạm truyền nhận liệu đồng thời từ Switch Khi cắm máy nghe vào cổng Switch, bạn nhìn thấy broadcast trafic gói tin gửi – nhận máy tính mà bạn sử dụng Hình 1: The visibility window on switched network is limited to the port you are plugged into 8 Có cách để bắt gói tin từ thiết bị mục tiêu mạng Switch: port mirroring, ARP cache poisoning hubbing out Port Mirroring Port mirroring hay cịn gọi port spanning có thẻ cách đơn giản để bắt lưu lượng từ thiết bị mục tiêu Switch Với này, ta phải truy cập giao diện dòng lệnh Switch mà máy mục tiêu cám vào Tất nhiên Switch phải hỗ trợ tính port mirroring có port trống để ta căm máy nghe vào Khi ánh xạ cổng, bạn copy toàn lưu lượng qua cổng sang cổng khác Hình 2: Port mirroring allows you to expand your visibility window on a switched network Hubbing Out 9 Một đơn giản khác để bắt lưu lượng thiết bị mục tiêu mạng Switch Hubbing Out Hubbing Out kỹ thuật mà bạn dặt thiết bị mục tiêu máy nghe vào cung pân mạng đặt chúng trực tiếp vào hub Hình 3: Hubbing out isolates ỵoưr target device and analyzer on their own broadcast domain Rất nhiều nguwif nghĩ hubbing out lừa dối thực giải pháp hồn hảo tình mà bạn khơng thể thực port mirroring có khả truy cập vật lý tới Switch mad thiết bị mục tiêu cắm vào Trong hầu hết tình huống, hubbing out giảm tính song cơng thiết bị mục tiêu (full to haft) Trong phương thức để nghe thường sử dụng lựa chọn mà switch khơng hỗ trợ port mirroring 10 10 Hình 28: This capture includes a lot of POP packets Hình 29: Changing the time display format gives US an idea of how much data we are receiving in Sử dụng Follow TCP Stream để xem nội dung thư có file đính kèm nhận thấy sau: 44 44 Hình 30: The details of packet show information about the email being sent File đính kèm cài nhiều kí tự giống vào để tăng kích thước file đính kèm, kiểm tra tiếp số lượng mail thấy số lượng lớn Cổ thể đến kết luận mail server bị spam làm cho lực xử lý yêu cầu gửi đến bị giảm xuống, tương tự công từ chối dịch vụ 45 45 Hướng giải quyết: tìm ngắt nguồn thư rác, dùng blacklist để cấm địa gửi thư rác Kết luận: spam mail với file attack lớn Một số tình an ninh mạng OS Fingerprinting (Nhận dạng OS) OS Fingerprinting kỹ thuật phổ biến haker sử dụng để thu thập cắc thông tin server từ xa, từ đố cố thơng tin hữu ích để thực bước công Như xác định lỗi có với server mục tiêu, chuẩn bị công cụ phù hợp cho công Một kỹ thuật xử dụng gửi gói tin ICMP thơng dụng • Sử dụng ICMP traffic, dùng ping khơng bị “cảnh báo” • Sử dụng traffic like Timestamp request/reply, Address mask request, Information request không phổ biến 46 46 Hình 31: This is the kind of ICMP traffic you don’t want to see Dùng ICMP request không phổ biến nhận thông tin từ mục tiêu phản hồi lại Nếu request chấp nhận dùng ICMP-based OS fingerprinting scans để quét thử Xử lý: traffic thơng thường khơng thấy gói ICMP loại 13,15,17 tạo lọc để lọc gói Ví dụ: icmp.type==13 II icmp.type==15 II icmp.type==17 A Simple Port Scan (quét cổng dạng đtm giản) Một chương trình quét port nhanh phổ biến là: nmap Mục tiêu người cơng: • • 47 47 Tìm port mở Xác định tunnel bí mật Chúng ta nhận dạng việc qt cổng cách đặt máy “nghe” máy chủ cần bảo vệ để theo dõi Hình 32: A port scan shows multiple connection attempts on various ports Như hình nhận có kết nối đáng nghi ngờ máy 10.100.25.14 (local machine) máy 10.100.18.12 (remote computer) Log file cho thấy máy tính từ xa (remote computer) gửi gói tin đến nhiều cổng khác máy local ví dụ cổng 21,1028 Nhưng đặc biệt cổng nhạy cảm telnet (22), microsoft-ds, FTP (21), SMTP (25) cổng gửi số lượng gói tin lớn cổng có khả xâm nhập cao lỗi ứng dụng sử dụng cổng Các gói tin đoạn mã khai thác Blaster Worm (Sâu Blaster) 48 48 Hiện tượng: Máy tính phía client hiển thị sổ thơng báo shutdown máy vịng 60s Các thơng báo xuất liên tục Thơng tin có: • Máy tính client cài chương trình diệt virus thịri điểm Tiến hành: Cài đặt Wireshark máy có virus Phân tích: Màn hình Wireshark thể hành vi có nguy hại đến máy tính virus Blaster, thể màu đỏ, đen Hình 33: We shouldn’t see this level of network activity with only the timer running on this machine 49 49 Một kinh nghiêm để phát virus xem liệu gói tin dạng thơ (raw), có thơng tin hữu ích Hình 34: No useful information can be discerned from packet Sau tìm so gói tin thấy có gói tin mang lại thơng tin hữu ích Sau tìm so gói tin thấy có gói tin mang lại thơng tin hữu ích Hình 35, thấy có địa trỏ đến thư mục C:\WINNT\System32 Thư mục thư mục quan hệ điều hành Windows 50 50 Hình 35: The reference to C:\WINNT\System32 means something might be accessing our system files Tiếp tục tìm thơng tin theo cách trên, phát tên chương trình sâu Blaster Hình 36 51 51 Hình 36: Packet shows a reference to msblast.exe Khi xác định ví trí file virus ta cổ nhiều cắch giải theo cắc mục đích khác Đối với người dùng thơng thường tắt tiến trình có tên sau xóa file virus Một số công cụ sniffer mạng khác : 52 52 NetworkMiner NetworkMiner cơng cụ phân tích điều tra mạng (Network Forensics Analysis Tool – NFAT) dành cho hệ điều hành Windows NetworkMiner sử dụng cơng cụ chặn bắt gói tin thụ động nhằm nhận biết hệ điều hành, phiên làm việc, tên host, port mở mà không cần đặt luồng liệu lên mạng NetworkMiner phân tích tệp tin pcap trường hợp ngoại tuyến tái tạo tập tin truyền tải, cấu trúc thư mục hay chứng từ tệp tin pcap Mục đích NetworkMiner thu thập liệu (chẳng hạn chứng cứ) host mạng, không thu thập liệu lưu lượng truy cập Nó quan tâm đến trung tâm máy chủ (nhóm thông tin máy) không tập trung vào gói tin (thơng tin danh sách gói tin, khung nhìn ) NetworkMiner cơng cụ tiện dụng việc phân tích máy chủ C&C (Command & Control) hay kiểm soát lưu lượng truy cập từ mạng lưới botnet 53 53 Chương trình Network Miner Tcpdump Đây cơng cụ phát triển nhằm mục đích phân tích gói liệu mạng theo dịng lệnh Tcpdump cho phép người dùng chặn hiển thị gói tin truyền nhận mạng mà máy tính có tham gia Tcpdump xuất hình nội dung gói tin (chạy card mạng mà máy chủ lắng nghe) phù hợp với biểu thức logic chọn lọc mà người dùng nhập vào Với loại tùy chọn khác người dùng xuất mơ tả gói tin file pcap để 54 54 phân tích sau đọc nội dung file pcap với option –r lệnh tcpdump OmniPeek OmniPeek công cụ giám sát hệ thống mạng mạnh mẽ nhằm phân tích hoạt động mạng LAN hay kiểm tra hiệu suất mạng doanh nghiệp Việc quản lý mạng hoạt động địi hỏi phải có kiến thức chun sâu Quản trị viên cần phải có thơng tin thời gian thực tất máy tính kết nối sở hạ tầng để khắc phục lỗi khác Chương trình thiết kế để nắm bắt hoạt động mạng phân tích để hiển thị trạng thái số liệu thống kê cần thiết hoạt động hàng ngày quản trị mạng OmniPeek có tính giao diện trực quan cho phép người sử dụng dễ dàng nắm bắt thông tin Để truy cập vào số chi tiết, người dùng lựa chọn bảng điều khiển sẵn có từ cơng cụ Ví dụ, xem địa IP sử dụng hầu hết băng thông từ bảng điều khiển mạng, tab cho phép phân tích lưu lượng liệu Các đồ thị hiển thị thống kê cho việc phân bố kích thước gói tin, điểm truy cập không dây giao thức sử dụng Nếu muốn kiểm tra kết nối đến máy tính đó, người dùng gửi gói liệu cách sử dụng chuyển đổi mạng có sẵn Hơn nữa, quản trị viên chia nhỏ gói liệu sử dụng Tools Menu để giải mã gói tin sử dụng mã hóa SSL Các tính OmniPeek bao gồm: - Phân tích lưu lượng truy cập phân đoạn mạng (nội từ xa), bao gồm Gigabit phân đoạn mạng WAN - Có khả phân tích tất lỗ hổng hoạt động mạng 55 55 - Có khả thay đổi lọc mà không cần khởi động lại Sniffer - Có khả hồn thành phân tích tất gói liệu gửi/nhận - Có khả xem lưu lượng nội bộ, toàn cầu hai lúc - Tính linh hoạt độc đáo cho phép người dùng tồn quyền kiểm sốt lưu lượng phân khúc độc lập, cho phép nhà thiết kế xác định vấn đề vị trí Chương trình OmniPeek Foremost 56 56 Foremost chương trình điều khiển (console) dùng để khôi phục tệp tin dựa vào tiêu đề, phụ đề cấu trúc liệu Quá trình thường gọi chạm khắc liệu (data carving) Foremost làm việc tệp tin image, tạo công cụ dd, Safeback, Encase trực tiếp từ ổ cứng Tiêu đề phụ đề xác định tệp tin cấu hình sử dụng switch dịng lệnh dựa dạng tệp tin tích hợp Các dạng tích hợp tra cứu cấu trúc liệu định dạng tệp tin cung cấp nhằm đảm bảo việc phục hồi nhanh đáng tin cậy Scapy Scapy công cụ thao tác với gói tin dùng cho mạng máy tính, viết Python nhà nghiên cứu Philippe Biondi Nó giả mạo giải mã gói tin, gửi lại đường truyền, chặn bắt làm khớp yêu cầu với phản hồi Scapy xử lý tác vụ khác quét, truy vết, thăm dị, kiểm thử đơn vị, cơng phát mạng Scapy cung cấp giao diện Python vào libpcap (WinPCap Windows) theo cách tương tự cung cấp Wireshark với giao diện trực quan Scapy giao tiếp với số chương trình khác để cung cấp tính trực quan bao gồm Wireshark cho việc giải mã gói tin, GnuPlot cho việc tạo đồ thị, graphviz Vpython cho việc hiển thị 57 57 Tài liệu tham khảo: Chris Sanders, PRACTICAL PACKET ANALYSIS, Using Wireshark to Solve Real-World Network Problems- No Startch Press, 2007 Angela Orebaugh, Gilbert Ramirez, Josh Burke, Larry Pesce, Joshua Wright, Greg Morris, Wireshark & Ethereal Network Protocol Analyzer Toolkit - Syngress Publishing, 2007 Angela Orebaugh, Ethereal Packet Sniffing - Syngress Publishing, 2004 58 58 ... Khơng có bí mật đây, điều khiển mạng giải vấn đề Đây giới phân tích gói tin Thế phân tích gói tin Phân tích gói tin, thơng thương quy vào việc nghe gói tin phận tích giao thức, mơ tả q trình bắt... mạng với mục tiêu hiểu rõ điều diễn mạng Phân tích gói tin thường thực packet sniffer, công cụ sử dụng để bắt liệu thô lưu chuyển đường dây Phân tích gói tin giúp cúng ta hiểu cấu tạo mạng, mạng, ... 1: TÌM HIỂU VÀ TRIỂN KHAI CƠNG CỤ PHÂN TÍCH GĨI TIN TRONG MẠNG Giới thiệu Hàng ngày, có hàng triệu vấn đề lỗi mạng tính, từ việc đơn giản nhiễm Spyware việc phức tạp lỗi cấu hình router,… Và