HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA CƠNG NGHỆ THƠNG TIN II -□□ - Bài Thực Hành Môn: GIÁM SÁT AN TOÀN MẠNG Giảng viên hướng dẫn: Đặng Hồng Hiệp Sinh viên thực hiện: Họ tên Phạm Ngọc Hưng TPHCM 3/2022 MSSV N18DCAT032 Mục Lục I Phân tích gói tin với NetworkMiner Chuẩn bị Chạy NetworkMiner Phân tích liệu NetworkMiner II Giám sát an ninh mạng nguồn mở với Sguil Chuẩn bị Thực hành giám sát III Truy vấn xem liệu kiện Sguil với Squert Chức a Hiển thị hàng đợi cảnh báo tab kiện: b Lọc theo "trojan" "sự kiện tại" tra c Lọc theo IP truy cập: Chức nâng cao a Elasticsearch (truy vấn nhật ký máy) b Chức autocat: c Tính URL I Phân tích gói tin với NetworkMiner NetworkMiner cơng cụ phân tích mạng tập trung vào máy chủ lưu trữ với khả đánh thụ động Trung tâm máy chủ có nghĩa xếp liệu theo máy chủ gói (điều thực hầu hết cơng cụ dị tìm tích cực) Chuẩn bị Chạy NetworkMiner Giao diện người dùng NetworkMiner chia thành tab Mỗi tab cung cấp góc thơng tin khác liệu thu thập Bao gồm bước để chạy NetworkMiner để phân tích lưu lượng mạng: B1 Chạy NetworkMiner.exe với đặc quyền quản trị B2 Chọn giao diện mạng mà liệu cần thu thập B3 Theo mặc định, tab Máy chủ chọn Bạn xếp máy chủ theo địa IP, địa MAC, tên máy chủ, Hệ điều hành, v.v Phân tích liệu NetworkMiner - Chúng ta phân tích file pcap1 từ wireshark - Chọn Socket để bắt đầu - Tiếp theo chọn máy chủ có ip: 192.168.139.129 Ta biết địa Ip MAC, gửi 53 packets nhận packets giao tiếp với TCP Port khác Chúng ta chọn tab để xem chi tiết máy trao đổi với máy chủ IP Này - Trong Tab File ta thấy File mà máy trao đổi gửi với - Có thể mở File để xem nội dung bên - Trong Tab Credentials ta thấy HTTP Cookie, gồm Username PassWord, dùng extension để decode Trong Tab Sessions ta biết máy client giao tiếp với IP bên với Port nguồn Port đích, Protocol thời gian bắt đầu - Trong Tab Message thấy tin nhắn mà máy trao đổi với Kết luận: NetworkMiner sử dụng cơng cụ chặn bắt gói tin thụ động nhằm nhận biết hệ điều hành, phiên làm việc, tên host, port mở mà không cần đặt luồng liệu lên mạng NetworkMiner phân tích tệp tin pcap trường hợp ngoại tuyến tái tạo tập tin truyền tải, cấu trúc thư mục hay chứng từ tệp tin pcap Mục đích NetworkMiner thu thập liệu (chẳng hạn chứng cứ) host mạng, không thu thập liệu lưu lượng truy cập Nó quan tâm đến trung tâm máy chủ (nhóm thơng tin máy) khơng tập trung vào gói tin (thơng tin danh sách gói tin, khung nhìn ) NetworkMiner cơng cụ tiện dụng việc phân tích máy chủ C&C (Command & Control) hay kiểm soát lưu lượng truy cập từ mạng lưới botnet II Giám sát an ninh mạng nguồn mở với Sguil Chuẩn bị - Cài đặt máy ảo Security Onion - Tải xuống tệp điều kiện Lệnh: wget https://github.com/wave-length/Presentations/raw/master/MAR19-DC919-SecurityOnion/Files/Ex1honeynet.org-Scan19.tar.gz && wget https://s3.amazonaws.com/ tcpreplay-pcap-files / bigFlows.pcap - Giải nén tệp có Ex1-honeynet.org-Scan19.tar.gz Lệnh bên Lệnh: mkdir /Exercise1/ && tar fvxz Ex1-honeynet.org-Scan19.tar.gz directory /Exercise1 Đăng nhập vào Squil thông tin đăng nhập mà bạn thiết lập xây dựng máy ảo Security Onion Đây tên giao diện chụp ảnh Ethernet sử dụng để giám sát cần thiết sau Nhấp vào “Chọn tất cả” bạn ghi tên giao diện Ethernet sau nhấp vào “Khởi động SGUIL.” Thực hành giám sát - Đưa thiết bị đầu cuối trở lại trước nhập lệnh: sudo sleep 15s && sudo tcpreplay -i enp0s8 -M 100 newdat3.log Chờ lúc, tcpreplay phát lại tệp pcap newdat3.log kiện xuất tiếng chng Nên có khoảng 15 kiện Chúng ta xem xét số số họ - Nhấp vào kiện, file thông tin kiện - Chúng ta cập nhập kiện Thao tác mở hình tạo truy vấn Với chức tạo truy vấn, bạn truy vấn kiện Security Onion xếp vào danh mục Nhấp vào nút "Submit" Sau nhấn “Submit” tab với kết truy vấn xuất kiện bạn phân loại trước hiển thị Sử dụng trường mã hóa màu xanh lam phía bên phải hình, thấy thông tin tiêu đề tải trọng cho gói tin, bao gồm IP nguồn đích cổng Sử dụng thông tin trường “DỮ LIỆU”, kiểm tra tải trọng gói xác định người nhận tệp III Truy vấn xem liệu kiện Sguil với Squert Squert ứng dụng web sử dụng để truy vấn xem liệu kiện lưu trữ sở liệu Sguil (thường liệu cảnh báo IDS) Squert công cụ trực quan cố gắng cung cấp ngữ cảnh bổ sung cho kiện thông qua việc sử dụng siêu liệu, biểu diễn chuỗi thời gian tập kết có trọng số nhóm hợp lý Chức a Hiển thị hàng đợi cảnh báo tab kiện: b Lọc theo "trojan" "sự kiện tại" trang tóm tắt: c Lọc theo IP truy cập: Chức nâng cao a Elasticsearch (truy vấn nhật ký máy) Tùy thuộc vào vị trí bạn giao diện, điều khoản khoảng thời gian khác - Dữ liệu đặt đầu b Chức autocat: c Tính URL Truy cập lọc cục thực tra cứu bên cách sử dụng tính URL - Tạo URL giống tạo lọc  ... I Phân tích gói tin với NetworkMiner Chuẩn bị Chạy NetworkMiner Phân tích liệu NetworkMiner II Giám sát an ninh mạng nguồn mở với Sguil Chuẩn bị Thực hành giám sát. .. I Phân tích gói tin với NetworkMiner NetworkMiner cơng cụ phân tích mạng tập trung vào máy chủ lưu trữ với khả đánh thụ động Trung tâm máy chủ có nghĩa xếp liệu theo máy chủ gói (điều thực. .. gói tin (thơng tin danh sách gói tin, khung nhìn ) NetworkMiner cơng cụ tiện dụng việc phân tích máy chủ C&C (Command & Control) hay kiểm soát lưu lượng truy cập từ mạng lưới botnet II Giám sát