Đăng ký
  1. Trang chủ
  2. » Giáo Dục - Đào Tạo

PHÂN TÍCH gói TIN với WIRESHARK

42 10 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Luận văn Đề tài: PHÂN TÍCH GĨI TIN VỚI WIRESHARK LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội PHÂN TÍCH GĨI TIN VỚI WIRESHARK MỤC LỤC Giới thiệu 1.Thế phân tích gói tin? 2.Các bước để nghe gói tin I Các cách thức nghe gói tin mạng 1.Living Promiscuously (chế độ bắt tất gói tin qua) 2.“Nghe” mạng có Hub 3.“Nghe” mạng Switched - Port Mirroring - Hubbing Out - ARP Cache Poisoning 4.Nghe mạng sử dụng Router Network Maps II Giới thiệu WireShark Một số tính nâng cao Wireshark 1.Name Resolution 2.Protocol Dissection 3.Following TCP Streams 4.Cửa sổ thống kê phân cấp giao thức 5.Xem Endpoints 6.Cửa số đồ thị IO Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội Giới thiệu Hàng ngày, có hàng triệu vấn đề lỗi mạng máy tính, từ việc đơn giản nhiễm Spyware việc phức tạp lỗi cấu hình router, vấn đề xử lý tất Tốt hi vọng thực cơng việc cách chuẩn bị đầy đủ kiến thức công cụ tương ứng với vấn đề Tất vấn đề mạng xuất phát mức gói, nơi mà khơng có che dấu chúng ta, nơi mà khơng có thứ bị ẩn cấu trúc menu, hình ảnh bắt mắt nhân viên khơng đáng tin cậy Khơng có bí mật đây, điều khiển mạng giải vấn đề Đây giới phân tích gói tin Thế phân tích gói tin? Phân tích gói tin, thơng thường quy vào việc nghe gói tin phân tích giao thức, mơ tả q trình bắt phiên dịch liệu sống luồng lưu chuyển mạng với mục tiêu hiểu rõ điều diễn mạng Phân tích gói tin thường thực packet sniffer, công cụ sử dụng để bắt liệu thô lưu chuyển đường dây Phân tích gói tin giúp chung ta hiểu cấu tạo mạng, mạng, xác định sử dụng băng thơng, thời điểm mà việc sử dụng mạng đạt cao điểm, khả công hành vi phá hoại, tìm ứng dụng khơng bảo mật Có vài kiểu chương trình nghe gói tin, bao gồm miễn phí sản phẩm thương mại Mỗi chương trình thiết kế với mục tiêu khác Một vài chương trình nghe gói tin phổ biến tcpdump (a command-line program), OmniPeek, Wireshark (cả hai chương trình có giao diện đồ hoạ) Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm đến số vấn đề: giao thức mà chương trình cần hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật chương trình hỗ trợ cho hệ điều hành Các bước để nghe gói tin: Quá trình nghe gói tin chia làm bước: thu thập liệu, chuyển đổi liệu phân tích  Thu thập liệu: bước đầu tiên, chương trình nghe gói tin chuyển giao diện mạng lựa chọn sang chế độ Promiscuous Chế độ cho phép card mạng nghe tất gói tin lưu chuyển phân mạng Chương trình nghe gói sử dụng chế độ với việc truy nhập mức thấp để bắt liệu nhị phân đường truyền  Chuyển đổi liệu: bước này, gói tin nhị phân chuyển đổi thành khn dạng đọc  Phân tích: phân tích gói tin chuyển đổi Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội Có vài chương trình khác nghe gói tin, tiểu luận này, xin giới thiệu chương trình điển hình với nhiều tính mạnh hỗ trợ việc bắt phân tích gói tin Đó WireShark Nội dung phần chính:  Phần I: Các cách thức nghe gói tin mạng  Phần II: Giới thiệu WireShark  Phần III: Các tính với WireShark  Phần IV: Xử lý tình mạng với WireShark I Các cách thức nghe gói tin mạng Để thực việc bắt gói tin mạng, ta phải vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền mạng Quá trình đơn giản đặt “máy nghe” vào vị trí vật lý mạng máy tính Việc nghe gói tin khơng đơn giản cắm máy xách tay vào mạng bắt gói Thực tế, nhiều việc đặt máy nghe vào mạng khó việc phân tích gói tin Thách thức việc chỗ có số lượng lớn thiết bị mạng phần cứng sử dụng để kết nối thiết bị với Lý loại thiết bị (hub, switch, router) có ngun lý hoạt động khác Và điều đòi hỏi ta phải nắm rõ cấu trúc vật lý mạng mà ta phân tích Chúng ta nghiên cứu số mạng thực tế để cách tốt để bắt gói tin mơi trường mạng sử dụng Hub, Switch Router Living Promiscuously (chế độ bắt tất gói tin qua) Trước nghe gói tin mạng, ta cần card mạng có hỗ trợ chế độ Promiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy thất gói tin qua hệ thống dây mạng Khi card mạng khơng chế độ này, nhìn thấy số lượng lớn gói tin mạng khơng gửi cho nó, huỷ (drop) gói tin Khi chế độ Promiscuous, bắt tất gói tin gửi tồn tới CPU “Nghe” mạng có Hub Việc nghe mạng có hub điều kiện mơ cho việc phân tích gói tin Cơ chế hoạt động Hub cho phép gói tin gửi tất cổng hub Hơn nữa, để phân tích máy tinh hub, tất công việc mà bạn cần làm cắm máy nghe vào cổng cịn trống hub Bạn nhìn thấy tất thông tin truyền nhận từ tất máy kết nối với hub đó, sổ tầm nhìn bạn khơng bị hạn chế mà máy nghe bạn kết nối với mạng hub “Nghe” mạng Switched Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội Một môi trường switched kiểu mạng phổ biến mà bạn làm việc Switch cung cấp phương thức hiệu để vận chuyển liệu thông qua broadcast, unicast, multicast Switch cho phép kết nối song cơng (full-duplex), có nghĩa máy trạm truyền nhận liệu đồng thời từ switch Khi bạn cắm máy nghe vào cổng switch, bạn nhìn thấy broadcast traffic gói tin gửi nhận máy tính mà bạn sử dụng Có cách để bắt gói tin từ thiết bị mục tiêu mạng switch: port mirroring, ARP cache poisoning hubbing out Port Mirroring Port mirroring hay gọi port spanning cách đơn giản để bắt lưu lượng từ thiết bị mục tiêu mạng switch Với cách này, bạn phải truy cập giao diện dòng lệnh switch mà máy mục tiêu cắm vào Tất nhiên switch phải hỗ trợ tính port mirroring có port trống để bạn cắm máy nghe vào Khi ánh xạ cổng, bạn copy toàn lưu lượng qua cổng sang cổng khác Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội Hubbing Out Một cách đơn giản khác để bắt lưu lượng thiết bị mục tiêu mạng switch hubbing out Hubbing out kỹ thuật mà bạn đặt thiết bị mục tiêu máy nghe vào phân mạng cách đặt chúng trực tiếp vào hub Rất nhiều người nghĩ hubbing out lừa dối, thật giải pháp hoàn hảo tình mà bạn khơng thể thực port mirroring có khả truy cập vật lý tới switch mà thiết bị mục tiêu cắm vào Trong hầu hết tình huống, hubbing out giảm tính song công thiết bị mục tiêu (full to haft) Trong phương thức cách để nghe, thường bạn sử dụng lựa chọn mà switch không hỗ trợ port mirroring Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội Khi hubbing out, chắn bạn sử dụng hub switch bị gắn nhầm nhãn Khi mà bạn sử dụng hub, kiểm tra để chắn hub cách cắm máy tính vào nhìn xem máy nhìn thấy lưu lượng cịn lại khơng ARP Cache Poisoning Địa tầng (địa MAC) sử dụng chung với hệ thống hệ thống địa tầng Tất thiết bị mạng liên lạc với thông qua địa IP Do switch làm việc tầng 2, phải có khả phiên dịch địa tầng (MAC) sang địa tầng (IP) ngược lại để chuyển tiếp gói tin tới thiết bị tương ứng Q trình phiên dịch thực thông qua giao thức tầng ARP (Address Resolution Protocol) Khi máy tính cần gửi liệu cho máy khác, gửi yêu cầu ARP tới switch mà kết nối Switch gửi gói ARP broadcast tới tất máy kết nối với để hỏi Khi mà máy đích nhận gói tin này, thơng báo cho switch cách gửi địa MAC Sau nhận gói tin phản hồi, Switch định tuyến kết nối tới máy đích Thơng tin nhận được lưu trữ ARP cache switch switch không cần phải gửi thơng điệp ARP broadcast lần cần gửi liệu tới máy nhận ARP cache poisoning kỹ thuật nâng cao việc nghe đường truyền mạng switch Nó sử dụng phổ biến hacker để gửi gói tin địa sai tới máy nhận với mục tiêu để nghe trộm đường truyền công từ chối dịch vụ, ARP cache poisoning phục vụ cách hợp pháp để bắt gói tin máy mục tiêu mạng switch ARP cache poisoning q trình gửi thơng điệp ARP với địa MAC giả mạo tới switch router nhằm mục đích nghe lưu lượng thiết bị mục tiêu Có thể sử dụng chương trinh Cain & Abel để thực việc (http://www.oxid.it) Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội Nghe mạng sử dụng Router Tất kỹ thuật nghe mạng switch sử dụng mạng router Chỉ có việc cần quan tâm mà thực với mạng router quan trọng việc đặt máy nghe mà thực xử lý vấn đề liên quan đến nhiều phân mạng Broadcast domain thiết bị mở rộng gặp router Khi đó, lưu lượng chuyển giao sang dịng liệu router bạn liên lạc với gói tin bạn nhận ACK máy nhận trả Trong tình hướng này, liệu lưu chuyển qua nhiều router, quan trọng để thực phân tích tất lưu lượng giao diện router Ví dụ, liên quan đến vấn đề liên kết, bạn gặp phải mạng với số phân mạng kết nối với thông qua router Trong mạng đó, phân mạng liên kết với phân mạng với mục đích lưu trữ tham chiếu liệu Vấn đề mà cố gắng giải phân mạng D kết nối với thiết bị phân mạng A Khi mà bạn nghe lưu lượng thiết bị phân mạng D Khi đó, bạn nhìn tháy rõ ràng lưu lượng truyền tới phân mạng A, khơng có biên nhận (ACK) gửi lại Khi bạn Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội nghe luồng lưu lượng phân mạng cấp để tìm nguyên nhân vấn đề, bạn tìm lưu lượng bị huỷ router phân mạng B Cuối dẫn đến việc bạn kiểm tra cấu hình router, đúng, giải vấn đề bạn Đó ví dụ điển hình lý cần nghe lưu lượng nhiều thiết bị nhiều phân mạng với mục tiêu xác định xác vấn đề Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội Network Maps Để định việc đặt máy nghe đâu, cách tốt bạn phải biết cách rõ ràng mạng mà bạn định phân tích Nhiều việc xác định vấn đề chiếm nửa khối lượng công việc việc xử lý cố II Giới thiệu WireShark WireShark có bề dầy lịch sử Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Tám năm sau kể từ phiên đời, Combs từ bỏ công việc để theo đuổi hội nghề nghiệp khác Thật không may, thời điểm đó, ơng khơng thể đạt thoả thuận với cơng ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, Combs phần cịn lại đội phát triển xây dựng thương hiệu cho sản phẩm “Ethereal” vào năm 2006, dự án tên WireShark WireShark phát triển mạnh mẽ đến nay, nhóm phát triển lên tới 500 cộng tác viên Sản phẩm tồn tên Ethereal không phát triển thêm Lợi ích Wireshark đem lại giúp cho trở nên phổ biến Nó đáp ứng nhu cầu nhà phân tích chuyên nghiệp nghiệp dư đưa nhiều tính để thu hút đối tượng khác Các giao thực hỗ trợ WireShark: WireShark vượt trội khả hỗ trợ giao thức (khoảng 850 loại), từ loại phổ biến TCP, IP đến loại đặc biệt AppleTalk Bit Torrent Và Wireshark phát triển mơ hình mã nguồn mở, giao thức thêm vào Và nói khơng có giao thức mà Wireshark hỗ trợ  Thân thiện với người dùng: Giao diện Wireshark giao diện phần mềm phân tích gói dễ dùng Wireshark ứng dụng đồ hoạ với hệ thống menu rât rõ ràng bố trí dễ hiểu Khơng số sản phẩm sử dụng dòng lệnh phức tạp TCPdump, giao diện đồ hoạ Wireshark thật tuyệt vời cho nghiên cứu giới phân tích giao thức  Giá rẻ: Wireshark sản phẩm miễn phí GPL Bạn tải sử dụng Wireshark cho mục đích nào, kể với mục đích thương mại  Hỗ trợ: Cộng đồng Wireshark cộng đồng tốt động dự án mã nguồn mở  Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết loại hệ điều hành Một số tính nâng cao Wireshark Name Resolution Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 27 Hình 3.2-1: We need to filter out all of this HTTP and TCP traffic Mở cửa sổ Alalyze->Expert Infos để thấy thêm thông tin Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 28 Hình 3.2-2: The Expert Infos window shows us chats, warnings, errors, and notes Mặc định Expert Infos hiển thị tất thông tin Nếu thị Error+Warn+Note ta có thơng tin sau Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 29 Hình 3.2-3: The Expert Infos window (sans chats) summarizes all of the problems with this download Hình cho thấy:  Có nhiều kết nối TCP chương trình Window update mở  Có tượng TCP Previous segment lost packets gói tin TCP gửi bị lặp ACK bị drop, khiến TCP phải gửi lại gói tin Có thể ngun nhân chiếm băng thơng mạng làm giảm tốc độ download Khảo sát tiếp thông tin theo hướng ta nhận thơng tin hình phía Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 30 Hình 3.2-4: Previous segment lost packets indicate a problem Hình 3.2-5: A fast retransmission is seen after a packet is dropped Statistics >TCP Stream Graph > Round Trip Time Graph Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 31 Hình 3.2-6: The round trip time graph for this capture Các hình cho thấy dự đốn bước xác Các file khơng thể download thời gian lớn 0.1 s, thời gian lý tưởng 0,04s Kết luận : ngun nhân download chậm có nhiều chương trình Windows update (có thể máy để auto update) tượng gói tin Như cần tắt bớt chương trình Windows update Did That Server Flash Me? Tình : anh Thanh phàn nàn khơng thể truy cập vào phần website Novell để download số phần mềm cần thiết Mỗi lần truy cập vào site trình duyệt tải vài tải có Mạng có vấn đề khơng ? Thơng tin có: sau kiểm tra sơ tất máy tính bình thường trừ máy tính anh Thanh Như vấn đề nằm máy tính anh Thanh Tiến hành: cài Wireshark bắt gói tin truy cập website Novell máy Thanh Phân thích: Thơng tin nhận bắt đầu có kết nối HTTP đến website Novell: Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 32 Hình 3.2-18: The capture begins with standard HTTP communication Từ phía client gửi gói tin RST để kết thúc kết nối HTTP: Hình 3.2-19: Packets 28 and 29 present a problem Lý khiến client gửi gói tin RST ? Sử dụng tính cao cấp Wireshark Follow TCP Stream để thấy chi tiết nội dung mà phía server Novell trả dùng hàm GET HTTP Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 33 Hình 3.2-20: This Flash request is the source of our problem Như nhìn thấy, phần Flash mở dạng PopUp Thanh khơng thấy Kiểm tra thấy trình duyệt khóa tính PopUP Kết luận : trình duyệt block popup POP Goes the Email Server Tình : gửi thư chậm domain khác domain Thời gian nhận thư từ gửi từ 510 phút Thơng tin có:  Mail công ty sử dụng mail server riêng  Mail server dùng Post Office Protocol (POP) để nhận Tiến hành: Bắt gói tin máy mail server Phân thích: Thơng tin giao thức POP qua Wireshark Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 34 Hình 3.2-25: This capture includes a lot of POP packets Hình 3.2-26: Changing the time display format gives us an idea of how much data we are receiving in what amount of time Sử dụng Follow TCP Stream để xem nội dung thư có file đính kèm nhận thấy sau: Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 35 Hình 3.2-27: The details of packet show information about the email being sent File đính kèm chèn nhiều kí tự giống vào để tăng kích thước file đính kèm, kiểm tra tiếp số lượng mail thấy số lượng lớn Có thể đến kết luận mail server bị spam làm cho lực xử lý yêu cầu gửi đến bị giảm xuống, tương tự công từ chối dịch vụ Hướng giải : tìm phát nguồn thư rác, dùng blacklist để cấm địa gửi thư rác Kết luận : spam mail với file attach lớn Một số tình an ninh mạng OS Fingerprinting (Nhận dạng OS) OS Fingerprinting kỹ thuật phổ biến haker sử dụng để thu thập thông tin server từ xa, từ có thơng tin hữu ích để thực bước công Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 36 Như xác định lỗi có với server mục tiêu, chuẩn bị cơng cụ phù hợp cho công Một kỹ thuật xử dụng gửi gói tin ICMP thông dụng  Sử dụng ICMP traffic,dùng ping không bị “cảnh báo”  Sử dụng traffic like Timestamp request/reply, Address mask request, Information request không phổ biến Hình 3.3-1: This is the kind of ICMP traffic you don’t want to see Dùng ICMP request không phổ biến nhận thông tin từ mục tiêu phản hồi lại Nếu request chấp nhận dùng ICMP-based OS fingerprinting scans để quét thử Xử lý : traffic thơng thường khơng thấy gói ICMP loại 13,15,17 tạo lọc để lọc gói Ví dụ : icmp type==13 || icmp type==15 || icmp type==17 A Simple Port Scan (quét cổng dạng đơn giản) Một chương trình quét port nhanh phổ biến : nmap Mục tiêu người công:  tìm port mở  xác định tunnel bí mật Chúng ta nhận dạng việc qt cổng cách đặt máy “nghe” máy chủ cần bảo vệ để theo dõi Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 37 Hình 3.3-2: A port scan shows multiple connection attempts on various ports Như hình nhận có kết nối đáng nghi ngờ máy 10.100.25.14 (local machine) máy 10.100.18.12 (remote computer) Log file cho thấy máy tính từ xa (remote computer) gửi gói tin đến nhiều cổng khác máy local ví dụ cổng 21,1028… Nhưng đặc biệt cổng nhạy cảm telnet (22), microsoft-ds, FTP (21), SMTP (25) cổng gửi số lượng gói tin lớn cổng có khả xâm nhập cao lỗi ứng dụng sử dụng cổng Các gói tin đoạn mã khai thác Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 38 Blaster Worm (Sâu Blaster) Hiện tượng: Máy tính phía client hiển thị sổ thơng báo shutdown máy vịng 60s Các thơng báo xuất liên tục Thơng tin có:  máy tính client cài chương trình diệt virus thời điểm Tiến hành: Cài đặt Wireshark máy có virus Phân tích: Màn hình Wireshark thể hành vi có nguy hại đến máy tính virus Blaster, thể màu đỏ, đen Hình 3.3-9: We shouldn’t see this level of network activity with only the timer running on this machine Một kinh nghiệm để phát virus xem liệu gói tin dạng thơ (raw), có thơng tin hữu ích Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 39 Hình 3.3-10: No useful information can be discerned from packet Sau tìm số gói tin thấy có gói tin mang lại thơng tin hữu ích Hình 3.3-11, thấy có địa trỏ đến thư mục C:\WINNT\System32 Thư mục thư mục quan hệ điều hành Windows Hình 3.3-11: The reference to C:\WINNT\System32 means something might be accessing our system files Tiếp tục tìm thơng tin theo cách trên, phát tên chương trình sâu Blaster hình 3.3-12 Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 40 Hình 3.3-12: Packet shows a reference to msblast.exe Khi xác định ví trí file virus ta có nhiều cách giải theo mục đích khác Đối với người dùng thơng thường tắt tiến trình có tên sau xóa file virus đi… Trong khn khổ tiểu luận chúng tơi nêu số vấn đề xử lý cách sử dụng Wireshark kỹ phân tích gói tin Ngồi cịn có nhiều tình khác tình nâng cao nhiên không đề cập Các vấn đề khác bạn đọc tham khảo thêm qua tài liệu nêu phần phụ lục Phụ lục Tài liệu tham khảo Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 41 [1] Chris Sanders, PRACTICAL PACKET ANALYSIS, Using Wireshark to Solve Real-World Network Problems- No Startch Press,2007 [2] Angela Orebaugh,Gilbert Ramirez,Josh Burke,Larry Pesce,Joshua Wright,Greg Morris, Wireshark & Ethereal Network Protocol Analyzer Toolkit- Syngress Publishing,2007 [3] Angela Orebaugh, Ethereal Packet Sniffing - Syngress Publishing,2004 Design by MrQuý - Mobile: 0983127983 Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.net LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... Đây giới phân tích gói tin Thế phân tích gói tin? Phân tích gói tin, thơng thường quy vào việc nghe gói tin phân tích giao thức, mơ tả trình bắt phiên dịch liệu sống luồng lưu chuyển mạng với mục... Hà Nội PHÂN TÍCH GĨI TIN VỚI WIRESHARK MỤC LỤC Giới thiệu 1.Thế phân tích gói tin? 2.Các bước để nghe gói tin I Các cách thức nghe gói tin mạng 1.Living Promiscuously (chế độ bắt tất gói tin qua)... nghe gói tin mạng  Phần II: Giới thiệu WireShark  Phần III: Các tính với WireShark  Phần IV: Xử lý tình mạng với WireShark I Các cách thức nghe gói tin mạng Để thực việc bắt gói tin mạng,

Ngày đăng: 02/11/2022, 14:39

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w