BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ HỌC PHẦN THU THẬP & PHÂN TÍCH THƠNG TIN AN NINH MẠNG BÀI THỰC HÀNH PHÂN TÍCH GĨI TIN SỬ DỤNG WIRESHARK (Phiên bản: 1.0) Hà Nội, 2019 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat MỤC LỤC Phần Điều kiện tiên Phần Giới thiệu Phần Kịch thực hành Phần Mục tiêu thực hành Phần Tổ chức thực hành Phần Môi trường thực hành 6.1 Phần cứng, phần mềm 6.2 Máy ảo công cụ Phần Sơ đồ thực hành Phần Các nhiệm vụ cần thực Nhiệm vụ 1: Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức ARP ICMP Nhiệm vụ Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức SMTP, IMAP & POP3 12 Nhiệm vụ Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức SSL/TLS 20 Phần Đánh giá thực hành 26 i TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Thông tin phiên thực hành Phiên Ngày tháng Mô tả Thực TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Phần Điều kiện tiên Không Phần Giới thiệu Wireshark công cụ kiểm tra, theo dõi phân tish thông tin mạng phát triển Gerald Combs Phiên Wireshark mang tên Ethereal phát hành năm 1988 Wireshark giúp bắt gói tin, sau phân tích để hiển thị khn dạng liệu gói tin dạng tường minh Wireshark sử dụng Winpcap - phần mềm dùng để thu nhập tức luồng liệu mạng - để bắt gói tin, hoạt động máy tính cài đặt phần mềm wincap (Khi cài đặt Wireshark yêu cầu cài đặt phần mềm này) Trong thực hành này, bước đầu tiếp cận với công việc phân tích gói tin thơng qua việc phân tích số giao thức mạng phổ biến như: ARP, ICMP, SMTP, SSL phần mềm Wireshark Phần Kịch thực hành Đóng vai người quản trị hệ thống hay chun gia phân tích gói tin, sinh viên tìm phương thức hoạt động giao thức mạng như: ARP, ICMP, SMTP, SSL, TLS,… tiến hành phân tích số gói tin liên quan trực tiếp đến giao thức nói trả lời đưa giải thích, kết luận cho câu hỏi đưa Phần Mục tiêu thực hành Bài thực hành nhằm giúp sinh viên học hiểu về: - Các giao thức mạng phổ biến: ARP, ICMP, SMTP, SSL, TLS,… - Sử dụng phần mềm Wireshark để phân tích gói tin Phần Tổ chức thực hành Yêu cầu thực hành: thực hành độc lập Thời gian: 135 phút Phần Môi trường thực hành 6.1 Phần cứng, phần mềm  Yêu cầu phần cứng:  01 máy tính  Cấu hình tối thiểu: Intel Core i3, 4GB RAM, 10 GB ổ cứng  Yêu cầu phần mềm máy:  Hệ điều hành máy tính: Windows 64bit trở lên  Phần mềm Wireshark TIEU LUAN MOI download : skknchat123@gmail.com moi nhat  Yêu cầu kết nối mạng Internet: có 6.2 Máy ảo công cụ Không Phần Sơ đồ thực hành Không Phần Các nhiệm vụ cần thực Nhiệm vụ 1: Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức ARP ICMP Tiến hành tải gói tin sau mở gói tin với phần mềm Wireshark http://asecuritysite.com/log/webpage.zip Với gói tin webpage.pcap, câu hỏi cần trả lời là: Thông qua việc kiểm tra ARP request ARP reply, xác định địa IP host IP server địa MAC host MAC server? Khi phân tích gói tin trên, ta thấy gói tin số gói tin số đánh dấu với giao thức ARP Phân tích gói tin số 1, ta thấy gói tin số gói tin quảng bá (Broadcast) địa MAC là: ff:ff:ff:ff:ff:ff, với mục đích hỏi tồn mạng rằng, địa MAC có địa IP 192.168.75.32 phản hồi tới địa MAC 00:50:56:c0:00:08 ứng với địa IP 192.168.75.1 Vì thơng qua gói tin số 1, ta dễ dàng có thơng tin sau: TIEU LUAN MOI download : skknchat123@gmail.com moi nhat     Gói tin số gói tin ARP request Địa IP host: 192.168.75.1 Địa MAC host: 00:50:56:c0:00:08 Địa IP server: 192.168.75.32 Trong gói tin số 2, ta thấy gói tin ARP reply để trả lời gói tin ARP request trên, địa nguồn địa MAC ứng với địa IP server 192.168.75.132, địa đích địa MAC host Vì ta có thông tin:  Địa MAC server: MAC address: 00:0c:29:0f:71:a3 Trong gói tin tiếp theo, xác định Port host Port server Giải thích gói tin lại khơng cần di chuyển thơng qua default gateway mạng? Với thơng tin ba gói tin số 3, 5, ta dễ dàng nhận trình bắt tay ba bước giao thức TCP hai địa IP host IP server với dấu hiệu cờ như:  [SYN] gói tin số  [SYN,ACK] gói tin số  [ACK] gói tin số Qua ta xác định thông tin cổng hoạt động host server:  Giá trị Port host: địa cổng nguồn gói tin số 2427  Giá trị Port server: địa cổng đích gói tin số 80 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Để giải thích cho câu hỏi: gói tin khơng cần qua default gateway mạng, ta thấy địa ip host: 192.168.75.1 địa ip server: 192.168.75.132 nằm chung mạng với subnetmask 255.255.255.0, vậy, gói tin trao đổi host server trao đổi trực tiếp mà khơng cần qua default gateway Tiến hành tải xuống gói tin, sau mở tiến hành phân tích với Wireshark địa chỉ: http://asecuritysite.com/log/googleWeb.zip Tương tự với gói tin webpage.pcap, câu hỏi với gói tin googleWeb.pcap: Trong trường hợp host kết nối tới máy chủ google, xác định địa IP địa MAC host, địa IP địa MAC Gateway, liệu ta xác định đia MAC máy chủ google hay không? Ta thấy trường hợp này, host muốn liên lạc trao đổi thơng tin với máy chủ google, vậy, gói tin host cần gửi đến google thơng qua default gateway Gói tin số số hai gói tin ARP request ARP reply, với thông tin host gateway sau:  Địa IP host: 192.168.0.20 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat    Địa MAC host: 00:1f:3c:4f:30:1d Địa IP gateway: 192.168.0.1 Địa MAC gateway: 00:18:4d:b0:d6:8c Chúng ta xác định địa MAC google gói tin hay không? Đáp án Như gói tin trên, ta thu địa MAC host gateway, host máy chủ google làm việc trực tiếp với nhau, chúng làm việc thông qua giao thức TCP, DNS, HTTP Ngoài ra, sau gói tin gửi qua gateway ngồi mạng nội bộ, gói tin thiết bị định tuyến gửi qua nhiều nút mạng khác trước đến địa đích, vậy, gói tin không đủ thông tin để ta xác định địa MAC máy chủ google Tải tập tin mở gói tin với cơng cụ Wireshark, http://asecuritysite.com/log/arp_scan.zip 10 Arp_scan.pcap chứa gói tin sau tiến hành ARP scan, với gói tin này, ta có câu hỏi cần giải sau: Xác định mục đích việc ARP scan, vị trí TIEU LUAN MOI download : skknchat123@gmail.com moi nhat địa IP kẻ xâm nhập, địa IP hoạt động mạng kẻ xâm nhập phát ra? 11 Tấn công ARP scan hay cịn gọi cơng dị qt mạng với giao thức ARP, kẻ xâm nhập dùng để xác định xem host hoạt động mạng Ở ta thấy rằng, địa MAC: 00:0c:29:1d:b3:b1 với IP: 192.168.47.171 tiến hành gửi liên tục gói tin ARP request tới địa broadcast: ff:ff:ff:ff:ff:ff nhằm xác định địa IP dải mạng 192.168.47.0/24 Vì ta xác định rằng:  Kẻ công thực công ARP scan bên mạng LAN  Địa IP kẻ công là: 192.168.47.171 12 Để xác định host bị phát sau trình ARP scan kẻ xâm nhập, ta cần sâu vào gói tin ARP thiết lập luật để tiến hành lọc với lọc Đầu tiên, ta phân tích gói tin ARP request, ta thấy trường opcode có giá trị request (1) Tiến hành xây dựng luật sau: arp.opcode = = 1, tiến hành sử dụng lọc để theo dõi kết Ta thu tất gói ARP request 13 Để xác định host hoạt động, kẻ xâm nhập cần phải thống kê địa IP phản hồi lại gói ARP response Vì ta tiếp tục sử dụng lọc với luật: TIEU LUAN MOI download : skknchat123@gmail.com moi nhat arp.opcode = = – với giá trị giá trị reply! Ta thu host hoạt động mạng 14 Thực bắt gói tin qua card mạng máy tính với Wireshark Thực ping tới actvn.edu.vn Dừng thu thập gói tin, xác định địa IP địa MAC gateway 15 Mở phần mềm Wireshark, sau chọn card mạng phù hợp để tiến hành bắt gói tin 16 Từ cửa sổ dòng lện Windows, tiến hành ping tới actvn.edu.vn Sau chọn “Stop Capturing packets” để dừng việc bắt gói tin từ Wireshark TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Nhiệm vụ Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức SMTP, IMAP & POP3 Tải xuống tập tin đường dẫn phía mở với Wireshark, xác định: Địa IP cổng TCP máy Host sử dụng để gửi email, địa IP cổng TCP máy Server sử dụng, địa email người gửi, địa email người nhận, thời gian gửi email, ứng dụng email khách sử dụng để gửi email gì, nội dung tin nhắn chủ đề email, giao thức SMTP, chuỗi ký tự sử dụng để kết thúc tin nhắn? http://asecuritysite.com/log/smtp.zip 12 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Từ trình bắt tay ba bước giao thức TCP, ta xác định được:  Địa IP máy Host sử dụng để gửi email: 192.168.0.12  Địa cổng TCP máy Host sử dụng để gửi email: 1713  Địa IP máy Server sử dụng: 192.168.0.13  Địa cổng TCP máy Server sử dụng: 25 Sử dụng lọc với luật “smtp” để lọc gói tin sử dụng giao thức SMTP, sau tiến hành follow TCP stream, ta trả lời câu hỏi lại sau:  Địa email người gửi: martin.tor@4salet.com  Địa email người nhận: bert.manly@five8nine.com  Thời gian gửi email: Mon, 11 Mar 2013 22:10:34  Ứng dụng email khách sử dụng để gửi email là: Microsoft Outlook Express 6.00.3790.3959  Nội dung tin nhắn chủ đề email: Subject: T2theS4gSSB0aGluayBpdCBpcyBhbGwgc2V0dXAgZm9yIHlvdS4gSnVzdCBjb2 5uZWN0IHRvIHRoZSBsaW5rLCBhbmQgaXQgc2hvdWxkIGJlIGZpbmUu  Đối với giao thức SMTP, chuỗi ký tự sử dụng để kết thúc tin nhắn là: . 13 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Tải xuống tập tin mở với phần mềm Wireshark, trả lời câu hỏi sau đây: Địa IP cổng TCP máy host gửi email, địa IP cổng TCP máy chủ POP-3 sử dụng, hộp thư truy cập, có tin nhắn hộp thư đến, số bytes tin nhắn Đối với tin nhắn thứ nhất, thứ hai thứ ba, người gửi tin nhắn chủ đề phác thảo nội dung tin nhắn Lệnh POP-3 sử dụng để lấy nội dung tin nhắn? http://asecuritysite.com/log/pop3.zip Tại gói tin 13, 14, 15, ta xác định trình bắt tay ba bước host server Ta có thông tin sau:  Địa IP host sử dụng: 192.168.0.4  Địa cổng TCP host sử dụng: 26272 14 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat  Địa IP server sử dụng: 212.227.15.166  Địa cổng TCP server sử dụng: 110 Để xem yêu cầu trình giao tiếp từ host tới server, ta sử dụng lọc với luật “pop.request”, ta thấy số câu lệnh người dùng sử dụng sau:  Lệnh CAPA trả khả hỗ trợ POP-3 server  Lệnh AUTH PLAIN yêu cầu máy chủ sử dụng giao thức xác thực với chế mã hóa (Encoding) base64  Lệnh STAT hiển thị số lượng tin nhắn có hộp thư kích thước tính theo byte  Sử dụng LIST để nhận tóm tắt tin nhắn số tin nhắn hiển thị với kích thước tính theo byte bên cạnh  Sử dụng lệnh RETR để lấy thông tin tin nhắn cụ thể ví dụ RETR 1, RETR 2, RETR 3,…  Khi sử dụng câu lệnh CAPA, server trả lời UIDL nghĩa tùy chọn UIDL hỗ trợ Máy chủ POP3 gán số cho thư đến Điều cho phép thư để lại máy chủ sau thư tải xuống cho người dùng  QUIT để thoát khỏi đoạn hội thoại Tương ứng với gói yêu cầu gói phản hồi, sau xác thực thành công, người dùng nhận thông tin email cá nhân: digitalinvestigator@networksims.com số lượng tin nhắn hộp thư tin nhắn 15 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Để xem nội dung tin nhắn ta sử dụng lọc với tập luật “imf” IMF viết tắt Internet Message Format, định dạng tin nhắn văn truyền qua mơi trường internet Sau tiến hành follow > TCP Stream gói tin số 95 10 Sau người dùng sử dụng LIST để liệt kê số tin nhắn byte tin nhắn ta thu kết quả:  Tin nhắn số - 5565 bytes  Tin nhắn số - 8412 bytes  Tin nhắn số - 5214 bytes 16 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat 11 Để đọc thông tin tin nhắn 1, người dùng sử dụng câu lệnh RETR 1, ta thấy thông tin nhứ sau:  Người gửi tin 1: support@1and1.co.uk  Tiêu đề tin 1: A message from 1&1 Internet  Nội dung tin 1: Email chào mừng sau đăng ký tài khoản email 17 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat 12 Tương tự với tin số 3, ta có đáp án:  Người gửi tin 2: “Buchanan, Bill"  Tiêu đề tin 2: Testing  Nội dung tin 2: Email giới thiệu Đại học Edinburgh Napier  Người gửi tin 3: "Buchanan, Bill"  Chủ đề tin 3: Testing  Nội dung tin 3: Email cảm ơn 13 Tải xuống tập tin mở Wireshark, xác định: Địa IP cổng TCP máy host gửi email, địa IP cổng TCP máy chủ sử dụng, hộp thư truy cập Theo dõi email gửi, chi tiết Có tin nhắn hộp thư đến, nêu chi tiết email có hộp thư đến? http://asecuritysite.com/log/imap.zip 18 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat 14 Ta thấy ba gói tin mơ tả q trình bắt tay ba bước TCP, ta có thông tin:  Địa IP host sử dụng: 192.168.0.4  Địa cổng TCP host sử dụng: 23463  Địa IP server sử dụng: 212.227.15.167  Địa cổng TCP server sử dụng: 25 15 Tiến hành follow TCP stream giao thức SMTP, ta có thơng tin email truy cập: digitalinvestigator@networksims.com thông tin email gửi 19 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat 16 Để xem số lượng nội dung tin nhắn hộp thư đến, sử dụng lọc với luật “imap” để lọc gói tin với giao thức IMAP, sau tiến hành follow TCP stream, ta thấy có tin nhắn hộp thư đến Chi tiết email có Hộp thư đến sau: Email dùng để thử nghiệm, có nội dung chào hỏi giới thiệu trường Đại học Edinburgh Napier Nhiệm vụ Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức SSL/TLS 20 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Tải gói tin đường dẫn mở gói tin với phần mềm Wireshark http://asecuritysite.com/log/ssl.zip Hãy xác định địa IP port host, địa IP port server, kết nối sử dụng giao thức mạng nào, trang web truy cập, xác định tổ chức ký chứng số cho dịch vụ web server, ta đọc liệu trao đổi host server hay không? Với ba gói tin đầu tiên, ta xác định trình bắt tay ba bước host server, vậy, ta dễ dàng xác định thông tin sau:  Địa IP port host: 192.168.0.20 & 2099,  địa IP port server: 66.211.169.66 & 443 Khi có thơng tin host kết nối tới server cổng dịch vụ 443, ta xác định giao thức sử dụng SSL TLS, dựa vào thông tin cột “Protocol”, ta biết kết nối sử dụng giao thức mạng TLS v1 Trong kết nối tới web server thơng thường, ta dễ dàng trả lời website truy cập tới với luật filter: “http.host”, hiên với trường hợp này, ta làm theo cách gói tin chứa thơng tin giao thức TCP TLSv1 Đối với giao thức TLSv1, ta sử dụng tập luật: “ssl.handshake.certificate” để tiến hành đọc thông tin chứng số máy chủ - 21 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat nơi trả lời cho câu hỏi trang web truy cập tổ chức ký chứng số Trên lọc filter, gõ “ssl.handshake.certificate” Sau tiến hành filter, ta nhận gói tin số chứa thơng tin chứng số server, tiến hành đọc gói tin, thu kết sau:  Website: paypal.com  Tổ chức ký chứng số: VeriSign Trust Network Để đọc nội dung thông điệp trao đổi host server, ta chọn gói tin sử dụng giao thức TLSv1 sau chuột trái, nhấn chọn “Follow > TCP Stream” Như kết quả, ta đọc nội dung liệu Tiếp theo, thực kết nối tới trang web: https://google.com, với wireshark, tiến hành bắt luồng lưu lượng mạng trả lời câu hỏi sau: Địa IP 22 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat port host, địa IP port server, giao thức mạng sử dụng, xác định tổ chức ký chứng số cho dịch vụ web server? Ta khởi động wireshark, tiến hành chọn card mạng để tiến hành bắt luồng lưu lượng mạng 10 Từ trình duyệt, tiến hành truy cập https://google.com, sau đó, ta phân tích theo bước bước phân tích gói tin ssl.pcap, ta thu thông tin sau:  IP port host: 192.168.1.131 & 49365  IP port server: 172.217.24.36 & 443  Giao thức mạng sử dụng: TLSv1.2  Thông tin nhà cung cấp chứng thư số: Google Trust Services – GlobalSign Root CA –R2 23 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat 11 Trên giao diện web, truy cập https://google.com , tìm chứng số website xác định: Tổ chức cấp chứng số, ngày hết hạn chứng chỉ, phương thức mã hóa sử dụng cho khóa cơng khai, độ dài khóa mã hóa? 12 Từ trình duyệt web Google chrome, truy cập tới địa https://google.com, sau click chọn biểu tượng khóa bên trái URL 13 Tiếp tục chọn “Certificate (Valid)”, ta có thông tin tổ chức cung cấp chứng số Google Internet Authority G3 – Google Trust Services, ngày hết hạn chứng 4/23/2019 24 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat 14 Nhấn chọn tab “Certification Path > View Certificate, chọn Google Trust Services – GlobalSign Root CA –R2 > Details”, ta có thơng tin phương thức mã hóa sử dụng cho khóa cơng khai RSA, độ dài khóa cơng khai 2048 bits 25 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Phần Đánh giá thực hành STT Nội dung thực Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức ARP ICMP Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức SMTP, IMAP POP3 Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức SSL/TLS Tổng điểm Điểm Cách kiểm tra Căn báo cáo Căn báo cáo Căn báo cáo 10 26 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat ... thức mạng phổ biến: ARP, ICMP, SMTP, SSL, TLS,… - Sử dụng phần mềm Wireshark để phân tích gói tin Phần Tổ chức thực hành Yêu cầu thực hành: thực hành độc lập Thời gian: 135 phút Phần Môi trường thực. .. Wireshark giúp bắt gói tin, sau phân tích để hiển thị khn dạng liệu gói tin dạng tường minh Wireshark sử dụng Winpcap - phần mềm dùng để thu nhập tức luồng liệu mạng - để bắt gói tin, hoạt động máy...MỤC LỤC Phần Điều kiện tiên Phần Giới thiệu Phần Kịch thực hành Phần Mục tiêu thực hành Phần Tổ chức thực hành Phần Môi trường thực hành