Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 16 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
16
Dung lượng
1,64 MB
Nội dung
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ HỌC PHẦN THỰC TẬP TỐT NGHIỆP BÁO CÁO BÀI THỰC HÀNH PHÂN TÍCH GĨI TIN NÂNG CAO Họ tên SV Lớp Mã SV Ngày gửi : : : : Nguyễn Văn Dũng AT10AU AT100121 20/05/2019 Hà Nội, 2019 MỤC LỤC Điều kiện tiên Giới thiệu 3 Kịch thực hành Mục tiêu thực hành Tổ chức thực hành Môi trường thực hành 6.1 Phần cứng, phần mềm 6.2 Máy ảo công cụ Các nhiệm vụ cần thực Nhiệm vụ Xác định BSSID, SSID Nhiệm vụ Mã hóa WLAN Nhiệm vụ Phân tích trạm liên quan Nhiệm vụ Phân tích dấu hiệu bất thường i Thông tin phiên thực hành Phiên Ngày tháng 1.0 15/02/2019 Mô tả Thực Comment [LL1]: Nhiệm vụ thực Comment [LL2]: Người thực Xây dựng từ đầu Nguyễn Văn Dũng Điều kiện tiên Không Giới thiệu Bài thực hành “Phân tích gói tin nâng cao” tìm hiểu số vấn đề việc phân tích gói tin hệ thống mạng khơng dây bị cơng Kịch thực hành Có hệ thống mạng không dây công ty A quản lý Một buổi tối, A nhận thấy hệ thống mạng quản lý bị công sau A khơng truy cập vào giao diện quản lý WAP mạng Tuy nhiên kịp thu thập luồng liệu công (wlan.pcap) A cung cấp cho gói tin wlan.pcap cung cấp them thông tin địa MAC A 00:11:22:33:44:55 khẳng định khơng khác sử dụng WAP Mục tiêu thực hành Trình bày mục tiêu thực hành theo gạch đầu dòng: - BSSID, SSID WAP gì? - WAP có sử dụng mã hóa khơng? - Những trạm có mạng WLAN? - Có bất thường hệ thống mạng? Tổ chức thực hành Yêu cầu thực hành: Thực hành độc lập Môi trường thực hành 6.1 Phần cứng, phần mềm Yêu cầu phần cứng: 01 máy tính Cấu hình CPU core i3, Ram 8Gb, SSD 120GB Yêu cầu phần mềm máy: Hệ điều hành Windows 10 Phần mềm cần thiết: Vmware,WireShark Yêu cầu kết nối mạng Internet: không 6.2 Máy ảo công cụ - Cài 01 máy ảo Kali Linux phần mềm Vmware Các nhiệm vụ cần thực Nhiệm vụ Xác định BSSID, SSID Cài đặt chương trình Wireshark sau sử dụng Wireshark tiến hành mở gói tin cần phân tích (wlan.pcap) Sử dụng lọc Wireshark với nội dung wlan.fc.type_subtype==0x08 để tìm khung Beacon Sau sử dụng lọc ta thu kết hình Chúng ta thu thông tin Beacon frame, BSSID WAP “00:23:69:61:00:d0”, SSID “Ment0rNet”, kênh hoạt động Nhiệm vụ Mã hóa WLAN Để xác định liệu truyền WLAN có mã hóa khơng, ta tiến hành lọc khung liệu (Data frame) lọc wlan.fc.type_subtype==0x20 Tiến hành phân tích khung liệu ta thấy Type frame = (Data Frame), Subtype = 0, Bit Protected thiết lập giá trị Điều chứng tỏ liệu mã hóa Sử dụng tính Protocol Hierachy, ta đếm có tất 59274 khung liệu mã hóa Nhiệm vụ Phân tích trạm liên quan Khi máy trạm muốn tiến hành kết nối tới WAP tiến hành gửi Management frame Association Request (subtype=0) nhận Association Response (subtype=1) trả Chúng ta sử dụng Wireshark để lọc Assosiation Response trả wlan.fc.type_subtype==0x01 Quan sát thấy có 73 kết trả (Displayed-73) sử dụng tính Protocol Hierachy để xem số lượng Assosiation Response trả Tiến hành phân tích frame Ta thấy phần Status code: Successful (0x0000) Có nghĩa trạm tiến hành kết nối thành công tới WAP nhận Association Reponse trả với code Successful (0x0000) Thực tế, kết nối đến WAP thành cơng, để lọc kết nối thành công đến WAP phải sử dụng thêm lọc wlan_mgt.fixed.status_code==0x0000 Chúng ta thu 73 kết trả về, kết luận khơng có kết nối thất bại đến WAP Sử dụng tính Conversations tiến hành thống kê địa số lần kết nối Người dùng kết nối thành công lần kết nối khác không rõ kết nối 68 lần Nhiệm vụ Phân tích dấu hiệu bất thường Sử dụng hệ điều hành Kali để phân tích đấu hiệu bất thường Sao chép file „wlan.pcap‟ vào hệ điều hành kali sử dụng tshark để phân tích nhanh số thơng tin - Số lượng khung liệu mã hóa: Sử dụng câu lệnh: tshark -r '/root/Desktop/wlan.pcap' '(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)'| wc –l quan sát kết thu 59274 khung liệu bị mã hóa, trùng với kết sử dụng Wireshark - Để biết số lượng khung liệu mã hóa gửi từ địa (sử dụng lọc wlan.sa – source adress) sử dụng câu lệnh: tshark -r '/root/Desktop/wlan.pcap' -Y '(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)' -T fields -e wlan.sa|sort|uniq -c|sort –nr Chúng ta thấy trạm chưa rõ định danh (1c:4b:d6:69:cd:07) gửi khoảng gấp lần số khung liệu mà trạm người dùng gửi Địa “00:23:69:61:00:ce” khác byte cuối so với BSSID Trên thực tế, WAP không cung cấp dịch vụ truy cập phân tán mà cịn hoạt động trạm cung cấp dịch vụ quản lý, DHCP, ghi log…Do WAP sử dụng địa “00:23:69:61:00:d0” để cung cấp dịch vụ truy cập sử dụng địa “00:23:69:61:00:ce” để cung cấp dịch vụ khác (DHCP, logging…) - Số lượng khung liệu mã hóa gửi đến địa (sử dụng lọc wlan.da – destination adress): tshark -r '/root/Desktop/wlan.pcap' -Y '(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)' -T fields -e wlan.da|sort|uniq -c|sort -nr Ta nhận thấy khoảng 42837 khung liệu mã hóa gửi tới địa broadcast chúng hầu hết gửi từ 1c:4b:d6:69:cd:07 - Số lượng khung liệu xét theo địa nguồn địa đích: tshark -r '/root/Desktop/wlan.pcap' -Y '(wlan.fc.type_subtype==0x20)&&(wlan.fc.protected==1)' -T fields -e wlan.sa -e wlan.da|sort|uniq -c|sort -nr Nhận xét: Trạm 1c:4b:d6:69:cd:07 gửi 42816 khung liệu tới địa broadcast (ff:ff:ff:ff:ff:ff) 14076 858 khung liệu gửi người dùng (00:11:22:33:44:55) WAP (00:23:69:61:00:ce) 740 khung liệu gửi de:ad:be:ef:13:37 WAP ( 00:23:69:61:00:ce) Chúng ta đưa giả thuyết lý cho việc gửi số lượng lớn gói tin tới địa quảng bá: - ARP request - Tấn cơng phá khóa WEP Ở nghiêng giả thuyết này: Giả thiết 1c:4b:d6:69:cd:07 nhân tố khả nghi Sử dụng tshark để lưu lại toàn hoạt động từ trạm tshark -r '/root/Desktop/wlan.pcap' -Y '(wlan.sa==1c:4b:d6:69:cd:07)' -T fields -e wlan.fc.type -e wlan.fc.subtype | sort -n| uniq -c| sort – nr 42816 khung liệu 77 yêu cầu xác thực 69 yêu cầu kết nối Để tiến hành lấy khóa từ WEP sử dụng aircrack Aircrack-ng chương trình viết với mục đích cơng phá khóa mạng WEP, WPA-PSK tích hợp sẵn Kali Linux Sử dụng câu lệnh: #aircrack-ng -b 00:23:69:61:00:d0 '/root/Desktop/wlan.pcap' Khóa thu [D0:E5:9E:B9:04], công thành công Kết luận :Mạng người dùng bị tổn hại, WEP thực bị bẻ khóa khóa WEP cần thay đổi Chúng ta sử dụng Wireshark để tiến hành giải mã nội dung gói tin với khóa thu [D0:E5:9E:B9:04] Vào Edit->Preferences->Protocol->IEEE 802.11 Trước lúc giải mã: Sau điền khóa thu được, khung liệu (Data frame) tiến hành giải mã: 10 Tiến hành kiểm tra thông tin sau giải mã, ta thấy máy có địa MAC de:ad:be:ef:13:37 tương ứng với địa IP 192.168.1.109, MAC 00:23:69:61:00:ce có địa IP 192.168.1.1 Sử dụng lọc để xem trao đổi địa trên: Tiếp tục sử dụng Follow TCP Stream ta dễ dàng thấy de:ad:be:ef:13:17 thực xác thực sử dụng HTTP Basic Access Authentication Thông tin dùng để xác thực YWRtaW46YWRtaW4= (đã bị mã theo base64) Thực giải mã thông tin thu thơng tin xác thực có username=admin password=admin 11 Kẻ cơng sau bẻ khóa WEP thực kết nối vào mạng, đăng nhập vào giao diện quản trị WAP sử dụng tài khoản mặc định 12 ... chức thực hành Yêu cầu thực hành: Thực hành độc lập Môi trường thực hành 6.1 Phần cứng, phần mềm Yêu cầu phần cứng: 01 máy tính Cấu hình CPU core i3, Ram 8Gb, SSD 120GB Yêu cầu phần mềm... tiên Không Giới thiệu Bài thực hành ? ?Phân tích gói tin nâng cao? ?? tìm hiểu số vấn đề việc phân tích gói tin hệ thống mạng khơng dây bị cơng Kịch thực hành Có hệ thống mạng không dây công ty A... Giới thiệu 3 Kịch thực hành Mục tiêu thực hành Tổ chức thực hành Môi trường thực hành 6.1 Phần cứng, phần mềm 6.2 Máy ảo