TRƯỜNG ĐẠI HỌC MỎ - ĐỊA CHẤT KHOA CÔNG NGHỆ THÔNG TIN -*** - QUẢN TRỊ MẠNG ĐỀ TÀI SỐ TÌM HIỂU VÀ TRIỂN KHAI CƠNG CỤ PHÂN TÍCH GĨI TIN TRONG MẠNG TS Diêm Cơng Hồng Giảng viên hướng dẫn: Nguyễn Thị Hịa (1621050574) Sinh viên thực hiện: Nguyễn Thị Hoa Ngọc (1621050823) Công Thị Oanh (1621050300) Phạm Thị Hương Quỳnh (1621050803) MMT K61B Lớp: Hà Nội – 2019 MỤC LỤC Giới thiệu I Thế phân tích gói tin Các bước để nghe gói tin Các cách thức nghe gói tin mạng Living Promiscuously (chế độ bắt tất gói tin qua) “Nghe” mạng có Hub “Nghe” mạng Switched Nghe mạng sử dụng Router II Giới thiệu WireShark 11 III Xử lý tính thực tế với WireShark .15 Một sổ tình 15 Xử lý tình băng thông mạng 27 Một số tình an ninh mạng 35 Tài liệu tham khảo: 41 DANH MỤC HÌNH ẢNH Hình 1: The visibility window on switched network is limited to the port you are plugged into Hình 2: Port mirroring allows you to expand your visibility window on a switched network .9 Hình 3: Hubbing out isolates ỵoưr target device and analyzer on their own broadcast domain Hình 4: ARP cache poisoning allows you to intercept the traffic of your target computer 11 Hình 5: A computer on network D can't communicate with one on network A 12 Hình 6: A graphical representation of endpoints on a network .15 Hình 7: The to graph for our capture file shows valuable trending information 15 Hình 8: This capture begins simply enough with a few ACK packets 16 Hình 9: These TCP retransmissions are a sign of a weak or dropped connection 16 Hình 10: Windows will retransmit up to five times by default 18 Hình 11: A standard ping request from 10.2.10.2 to 10.4.88.88 18 Hình 12: This ICMP type packet is not what we expected 19 Hình 13: This ping request requires three packets rather than one because the data being transmitted is 20 Hình 14: Hai’s computer completes a handshake, and then HTTP data transfer begins 21 Hình 15: Thanh’s computer appears to be sending an ARP request to a different IP address 21 Hình 16: Since there is no user interaction happening on A’s computer at the time of this capture, all of these packets going across the wữe should set off some alarms .23 Hình 17: A DNS query to the weatherbug.com domain gives a clue to the culprit .24 Hình 18: The client hies to establish connection with SYN packets but gets no response; then it sends 26 Hình 19: The client and server trace files are almost identical 26 Hình 20: We need to filter out all of this HTTP and TCP traffic 28 Hình 21: The Expert Infos window shows US chats, warnings, errors, and notes 29 Hình 22: The Expert Infos window (sans chats) summarizes all of the problems with this download 30 Hình 23: A fast retransmission is seen after a packet is dropped 31 Hình 24: The round trip time graph for this capture 31 Hình 25: The capture begins with Standard HTTP communication 32 Hình 26: Packets 28 and 29 present a problem 33 Hình 27: This Flash request is the source of our problem .33 Hình 28: This capture includes a lot of POP packets .34 Hình 29: Changing the time display format gives US an idea of how much data we are receiving in .34 Hình 30: The details of packet show information about the email being sent 35 Hình 31: This is the kind of ICMP traffic you don’t want to see 36 Hình 32: A port scan shows multiple connection attempts on various ports 37 Hình 33: We shouldn’t see this level of network activity with only the timer running on this machine 38 Hình 34: No useful information can be discerned from packet Sau tìm so gói tin thấy có gói tin mang lại thơng tin hữu ích 38 Hình 35: The reference to C:\WINNT\System32 means something might be accessing our system files 39 Hình 36: Packet shows a reference to msblast.exe .39 ĐỀ TÀI 1: TÌM HIỂU VÀ TRIỂN KHAI CƠNG CỤ PHÂN TÍCH GĨI TIN TRONG MẠNG Giới thiệu Hàng ngày, có hàng triệu vấn đề lỗi mạng tính, từ việc đơn giản nhiễm Spyware việc phức tạp lỗi cấu hình router,… Và vấn đề khơng thể sử lý tất Tốt có hi vọng thực cơng việc chuẩn bị đầy đủ kiến thức công cụ tương ứng với vấn đề Tất vấn đề mạng xuất phát mức gói, nới mà khơng có che dấu chúng ta, nơi mà khơng có thứ bị ẩn cấu trúc menu, hình ảnh bắt mắt nhân viên không đáng tin cậy Khơng có bí mật đây, điều khiển mạng giải vấn đề Đây giới phân tích gói tin Thế phân tích gói tin Phân tích gói tin, thơng thương quy vào việc nghe gói tin phận tích giao thức, mơ tả trình bắt phiên dịch liệu sống luồng lưu chuyển mạng với mục tiêu hiểu rõ điều diễn mạng Phân tích gói tin thường thực packet sniffer, công cụ sử dụng để bắt liệu thô lưu chuyển đường dây Phân tích gói tin giúp cúng ta hiểu cấu tạo mạng, mạng, xác định sử dụng băng thơng, thời điểm mà việc sử dụng mạng đạt cao điểm, khả công hành vi phá hoại, tìm ứng dụng khơng bảo mật Có vài kiểu chương trình nghe gói tin khác bao gồm miễn phí sản phẩm thương mại Mỗi chương trình thiết kế với mục tiêu khác Một vài chương trình nghe gói tin phổ biến Tcpdump (a command-line program), OmniPeek Wireshark (cả hai chương trình có gia diện đồ họa),… Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm đến số vấn đề như: giao thức mà chương trình hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật chương trình hỗ trợ cho hiệ điều hành Các bước để nghe gói tin Q trình nghe gói tin chia làm bước: thu thập liệu, chuyển đổi liệu phân tích  Thu thập liệu: Đây bước đầu tiên, chương trình nghe gói tin chuyển giao diện mạng lựa chọn sang chế độ Promiscuos Chế độ cho phép card mạng nghe tất gói tin lứ chuyển phân mạng cảu Chương trình nghe gói tin sử dụng chế độ với việc truy nhập mức thấp để mắt liệu nhị phân đường truyền  Chuyển đổi liệu: Trong bước này, gói tin nhị phân chuyển đổi thành khn dạng đọc  Phân tích: Cuối cùng, phân tích gói tin chuyển đổi Có nhiều chương trình khác nghe gói tin, nhóm em xin triển khai chương trình điển hình với nhiều tính mạnh hỗ trợ việc bắt phân tích gói tin, WireShark Nội dung phần chính:     Các cách thức nghe gói tin mạng Giới thiệu WireShark Các tình huốn với WireShark Xử lý tình mạng với WireShark I Các cách thức nghe gói tin mạng Để thực việc bắt gói tin mạng, ta phải vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền mạng Quá trình đơn giản đặt “máy nghe” vào vị trí vật lý mạng máy tính Việc nghe gói tin khơng đơn giản cắm máy tính xách tay vào mạng bắt gói, thực tế nhiều việc đặt máy nghe vào mạng khó việc phân tích gói tin Thách thức viếc chỗ có số lượng lớn thiết bị mạng phần cứng sử dụng để kết nối thiết bị với Lý ba loại thiết bị (Hub, Switch Router) có nguyên lý hoạt động điều đòi hỏi ta phải nắm rõ cấu trúc vật lý mạng mà ta phân tích Chúng ta nghiên cứu số mạng thực tế để tốt để bắt gói tin môi trường mạng sử dụng Hub, Switch Router Living Promiscuously (chế độ bắt tất gói tin qua) Trước nghe gói tin mạng ta cần card mạng có hỗ trợ chế độ Promiscuous Chế độ Promiscuous cho phé card mạng nhìn thấy tấ gói tin qua hệ thống dây mạng Khi card mạng không chế đọ này, nhìn thấy số lượng lớn gói tin mạng khơng gửi cho nó, hủy (drop) gói tin Khi chế độ Promiscuous, bắt tất gói tin gửi toàn tới CPU “Nghe” mạng có Hub Việc nghe mạng có Hub điểu kiện mơ việc phân tích gói tin Cơ chế hoạt động Hub cho phép gói tin gửi tất công Hub Hơn nữa, để phân tích máy tín Hub, tất công việc mà bạn cần làm cám máy nghe cổng trống Hub Ta nhìn thất tất thơng tin truyền nhận từ tất máy kết nối với Hub đó, cửa sổ nhìn khơng bị hạn chế mà máy nghe kế nối với mạng Hub “Nghe” mạng Switched Một môi trường Switched kiểu mạng phổ biến thường thấy Switch cung cấp phương thức hiệu để vận chuyển liệu thống qua broadcast, unicast, mutilcast Switch cho phép kết nối song cơng (full-duplex), có nghĩa máy trạm truyền nhận liệu đồng thời từ Switch Khi cắm máy nghe vào cổng Switch, bạn nhìn thấy broadcast trafic gói tin gửi – nhận máy tính mà bạn sử dụng Hình 1: The visibility window on switched network is limited to the port you are plugged into Có cách để bắt gói tin từ thiết bị mục tiêu mạng Switch: port mirroring, ARP cache poisoning hubbing out Port Mirroring Port mirroring hay gọi port spanning có thẻ cách đơn giản để bắt lưu lượng từ thiết bị mục tiêu Switch Với này, ta phải truy cập giao diện dòng lệnh Switch mà máy mục tiêu cám vào Tất nhiên Switch phải hỗ trợ tính port mirroring có port trống để ta căm máy nghe vào Khi ánh xạ cổng, bạn copy toàn lưu lượng qua cổng sang cổng khác Hình 2: Port mirroring allows you to expand your visibility window on a switched network Hubbing Out Một đơn giản khác để bắt lưu lượng thiết bị mục tiêu mạng Switch Hubbing Out Hubbing Out kỹ thuật mà bạn dặt thiết bị mục tiêu máy nghe vào cung pân mạng đặt chúng trực tiếp vào hub 10