Đang tải... (xem toàn văn)
TRƯỜNG ĐẠI HỌC QUẢNG NAM KHOA CÔNG NGHỆ THÔNG TIN Tiểu luận HỌC PHẦN QUẢN TRỊ MẠNG Tên đề tài TÌM HIỂU VỀ MẠNG MÁY TÍNH WIRESHARK Giảng viên Nhóm sinh viên thực hiện Lớp DL21CTT01 Quảng Nam, tháng 03.
TRƯỜNG ĐẠI HỌC QUẢNG KHOA CÔNG NGHỆ THÔNG TIN -Tiểu luận: HỌC PHẦN QUẢN TRỊ MẠNG Tên đề tài: TÌM HIỂU VỀ MẠNG MÁY TÍNH WIRESHARK Giảng viên: Nhóm sinh viên thực hiện: Lớp: DL21CTT01 Quảng Nam, tháng 03 năm 2022 Phần MỞ ĐẦU Lý chọn đề tài WireShark phân tích gói mạng (network packet analyzer) Một network packet analyzer cố gắng nắm bắt network packets cố gắng hiển thị liệu gói chi tiết tốt Một network packet analyzer sử dụng thiết bị đo lường, dùng để kiểm tra xảy bên cáp mạng (network cable), khơng khác chức vơn kế thợ điện sử dụng để kiểm tra xảy bên cáp điện Trước đây, công cụ thường tốn kém, độc quyền, hai Tuy nhiên, với đời Wireshark, tất điều thay đổi Theo Bizfly Cloud, Wireshark có lẽ máy phân tích gói mã nguồn mở tốt (open source packet analyzer) Mục tiêu đề tài Tìm hiểu mạng máy tính wireshark, Đối tượng phạm vi nghiên cứu • Đối tượng nghiên cứu: - Vấn đề bảo mật mạng không dây - Các cơng nghệ, mơ hình chuẩn mạng không dây - Các kiểu công giải pháp bảo mật bậc • Phạm vi nghiên cứu: Thu thập tài liệu liên quan, phân tích thông tin liên quan đến đề tài Phương pháp nghiên cứu Nghiên cứu tài liệu phân tích, thu thập thông tin liên quan 2|Page Phần NỘI DUNG NGHIÊN CỨU Chương 1: CƠ SỞ LÝ THUYẾT Giới thiệu WireShark có bề dầy lịch sử Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Tám năm sau kể từ phiên đời, Combs từ bỏ công việc để theo đuổi hội nghề nghiệp khác Thật khơng may, thời điểm đó, ơng khơng thể đạt thoả thuận với công ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, Combs phần cịn lại đội phát triển xây dựng thương hiệu cho sản phẩm “Ethereal” vào năm 2006, dự án tên WireShark WireShark phát triển mạnh mẽ đến nay, nhóm phát triển lên tới 500 cộng tác viên Sản phẩm tồn tên Ethereal không phát triển thêm Wireshark công cụ dùng để phân tích giao thức mạng Wireshark cho phép bạn xem chi tiết giao thức mạng có, bắt gói tin phân tích offline chúng, phân tích VoIP Dữ liệu bắt thông qua giao diện đồ hoạ qua TTY-mode tiện ích TShark Wireshark đọc/ghi nhiều dạng file tcpdump (libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer®, … Dữ liệu nén dạng gzip bắt giải nén lập tức, Wireshark cung cấp nhiều phương thức giải nén cho nhiều phương thức khác IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, … Wireshark có hỗ trợ nhiều quy tắc tô màu cho phương thức khác nhau, giúp bạn phân tích chúng trực quan hơn.Wireshark làm việc với nhiều loại kết nối mạng, bao gồm Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, … Lợi ích Wireshark đem lại giúp cho trở nên phổ biến Nó đáp ứng nhu cầu nhà phân tích chuyên nghiệp nghiệp dư đưa nhiều tính để thu hút đối tượng khác 1.2 Các giao thức hỗ trợ WireShark: - WireShark vượt trội khả hỗ trợ giao thức (khoảng 850 loại), 1.1 từ loại phổ biến TCP, IP đến loại đặc biệt 3|Page AppleTalk Bit Torrent Và Wireshark phát triển mơ hình mã nguồn mở, giao thức thêm vào Và nói khơng có giao thức mà Wireshark khơng thể hỗ trợ - Thân thiện với người dùng: Giao diện Wireshark giao diện phần mềm phân tích gói dễ dùng Wireshark ứng dụng đồ hoạ với hệ thống menu rât rõ ràng bố trí dễ hiểu Khơng số sản phẩm sử dụng dòng lệnh phức tạp TCPdump, giao diện đồ hoạ Wireshark thật tuyệt vời cho nghiên cứu giới phân tích giao thức - Giá rẻ: Wireshark sản phẩm miễn phí GPL Bạn tải sử dụng Wireshark cho mục đích nào, kể với mục đích thương mại - Hỗ trợ: Cộng đồng Wireshark cộng đồng tốt động dự án mã nguồn mở - Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết loại hệ điều hành 1.3 Một số tính nâng cao Wireshark 1.3.1 Name Resolution Dữ liệu truyền mạng thông qua vài hệ thống địa chỉ, địa thường dài khó nhớ (Ví dụ: MAC) Phân giải điạch trình mà giao thức sử dụng để chuyển đổi địa loại thành địa loại khác đơn giản Chúng ta tiết kiệm thời gian cách sử dụng vài công cụ phân giải địa để file liệu ta bắt dễ đọc Ví dụ sử dụng phân giải tên DNS để giúp định danh tên máy tính mà ta có gắng xác định nguồn gói cụ thể Các kiểu cơng cụ phân giải tên Wireshark: có loại ∙ MAC Name Resolution: phân giải địa MAC tầng sang địa IP tầng Nếu việc phân giải lỗi, Wireshark chuyển byte địa MAC sang tên hãng sản xuất IEEE đặc 4|Page tả, ví dụ: Netgear_01:02:03 ∙ Network Name Resolution: chuyển đổi địa tầng sang tên DNS dễ đọc MarketingPC1 ∙ Transport Name Resolution: chuyển đổi cổng sang tên dịch vụ tương ứng với nó, ví dụ: cổng 80 http 1.3.2 Protocol Dissection Một protocol dissector cho phép Wireshark phân chia giao thức thành số thành phần để phân tích ICMP protocol dissector cho phép Wireshark phân chia liệu bắt định dạng chúng gói tin ICMP Bạn nghĩ dissector phiên dịch dòng liệu đường truyền chương trình Wireshark Với mục đích để hỗ trợ giao thức đó, dessector cho giao thức phải tích hợp Wireshark Wireshark sử dụng đồng thời vài dissector để phiên dịch gói tin Nó định dissector sử dụng cách sử dụng phân tích lơgic cài đặt sẵn thực việc dự đốn Thật khơng may Wireshark lúc việc lựa chọn dissector phù hợp cho gói tin Tuy nhiên, ta thay đổi việc lựa chọn trường hợp cụ thể 1.3.3 Following TCP Streams Một tính hữu ích Wireshark khả xem dòng TCP tầng ứng dụng Tính cho phép bạn phối hợp tất thơng tin liên quan đến gói tin cho bạn liệu mà gói tin hàm chứa giống người dùng cuối nhìn thấy ứng dụng Còn việc xem liệu truyền máy trạm máy chủ mớ hỗn độn, tính xếp liệu để xem cách đơn giản Bạn sử dụng cơng cụ để bắt giải mã phiên instant messages 5|Page gửi người làm thuê (người bị nghi ngờ phát tán thơng tin tài công ty) 1.3.4 Cửa sổ thống kê phân cấp giao thức Khi bắt file có kích thước lớn, cần biết phân bố giao thức file đó, phần trăm TCP, phần trăm IP DHCP phần trăm, Thay phải đếm gói tin để thu kết quả, sử dụng cửa sổ thống kê phân cấp giao thức Wireshark Đây cách tuyệt với để kiểm thử mạng bạn Ví dụ, bạn biết 10% lưu lượng mạng bạn sử dụng lưu lượng ARP, ngày đó, bạn thấy lưu lượng ARP lên tới 50%, bạn hồn tồn hiểu có khơng ổn xảy 1.3.5 Xem Endpoints Một Endpoint chỗ mà kết nối kết thúc giao thức cụ thể Ví dụ, có hai endpoint kết nối TCP/IP: địa IP hệ thống gửi nhận liệu, 192.168.1.5 192.168.0.8 Một ví dụ tầng kết nối hai NIC vật lý địa MAC chúng Các NIC gửi nhận liệu, MAC tạo nên endpoint kết nối 6|Page Khi thực phân tích gói tin, bạn nhận bạn khoanh vùng vấn đề enpoint cụ thể mạng Hộp thoại Wireshark endpoints vài thống kê hữu ích cho endpoint, bao gồm địa máy số lượng gói tin dung lượng truyền nhận máy 1.3.6 Cửa số đồ thị IO Cách tốt để hình dung hướng giải xem chúng dạng hình ảnh Cửa sổ đồ thị IO Wireshark cho phép bạn vẽ đồ thị lưu lượng liệu mạng Bạn sử dụng tính để tìm kiếm đột biến thời điểm khơng có liệu truyền giao thức cụ thể mà bạn quan tâm Bạn vẽ đồng thời đường đồ thị cho giao thức mà bạn quan tâm màu khác Điều giúp bạn dễ dàng để thấy khác đồ thị 7|Page Chương 2: XỬ LÝ CÁC TÍNH HUỐNG THỰC TẾ VỚI WIRESHARK 2.1 Một số tình Trong phần đề cập đến vấn đề cụ thể Sử dụng Wireshark phân tích gói tin để giải vấn đề cụ thể mạng Chúng xin đưa số tình điển hình A Lost TCP Connection (mất kết nối TCP) Một vấn đề phổ biến kết nối mạng.Chúng ta bỏ qua nguyên nhân kêt nối bị mất, nhìn tượng mức gói tin Ví dụ: Một ví truyền file bị kết nối: Bắt đầu việc gửi gói TCP ACK từ 10.3.71.7 đến 10.3.30.1 Hình 3.1-1: This capture begins simply enough with a few ACK packets Lỗi gói thứ 5, nhìn thấy xuất việc gửi lại gói TCP 8|Page Hình 3.1-2: These TCP retransmissions are a sign of a weak or dropped connection Theo thiết kế, TCP gửi m ột gói tin đến đích, không nhận tr ả l ời sau m ột khoảng thời gian g ửi l ại gói tin ban đầu N ếu v ẫn ti ếp t ục không nh ận ph ản hồi, máy nguồn tăng gấp đôi thời gian đợi cho lần gửi lại Như ta thấy hình trên, TCP gửi lại lần, lần liên tiếp khơng nh ận ph ản hồi kết nối đượ c coi kết thúc Hiện tượng ta thấy Wireshark sau: 9|Page Hình Windows will retransmit up to five times by default Khả xác định gói tin bị lỗi đơi giúp có th ể phát hi ện mấu tr ốt mạng bị đâu Unreachable Destinations and ICMP Codes (không th ể ch ạm t ới ểm cu ối mã ICMP) Một công cụ kiểm tra kết nối mạng cơng cụ ICMP ping Nếu may mắn phía mục tiêu trả lời lại ều có nghĩa bạn ping thành cơng, cịn khơng nhận đượ c thông báo kết nối tới máy đích S d ụng cơng cụ bắt gói tin việc cho bạn nhiều thơng tin thay dung ICMP ping bình thường Chúng ta nhìn rõ lỗi c ICMP Hình 3.1-5: A standard ping request from 10.2.10.2 to 10.4.88.88 Hình cho thấy thơng báo khơng thể ping tới 10.4.88.88 từ máy 10.2.99.99 Như so với ping thơng thường ta thấy kết nối bị đứt từ 10.2.99.99 Ngồi cịn có mã lỗi ICMP, ví d ụ : code (Host unreachable) 10 | P a g e Sau loạt thay đổi có truy vấn DNS đến deskwx.weatherbug.com Đây địa A khơng có ý định truy cập Như có process làm thay đổi địa ch ỉ trang ch ủ IE bật lên Dùng công cụ kiểm tra process ẩn ví dụ Process Explore thấy có tiến trình weatherbug.exe chạy Sau tắt tiến trình khơng cịn tượng Thơng thường tiến trình weatherbug virus, spyware Giao diện Process Explore Lỗi kết nối FTP Tình : có tài khoản FTP Windows Server 2003 update service packs vừa cài đặt xong, phần mềm FTP Server hồn tồn bình thường, khoản nh ưng khơng truy nhập Thơng tin có ∙ FTP làm việc cổng 21 Tiến hành Cài đặt Wireshark máy 15 | P a g e Phân tích Client: Hình 3.1-19: The client tries to establish connection with SYN packets but gets no response; then it sends a few more Client gửi gói tin SYN để bắt tay với server khơng có phản hồi từ server Server : Hình 3.1-20: The client and server trace files are almost identical Có lý dẫn đến tượng ∙ FTP server chưa chạy, điều khơng FTP server chạy kiểm tra lúc đầu ∙ Server tải có lưu lượng q lớn khiến khơng thể đáp ứng u cầu Điều khơng xác server vừa cài đặt ∙ Cổng 21 bị cấm phía clien phía server phía Sau kiểm tra thấy phía Server cấm cổng 21 chiều Incoming Outgoing Local Security Policy 16 | P a g e Kết luận Đơi bắt gói tin khơng cho ta biết trực tiếp vấn đề hạn ch ế r ất nhiều trường hợp giúp ta đưa suy đốn xác vấn đề 2.2 Xử lý tình băng thơng mạng Anatomy of a Slow Download (cốt lõi việc download chậm) Tình huống: mạng download chậm Tiến hành : đặt wireshark lắng nghe toàn đầu mạng Phân thích : hình ảnh cho thấy có nhiều kết nối TCP,HTTP điều có nghĩa có nhiều kết nối HTTP download liệu nên chiếm băng thông mạng Mở cửa sổ Alalyze->Expert Infos để thấy thêm thông tin Mặc định Expert Infos hiển thị tất thông tin Nếu thị Error+Warn+Note ta có thơng tin sau ∙ Có nhiều kết nối TCP chương trình Window update mở 17 | P a g e ∙ Có tượng TCP Previous segment lost packets gói tin TCP gửi bị lặp ACK bị drop, khiến TCP phải gửi lại gói tin Có thể ngun nhân chiếm băng thơng mạng làm giảm tốc độ download Khảo sát tiếp thông tin theo hướng ta nhận thơng tin hình phía Các hình cho thấy dự đốn bước xác Các file download thời gian lớn 0.1 s, thời gian lý tưởng 0,04s Kết luận : nguyên nhân download chậm có nhiều chương trình Windows update (có thể máy để auto update) tượng gói tin Như cần tắt bớt chương trình Windows update Did That Server Flash Me? Tình : anh Thanh phàn nàn truy cập vào phần website Novell để download số phần mềm cần thiết Mỗi lần truy cập vào site trình duyệt tải vài tải có Mạng có vấn đề khơng ? Thơng tin có: sau kiểm tra sơ tất máy tính bình thường trừ máy tính anh Thanh Như vấn đề nằm máy tính anh Thanh Tiến hành: cài Wireshark bắt gói tin truy cập website Novell máy Thanh Phân thích: Thơng tin nhận bắt đầu có kết nối HTTP đến website Novell: Hình 3.2-18: The capture begins with standard HTTP communication Từ phía client gửi gói tin RST để kết thúc kết nối HTTP: Hình 3.2-19: Packets 28 and 29 present a problem 18 | P a g e Lý khiến client gửi gói tin RST ? Sử dụng m ột tính cao c ấp c Wireshark Follow TCP Stream để thấy chi tiết nội dung mà phía server Novell trả v ề dùng hàm GET HTTP Hình 3.2-20: This Flash request is the source of our problem Như nhìn thấy, phần Flash đượ c mở dạng PopUp nh ưng Thanh khơng thấy Kiểm tra thấy trình duyệt khóa tính PopUP Kết luận : trình duyệt block popup POP Goes the Email Server Tình : gửi thư chậm domain khác domain Thời gian nhận thư từ gửi từ 5- 10 phút Thơng tin có: ∙ Mail công ty sử dụng mail server riêng ∙ Mail server dùng Post Office Protocol (POP) để nhận Tiến hành: Bắt gói tin máy mail server Phân thích: Thơng tin giao thức POP qua Wireshark Hình 3.2-25: This capture includes a lot of POP packets Hình 3.2-26: Changing the time display format gives us an idea of how much data we are receiving in what amount of time Sử dụng Follow TCP Stream để xem nội dung thư có file đính kèm nhận thấy sau: 19 | P a g e Hình 3.2-27: The details of packet show information about the email being sent File đính kèm đượ c chèn nhiều kí tự giống vào để tăng kích thước file đính kèm, kiểm tra tiếp số lượng mail thấy s ố lượng lớn Có thể đến kết luận mail server bị spam làm cho lực xử lý yêu cầu gửi đến bị giảm xuống, tương tự công từ chối dịch vụ Hướng giải : tìm phát nguồn thư rác, dùng blacklist để cấm địa gửi thư rác Kết luận : spam mail với file attach lớn 2.3 Một số tình an ninh mạng OS Fingerprinting (Nhận dạng OS) OS Fingerprinting kỹ thuật phổ biến haker sử dụng để thu thập thông tin server từ xa, từ có thơng tin hữu ích để thực bước công 20 | P a g e Như xác định lỗi có với server mục tiêu, chuẩn bị công cụ phù hợp cho công Một kỹ thuật xử dụng gửi gói tin ICMP thơng dụng ∙ Sử dụng ICMP traffic,dùng ping không bị “cảnh báo” ∙ Sử dụng traffic like Timestamp request/reply, Address mask request, Information request không phổ biến Hình 3.3-1: This is the kind of ICMP traffic you don’t want to see Dùng ICMP request không phổ biến nhận thông tin từ mục tiêu phản hồi lại Nếu request chấp nhận dùng ICMP-based OS fingerprinting scans để quét thử Xử lý : traffic thông thường không thấy gói ICMP loại 13,15,17 tạo lọc để lọc gói Ví dụ : icmp type==13 || icmp type==15 || icmp type==17 A Simple Port Scan (quét cổng d ạng đơn giản) Một chương trình quét port nhanh phổ biến : nmap Mục tiêu người cơng: ∙ tìm port mở ∙ xác định tunnel bí mật Chúng ta nhận dạng việc quét cổng cách đặt máy “nghe” máy chủ cần bảo vệ để theo dõi Hình 3.3-2: A port scan shows multiple connection attempts on various ports 21 | P a g e Như hình nhận có kết nối đáng nghi ngờ gi ữa máy 10.100.25.14 (local machine) máy 10.100.18.12 (remote computer) Log file cho thấy máy tính từ xa (remote computer) gửi gói tin đến nhiều c khác máy local ví dụ cổng 21,1028… Nhưng đặc biệt cổng nh ạy cảm nh telnet (22), microsoft-ds, FTP (21), SMTP (25) cổng đượ c g ửi s ố l ượng gói tin l ớn h ơn nh ững c có khả xâm nhập cao l ỗi c nh ững ứng d ụng s d ụng c Các gói tin đoạn mã khai thác Blaster Worm (Sâu Blaster) Hiện tượng: Máy tính phía client hiển thị sổ thơng báo shutdown máy vịng 60s Các thơng báo xuất liên tục Thông tin có: ∙ máy tính client cài chương trình diệt virus thời điểm Tiến hành: Cài đặt Wireshark máy có virus Phân tích: Màn hình Wireshark thể hành vi có nguy hại đến máy tính virus Blaster, thể màu đỏ, đen Hình 3.3-9: We shouldn’t see this level of network activity with only the timer running on this machine Một kinh nghiệm để phát virus xem liệu gói tin dạng thơ (raw), có thơng tin hữu ích Hình 3.3-10: No useful information can be discerned from packet Sau tìm số gói tin thấy có gói tin mang lại thơng tin hữu ích Hình 3.3-11, thấy có địa trỏ đến thư mục C:\WINNT\System32 Thư mục thư mục quan hệ điều hành Windows 22 | P a g e Hình 3.3-11: The reference to C:\WINNT\System32 means something might be accessing our system files Tiếp tục tìm thơng tin theo cách trên, phát tên chương trình sâu Blaster nh hình 3.3-12 Hình 3.3-12: Packet shows a reference to msblast.exe Khi xác định đượ c ví trí file virus ta có nhiều cách giải quy ết theo mục đích khác Đối với người dùng thơng thường tắt tiến trình có tên sau xóa file virus đi… Trong khn khổ tiểu luận nêu số vấn đề xử lý cách sử dụng Wireshark kỹ phân tích gói tin Ngồi cịn có nhiều tình khác tình nâng cao nhiên chúng tơi khơng đề cập Các vấn đề khác bạn đọc tham khảo thêm qua tài liệu chúng tơi nêu phần phụ lục Chương 3: DEMO CHƯƠNG TRÌNH 3.1 (Tên đề mục) 3.2 (Tên đề mục) … 23 | P a g e Yêu cầu: - Các nhóm tự phân chương báo cáo phù hợp với đề tài - Tên chương: Viết hoa, đậm, cỡ chữ 16 - Tên đề mục cấp 1: Viết hoa, đậm, cỡ chữ 14 - Tên đề mục cấp 2: Viết thường, đậm, cỡ chữ 13 - Tên đề mục cấp 3: Viết thường, đậm, nghiêng, cỡ chữ 13 - Nội dung: Viết thường, cỡ chữ 13 - Tất báo cáo dùng Font chữ Time New Romance 24 | P a g e Phần KẾT LUẬN Những vấn đề đạt … … Những vấn đề hạn chế … … 25 | P a g e TÀI LIỆU THAM KHẢO [1] ThS Nguyễn Văn Khương, “Bài giảng Quản trị mạng”, năm 2020 [2] … 26 | P a g e MỤC LỤC 27 | P a g e (Tạo mục lục tự động)NHẬN XÉT CỦA GIẢNG VIÊN …………………………………………………………………………………… …… …………………………………………………………………………………… …… …………………………………………………………………………………… …… …………………………………………………………………………………… …… …………………………………………………………………………………… …… 28 | P a g e ... Romance 24 | P a g e Phần KẾT LUẬN Những vấn đề đạt … … Những vấn đề hạn chế … … 25 | P a g e TÀI LIỆU THAM KHẢO [1] ThS Nguyễn Văn Khương, ? ?Bài giảng Quản trị mạng? ??, năm 2020 [2] … 26 | P a... Mục tiêu đề tài Tìm hiểu mạng máy tính wireshark, Đối tượng phạm vi nghiên cứu • Đối tượng nghiên cứu: - Vấn đề bảo mật mạng khơng dây - Các cơng nghệ, mơ hình chuẩn mạng không dây - Các kiểu... cửa sổ thống kê phân cấp giao thức Wireshark Đây cách tuyệt với để kiểm thử mạng bạn Ví dụ, bạn biết 10% lưu lượng mạng bạn sử dụng lưu lượng ARP, ngày đó, bạn thấy lưu lượng ARP lên tới 50%,