Tính năng, hướng dẫn sử dụng, thực hành bắt và phân tích goi tin với Wireshark

30 7,042 35
  • Loading ...
    Loading ...
    Loading ...

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Tài liệu liên quan

Thông tin tài liệu

Ngày đăng: 11/10/2014, 10:53

MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP tầng 3. Nếu việc phân giải này lỗi, Wireshark sẽ chuyển 3 byte đầu tiên của địa chỉ MAC sang tên hãng sản xuất đã được1.Hướng dẫn cài đặtDo Wireshark là một ứng dụng mã nguồn mở và có thể download miễn phí tại https:www.wireshark.orgdownload.html. Trong bài viết sử dụng phiên bản 1.8.1(64bit)Tiến hành cài đặtSau khi tải về tập tin lưu trên máy có dang Wiresharkwin641.8.1.exe. Click đúp vào file để tiến hành quá trình cài đặt chương trình1.Bắt và phân tích gói tin trong một số trường hợp cơ bảna.Bắt gói pingMột trong các công cụ khi kiểm tra kết nối mạng là công cụ ping.Nguyên tắc hoạt động: Lệnh ping hoạt động dựa trên ý tưởng dò tìm. Mỗi khi cần xác định xem có vật gì gần mình hay không, bạn sẽ dùng tay “sờ”, dùng gậy “khua” hoặc ném đá ra xung quanh mình. Nếu có một va chạm xảy ra thì dựa trên tiếng “pong” của va chạm bạn sẽ xác định được phương hướng của vật thể đang ở gần bạn. Tương tự như vậy, lệnh Ping cũng hoạt động bằng cách gửi gói tin truy vấn ICMP “echorequest” đến cho máy đích và lắng nghe gói tin hồi đáp ICMP “echoreply để xác định có sự hiện diện của máy đích.Request timed outNếu không kết nối được với máy đích thì Ping sẽ hiển thị thông báo là Request timed out. Thông điệp Request timed out có nghĩa là không có hồi đáp trả về. Khi gặp thông báo này thì bạn có thể có chẩn đoán các nguyên nhân gây ra lỗi như sau: Thiết bị định tuyến Router bị tắt. Địa chỉ máy đích không có thật hoặc máy đích đang bị tắt, hoặc cấm ping. Nếu máy đích khác đường mạng với máy nguồn thì nguyên nhân có thể do không có định tuyến ngược trở lại máy nguồn. Lúc này, nếu máy đích đang chạy, bạn có thể kiểm tra đường đi về của gói tin bằng cách xem lại thông số Default Gateway trên máy đích, máy nguồn và router kết nối các đường mạng. HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN  BÀI TẬP LỚN MÔN : TCP/IP Đề tài: Trình bày tính năng, cách sử dụng, thực hành bắt và phân tích gói tin trên phần mềm Wireshark Giáo viên : Lê Thị Hồng Vân Sinh viên: Đỗ Huy Hùng Nguyễn Thành Đạt Lương Văn Dũng Trịnh Doãn Mạnh Lớp: AT9B Hà Nội, Tháng 10/2014. Tìm hiểu về phần mềm Wireshark Mục lục. Page | 2 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark I. Giới thiệu về Wireshark WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark. WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm. Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau. Các giao thực được hỗ trợ bởi WireShark: WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Và cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được thêm vào. Và có thể nói rằng khôngcó giao thức nào mà Wireshark không thể hỗ trợ. 1. Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu. Không như một số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thật tuyệt vời cho những ai đã từng nghiên cứu thế giới của phân tích giao thức. 2. Giá rẻ: Wireshark là một sản phẩm miễn phí GPL. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại. 3. Cộng đồng: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở. 4. Hỗ trợ nhiều hệ điều: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay. Page | 3 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark II. Một số tính năng nâng cao 1. Name Resolution Dữ liệu truyền trong mạng thông qua một vài hệ thống địa chỉ, các địa chỉ này thường dài và khó nhớ (Ví dụ: MAC). Phân giải điạ chỉ là quá trình mà một giao thức sử dụng để chuyển đổi một địa chỉ loại này thành một địa chỉ loại khác đơn giản hơn. Chúng ta có thể tiết kiệm thời gian bằng cách sử dụng một vài công cụ phân giải địa chỉ để file dữ liệu ta bắt được dễ đọc hơn. Ví dụ như là chúng ta có thể sử dụng phân giải tên DNS để giúp định danh tên của một máy tính mà ta đang có gắng xác định như là nguồn của các gói cụ thể. Các kiểu công cụ phân giải tên trong Wireshark: có 3 loại · MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP tầng 3. Nếu việc phân giải này lỗi, Wireshark sẽ chuyển 3 byte đầu tiên của địa chỉ MAC sang tên hãng sản xuất đã được IEEE đặc tả, ví dụ: Netgear_01:02:03. · Network Name Resolution: chuyển đổi địa chỉ tầng 3 sang một tên DNS dễ đọc như là MarketingPC1. · Transport Name Resolution: chuyển đổi một cổng sang một tên dịch vụ tương ứng với nó, ví dụ: cổng 80 là http. 2. Protocol Dissection Một protocol dissector cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích. ICMP protocol dissector cho phép Wireshark phân chia dữ liệu bắt được và định dạng chúng như là một gói tin ICMP. Bạn có thể nghĩ rằng một dissector như là một bộ phiên dịch giữa dòng dữ liệu trên đường truyền và chương trình Wireshark. Với mục đích để hỗ trợ một giao thức nào đó, một dessector cho giao thức đó phải được tích hợp trong Wireshark. Wireshark sử dụng đồng thời vài dissector để phiên dịch mỗi gói tin. Nó quyết định dissector nào được sử dụng bằng cách sử dụng phân tích lôgic đã được cài đặt sẵn và thực hiện việc dự đoán. Thật không may là Wireshark không phải lúc nào cũng đúng trong việc lựa chọn dissector phù hợp cho một gói tin. Tuy nhiên, ta có thể thay đổi việc lựa chọn này trong từng trường hợp cụ thể. 3. Following TCP Streams Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP như là ở tầng ứng dụng. Tính năng này cho phép bạn phối hợp tất cả các thông tin liên quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm chứa Page | 4 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark giống như là người dùng cuối nhìn thấy trong ứng dụng. Còn hơn cả việc xem các dữ liệu đang được truyền giữa máy trạm và máy chủ trong một mớhỗn độn, tính năng này sắp xếp dữ liệu để có thể xem một cách đơn giản. Bạn có thể sử dụng công cụ này để bắt và giải mã một phiên instant messages được gửi bởi một người làm thuê (người này đang bị nghi ngờ phát tán các thông tin tài chính của công ty). 4. Cửa sổ thống kê phân cấp giao thức Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân bố các giao thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và DHCP là bao nhiêu phần trăm, Thay vì phải đếm từng gói tin để thu được kết quả, chúng ta có thể sử dụng cửa sổ thống kê phân cấp giao thức của Wireshark. Đây là cách tuyệt với để kiểm thử mạng của bạn. Ví dụ, nếu bạn biết rằng 10% lưu lượng mạng của bạn được sử dụng bởi các lưu lượng ARP, và một ngày nào đó, bạn thấy lưu lượng ARP lên tới 50%, bạn hoàn toàn có thể hiểu rằng đang có một cái gì đó không ổn xảy ra. 5. Xem các Endpoints Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể. Ví dụ, có hai endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và nhận dữ liệu, 192.168.1.5 và 192.168.0.8. Một ví dụ ở tầng 2 có thể là kết nối giữa hai NIC vật lý và địa chỉ MAC của chúng. Các NIC gửi và nhận dữ liệu, các MAC đó tạo nên các endpoint trong kết nối. Khi thực hiện phân tích gói tin, bạn có thể nhận ra rằng bạn đã khoanh vùng vấn đề chỉ còn là một enpoint cụ thể trong mạng. Hộp thoại Wireshark endpoints chỉ ra Page | 5 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark một vài thống kê hữu ích cho mỗi endpoint, bao gồm các địa chỉ của từng máy cũng như là số lượng các gói tin và dung lượng đã được truyền nhận của từng máy. 6. Cửa số đồ thị IO Cách tốt nhất để hình dung hướng giải quyết là xem chúng dưới dạng hình ảnh. Cửa sổ đồ thị IO của Wireshark cho phép bạn vẽ đồ thị lưu lượng dữ liệu trên mạng. Bạn có thể sử dụng tính năng này để tìm kiếm các đột biến hoặc những thời điểm không có dữ liệu truyền của các giao thức cụ thể mà bạn đang quan tâm. Bạn có thể vẽ đồng thời 5 đường trên cùng một đồ thị cho từng giao thức mà bạn quan tâm bằng các màu khác nhau. Điều này giúp bạn dê dàng hơn để thấy sự khác nhau của các đồ thị. Biểu đồ lưu lượng dữ liệu mạng Page | 6 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark III. Hướng dẫn cài đặt và sử dụng 1. Hướng dẫn cài đặt Do Wireshark là một ứng dụng mã nguồn mở và có thể download miễn phí tại https://www.wireshark.org/download.html. Trong bài viết sử dụng phiên bản 1.8.1(64bit) Tiến hành cài đặt Sau khi tải về tập tin lưu trên máy có dang Wireshark-win64-1.8.1.exe. Click đúp vào file để tiến hành quá trình cài đặt chương trình Hình 1. Bắt đầu cài đặt Nhấn Next để bắt đầu quá trình cài đặt Hình 2. Thông tin bản Page | 7 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark Nhấn I Agree để tiếp tục Hình 3. Trang Components của Wireshark Nhấn Next để tiếp tục. Hình 4. Chọn nơi hiển thị lối tắt và các file hỗ trợ Page | 8 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark Nhấn Next để tiếp tục. Hình 5. Chọn đường dẫn cài đặt Nhấn Next để tiếp tục quá trình cài đặt. Hình 6. Cài WinPcap Page | 9 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark Để wireshark có thể hoạt động được, bạn phải cài đặt driver WinPcap trên máy tính của bạn( Tương tự như .net framework). Nếu bạn chưa cài đặt WinPcap hoặc phiên bản cũ chương trình sẽ hỏi bạn có cài WinPcap không?. Ở đây chưa cài nên nhấn Install để cài Hình 7. Quá trình cài đặt Chương trình sẽ tự động bật cửa sổ yêu cầu cài đặt WinPcap. Kích Next để tiếp tục . Hình 8. Hộp thoại chào mừng cài đặt WinPcap Nhấn Next 2 lần để tiếp tục Page | 10 Email: huyhung1994@gmail.com [...]... kết quả Vào Capture chọn Stop để dừng quá trình bắt gói tin Cửa sổ hiển thị kết quả bắt gói của Wireshark gồm có 3 phần Phần danh sách các gói tin: hiển thị tất cả các gói tin đã bắt được, kèm theo thông tin vắn tắt của mỗi gói tin Khi bấm vào mỗi gói tin trong phần “Danh sách các gói tin , thông tin về gói tin( được chọn) sẽ hiển thị tại phần “Nội dung chi tiết mỗi gói tin , và nội dung của gói tin dưới... Wireshark 1.8.4 để khởi động Wireshark Page | 12 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark 2 Hướng dẫn sử dụng Để bắt được gói tin, Wireshark phải được cài đặt trên máy tính có kết nối mạng(LAN, mạng ảo, Internet…) đang hoạt động và Wireshark phải chạy trước, trước khi quá trình trao đổi dữ liệu diễn ra Màn hình khởi động của Wireshark Để bắt đầu bắt gói tin, vào menu Capture chọn Interface(... máy tính khác Sau khi thực hiện lệnh ping thành công( đã nhận được gói tin trả lời – reply), dừng quá trình bắt gói tin Quá trình gửi và nhận các gói tin được wireshark ghi lại Danh sách các gói tin Ở đây, ta có thể thấy 8 dòng thể hiện quá trình ping vừa thực hiện Nhìn vào phần Protocol: giao thức mà lệnh ping sử dụng đó là giao thức ICMP(Internet Control Message Protocol) Dựa vào phần Info: có thể... all interfaces: Bắt các gói tin trên toàn bộ các Interface Capture all packets in promiscuous mode: Chỉ định Wireshark nên đặt tất cả các interface ở chế độ promiscuous khi bắt các gói tin Name resolution: với tùy chọn này, Wireshark sẽ quyết định có/hay không thực hiện việc phân giải địa chỉ mạng (trong các gói tin) sang dạng tên Mặc dù việc phân giải tên là có ích, tuy nhiên, việc phân giải tên cũng... gõ TCP vào thanh công cụ Filter và nhấn Apply Khi đóng màn hình kết quả hoặc tắt chương trình Wireshark, sẽ có cửa sổ nhắc người sử dụng lưu lại các kết quả đã bắt Page | 15 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark IV Thực hành 1 Bắt và phân tích gói tin trong một số trường hợp cơ bản - a Bắt gói ping Một trong các công cụ khi kiểm tra kết nối mạng là công cụ ping Nguyên tắc hoạt... được phương hướng của vật thể đang ở gần bạn Tương tự như vậy, lệnh Ping cũng hoạt động bằng cách gửi gói tin truy vấn ICMP “echo-request” đến cho máy đích và lắng nghe gói tin hồi đáp ICMP “echo-reply" để xác định có sự hiện diện của máy đích Tiến hành bắt và phân tích Đầu tiên, chạy chương trình wireshark, thiết lập một số tùy chọn như phần trên Thực hiện ping( ping địa chỉ IP) tới một máy tính khác... phân giải tên cũng làm gia tăng các gói tin được bắt tại card mạng, dẫn đến làm méo mó kết quả của quá trình phân tích mạng Stop Capture: Cho phép dừng quá trình bắt gói tin sau một số packet(s), megabyte(s), hoặc sau một thời gian nào đó Page | 14 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark Bấm nút Start để bắt đầu quá trình bắt gói tin Có thể thực hiện ping đến một máy khác, truy cập... Tiến hành Cài đặt Wireshark trực tiếp lên cả 2 máy Phân tích Page | 25 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark Trước hết trên máy của Hải ta nhìn thấy một phiên làm việc bình thường với HTTP Đầu tiên sẽ có một ARP broadcast để tìm địa chỉ của gateway ở tầng 2, ở đây là 192.168.0.10 Khi máy tính của Hải nhận được thông tin nó sẽ bắt tay với máy gateway và từ đó có phiên làm việc với. .. có thể là do cáp mạng bị đứt, không gắn cáp vào card mạng, card mạng bị tắt, Driver card mạng bị hư… b Bắt gói tin DNS Bước 1: Chọn gói tin bạn muốn phân tích Ta sẽ được của sổ thông tin của gói tin: Page | 17 Email: huyhung1994@gmail.com Tìm hiểu về phần mềm Wireshark - - - Bước 2: Phân tích gói tin: Frame: Ethernet II: + Đích đến: 01:00:5e:00:00:fc + Nguồn đến: 00:21:85:9f:bc:bc Internet Protocol... client gửi gói tin ACK và yêu cầu đăng xuất khỏi server Server hồi đáp lại bằng gói tin ACK với tham số Seq giống tham số Ack mà client gửi lên Trả về dòng thông báo đã upload và download bao nhiêu dung lượng Đồng thời cũng gửi gói tin báo ngắt kết nối cho client Client gửi thêm 2 gói tin ACK và RST để báo chính thức ngắt kết nối Quá trình ngắt kết nối 2 Xử lý tình huống thực tế với wireshark a A Lost
- Xem thêm -

Xem thêm: Tính năng, hướng dẫn sử dụng, thực hành bắt và phân tích goi tin với Wireshark, Tính năng, hướng dẫn sử dụng, thực hành bắt và phân tích goi tin với Wireshark, Hướng dẫn cài đặt, Hướng dẫn sử dụng, c. Bắt gói tin FTP (File Transfer Protocol), Xử lý tình huống thực tế với wireshark

Từ khóa liên quan