1. Trang chủ
  2. » Luận Văn - Báo Cáo

kỹ thuật theo dõi và giám sát an toàn mạng bài thực hành quan sát lưu lượng bên gói tin pcapng

11 0 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Kỹ Thuật Theo Dõi Và Giám Sát An Toàn Mạng Bài Thực Hành Quan Sát Lưu Lượng Bên Gói Tin Pcapng
Người hướng dẫn Ninh Thị Thu Trang
Trường học Học Viện Công Nghệ Bưu Chính Viễn Thông
Chuyên ngành An Toàn Thông Tin
Thể loại Bài Thực Hành
Năm xuất bản 2024
Thành phố Hà Nội
Định dạng
Số trang 11
Dung lượng 3,07 MB

Nội dung

Nhấp vào tab Ethernet... 5 Chọn Edit — Preferences — Name Resolution, nhấp vào Edit trong thư mục cơ sở dữ liệu GeoIP... Nó n m trong ằ luồng máy ch và bủ ắt đầu bằng X-Slogan Đây không

Trang 1

H C VI N CÔNG NGH Ọ Ệ Ệ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

Môn: K THU T THEO DÕI VÀ GIÁM SÁT AN TOÀN M Ỹ Ậ ẠNG

BÀI TH C HÀNH Ự QUAN SÁT LƯU LƯỢNG BÊN GÓI TIN PCAPNG

Giảng viên hướng dẫn: Ninh Thị Thu Trang

H và tên sinh viên: ọ Lê Huy Hoàng

Hà Nội – 2024

Trang 2

1, Mục đích

Giúp giúp sinh viên làm quen với file pcap và phân tích lưu lượng truy c p b ng ậ ằ Wireshark

2, Yêu cầu đố ới sinh viên i v

Có ki n thế ức cơ bản về hệ điều hành Linux, các thao tác v i Wireshark ớ

3, N i dung th c hành ộ ự

Sau khi khởi động xong có 1 terminal o sả ẽ xuất hiện, là nơi sinh viên s s dẽ ử ụng Wireshark để phân tích các gói tin Trên terminal ubuntu@ws: sử dụng lệnh

“wireshark” để khởi động Wireshark

3.1, Tìm lu ng hoồ ạt động nhi u nh t ề ấ

M file pcaps/http-misctraffic101.pcapng trong Wireshark ở

Chọn Statistics — Conversations Nhấp vào tab Ethernet Lưu ý rằng chỉ có m t cộ ặp máy ch giao ti p trên m ng c c b Tích chủ ế ạ ụ ộ ọn vào ô Name resolution Địa ch MAC ỉ được li t kê v i Cadant là b ệ ớ ộ định tuy n c c b , Flextron là máy khách mà t ế ụ ộ ừ đó lưu lượng truy cập được ghi l i ạ

Trang 3

3

Nhấp vào tab IPv4 để kiểm tra các cuộc h i tho i IPv4 trong t p theo dõi này ộ ạ ệ

D a trên s ự ố byte, địa chỉ IP 209.177.86.18 tham gia tích c c nhự ất vào cu c h i thoộ ộ ại

IPv4

Nhấp vào tab TCP để xác định cuộc hội thoại TCP tích cực nhất Sắp xếp theo byte bằng cách nh p vào c t Byte ấ ộ

Trang 4

Nhấp chu t ph i vào cu c h i tho i TCP tích c c nh t và ch n Apply as a Filter ộ ả ộ ộ ạ ự ấ ọ — Selected — A< >B Wireshark t ự động t o và áp d ng b l c hi n th cho cu c hạ ụ ộ ọ ể ị ộ ội tho i TCP này ạ

C 19 gói ló ọc phù hợp cho gói tin này

3.2, Đị nh vị địa lý đị a chỉ IP

Tương quan giao diện mạng/địa chỉ IP với các vị trí địa lý thực tế là một thông tin hữu ích cho các cuộc điều tra Wireshark cung c p m t kh ấ ộ ả năng cơ bản cho vấn đề này, s d ng các phiên b n mi n phí cử ụ ả ễ ủa cơ sở ữ liệ d u MaxMind2 Tuy nhiên, phải luôn nh rớ ằng không có cơ sở dữ liệu định v a lý IP nào là không có l i ị đị ỗ

M file pcaps/http- owse101c.pcapng trong Wireshark ở br

Trang 5

5

Chọn Edit — Preferences — Name Resolution, nhấp vào Edit trong thư mục cơ sở

dữ liệu GeoIP Nh p vào New và tr ấ ỏ đến thư mục maxmind (có các tệp cơ sở d ữ liệu được t i xu ng t http://dev.maxmind.com/geoip/legacy/geolite/) Ti p t c nh p vào ả ố ừ ế ụ ấ

OK cho đến khi bạn đóng cửa sổ đường dẫn cơ sở dữ liệu GeoIP và cửa sổ Preferences

Chọn Statistics — Endpoints và nh n vào tab IPv4 B n có th xem thông tin trong ấ ạ ể các c t Country, City, Latitude, Longitude ộ

Nhấn vào nút Map, Wireshark s ẽ khởi ch y ch ạ ế độ xem bản đồ trong trình duy t cệ ủa bạn với các địa chỉ IP đã biết được vẽ dưới dạng các điểm trên bản đồ Nh p vào ấ điểm b t kỳ tìm thêm thông tin v a ch ấ để ề đị ỉ IP

Tổng lưu lượng truy cập đến/từ Santa/Clara, CA là 682 gói

Trang 6

3.3, T p h p lậ ợ ại văn bản t ừ luồng TCP

Là m t giao thộ ức định hướng luồng byte, TCP phân đoạn dữ liệu dựa trên MSS của

nó, không d a trên ự ngữ nghĩa của ngôn ngữ tiếng Anh ho c thặ ậm chí định dạng dữ

liệu ứng dụng Do đó, có thể ữ h u ích n u t p h p l i dế ậ ợ ạ ữ ệu này trước khi kiểm tra li thủ công

M file pcaps/http-wiresharkdownload101.pcapng trong Wireshark ở

Ba gói đầu tiên là bắt tay TCP cho kết nối máy ch web Khung 4 ch a các máy ủ ứ khách GET yêu c u cho trang download.html Nh p chu t ph i vào khung 4 và chầ ấ ộ ả ọn Follow — TCP Stream Lưu lượng truy cập đầu tiên được nhìn th y trong t p là t ấ ệ ừ máy khách, có màu đỏ Lưu lượng truy c p th hai là t máy ậ ứ ừ chủ, có màu xanh lam

Trang 7

7

Wireshark hi n th ể ị cuộc h i thoộ ại không có tiêu đề Ethernet, IP ho c TCP Cu n qua ặ ộ luồng để tìm thông báo n t ẩ ừ Gerald Combs, người tạo ra Wireshark Nó n m trong ằ luồng máy ch và bủ ắt đầu bằng X-Slogan

Wireshark hi n th ể ị cuộc h i thoộ ại không có tiêu đề Ethernet, IP ho c TCP Cu n qua ặ ộ luồng để tìm thông báo n t ẩ ừ Gerald Combs, người tạo ra Wireshark Nó n m trong ằ luồng máy ch và bủ ắt đầu bằng X-Slogan

Đây không phải là tin nhắn duy nhất bị ẩn trong phiên duyệt web Bây giờ bạn đã biết thông báo bắt đầu bằng X-Slogan, b n có thể yêu cầu Wireshark hi n thị mọi ạ ể khung bao g m chu i ASCII này ồ ỗ

Hãy dùng l nh l c frame có chệ ọ ứa “X-Slogan”

Trang 8

Nhấp chu t phộ ải vào hai khung được hi n th khác và ch n Follow ể ị ọ — TCP Stream

để kiểm tra các tiêu đề HTTP được trao đổi giữa các máy ch ủ

Thông điệp khác được tìm th y: Sniff free or die ấ

3.4, Gi i nén t p nh phân t phiên FTP ả ệ ị ừ

Trong phần trước, chúng ta đã trích xuất các tin nhắn văn bản ASCII t các gói Còn ừ

dữ liệu nh ị phân thì sao? Wireshark cũng có các công cụ cho việc này

M file pcaps/ftp-clientside101.pcapng trong Wireshark ở

Trang 9

9

Phần đầu của file pcap này b n s ạ ẽ thấy nhi u lề ệnh FTP được s dử ụng để đăng nhập, yêu c u mầ ột thư mục, xác định số cổng để truyền d ữ li u và truy xu t t p ệ ấ ệ

Chúng ta chỉ quan tâm đến hai lu ng dồ ữ liệu: m t luộ ồng danh sách thư mục và một luồng truy n t p Trong c a s Follow TCP Stream, nh p vào nút Hide This Stream ề ệ ử ổ ấ Thao tác này s ẽ đóng cửa s ổ luồng TCP và áp d ng b lụ ộ ọc lo i tr ạ ừ

Các khung từ 16 đến 18 và các khung từ 35 đến 38 là các gói bắt tay TCP để thiết lập hai kênh dữ liệu c n thi t Nh p chu t ph i vào khung 16 và ch n Follow ầ ế ấ ộ ả ọ — TCP Stream Danh sách lu ng này cho bi t ch có mồ ế ỉ ột tệp trong thư mục

Trang 10

Tên t p là pantheon.jpg ệ

Nhấn nút Hide This Stream để đóng cửa sổ luồng TCP và thêm vào cửa sổ hiện có vào b l c lo i tr ộ ọ ạ ừ

Lưu lượng còn lại duy nhất được hiển thị là lưu lượng truyền tệp Nhấp chuột phải vào b t k khung nào và ch n Follow ấ ỳ ọ — TCP Stream B n có th ạ ể xem mã định danh tệp cho biết đây là tệp jpg (JFIF) và siêu d u có trong tữ liệ ệp đồ ọ h a

Trang 11

11

Để t p h p l i hình ậ ợ ạ ảnh đồ họa được truyền trong k t nế ối FTP này, hãy thay đổi phần Show data as thành Raw và ch n Save as b ng tên t p mà bọ ằ ệ ạn tìm được bên trên và ghi nh ớ đường dẫn lưu file đó

Quay l i terminal ubuntu@ws nhạ ấn Ctr+C để đóng wireshark Dùng trình duyệt để

m file mà b n vở ạ ừa lưu, chụp ảnh và dán vào báo cáo để nộp bài

4, K t thúc bài lab ế

Trên terminal đầu tiên sử dụng câu lênh sau để kết thúc bài lab

stoplab packet-introspection

Ngày đăng: 14/02/2025, 15:36

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN

w