Đang tải... (xem toàn văn)
Tìm hiểu kỹ thuật chặn bắt và phân tích gói tin nhằm mực đích phục vụ phát hiện xâm nhập trên mạng máy tính
Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP MỤC LỤC Trang MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC BẢNG .8 DANH MỤC CÁC HÌNH VẼ 12 LỜI MỞ ĐẦU 16 Chương 18 1.1 TỔNG QUAN HỆ THỐNG MẠNG TCP/IP 18 1.1.1 Khái niệm mạng máy tính .18 1.1.2 Kiến trúc phân tầng mạng máy tính 19 1.1.3 Mô hình tham chiếu OSI .21 1.1.4 Mô hình TCP/IP 24 1.1.5 So sánh mô hình OSI TCP/IP 25 1.2 TÌM HIỂU VỀ MÔ HÌNH TCP/IP .26 1.2.1 Cấu trúc phân tầng mô hình TCP/IP .26 1.2.2 Quá trình truyền nhận liệu TCP/IP 29 1.2.3 Sơ lược chức tầng mô hình TCP/IP 30 1.2.4 Các giao thức mô hình TCP/IP khuôn dạng liệu tương ứng 31 Chương 43 2.1 CÁC KHÁI NIỆM 43 2.1.1 Packet 43 2.1.2 Network Traffic .43 2.1.3 Packet capture .43 2.1.4 Packet Analyzer (Sniffer) 44 2.2 ỨNG DỤNG CỦA VIỆC CHẶN BẮT GÓI TIN .44 -1- Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP 2.2.1 Khả .44 2.2.2 Mục đích việc chặn bắt gói tin 45 2.3 CÁC THÀNH PHẦN CHÍNH CỦA MỘT CHƯƠNG TRÌNH CHẶN BẮT GÓI TIN 45 2.3.1 Thành phần phần cứng 45 2.3.2 Thành phần Capture driver 46 2.3.3 Thành phần Buffer: .46 2.3.4 Thành phần Real-time analysis .46 2.3.5 Thành phần Decode .46 2.3.6 Thành phần Packet editting/transmission 46 2.4 CÁCH THỨC HOẠT ĐỘNG CỦA VIỆC CHẶN BẮT GÓI TIN 46 2.4.1 Theo dõi Network Traffic .46 2.4.2 Phân tích Network Traffic .46 2.5 CÁC PHƯƠNG PHÁP CHẶN BẮT GÓI TIN 49 2.5.1 Mức hệ điều hành (Socket, Raw Socket) 49 2.5.2 Mức Network Adapter (Pcap) .50 2.5.3 So sánh Raw Socket Pcap 51 2.6 PHÒNG CHỐNG SNIFFER TRÊN MẠNG MÁY TÍNH 53 2.6.1 Phát sniffer mạng 53 2.6.2 Ngăn chặn sniffer 54 2.6.3 Một số chương trình phát sniffer 54 Chương 55 3.1 HƯỚNG THỰC HIỆN CHƯƠNG TRÌNH 55 3.2 LỰA CHỌN PHƯƠNG PHÁP VÀ NỀN TẢNG XÂY DỰNG CHƯƠNG TRÌNH .58 3.2.1 Lựa chọn ngôn ngữ lập trình 58 -2- Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP 3.2.2 Lựa chọn phương pháp chặn bắt gói tin 59 3.3 THƯ VIỆN WINPCAP VÀ SHARPPCAP 60 3.3.1 WinPcap 60 3.3.2 SharpPcap 62 3.4 PHÂN TÍCH THIẾT KẾ CHƯƠNG TRÌNH .72 3.4.1 Các chức .72 3.4.2 Phân tích xây dựng chức 73 3.5 CHƯƠNG TRÌNH HOÀN THIỆN .80 3.5.1 Mô tả .80 3.5.2 Giao diện chương trình 81 Chương 85 4.1 Ý TƯỞNG CHUNG CHO VIỆC THỰC HIỆN PHÁT HIỆN XÂM NHẬP THÔNG MINH 85 4.2 MÔ HÌNH MAXIMUM ENTROPY 86 4.2.1 Khái niệm Entropy 86 4.2.2 Giới thiệu mô hình học thống kê Maximum Entropy (ME) 87 4.2.3 Các thuật toán xác định tham số mô hình Maximum Entropy .90 4.2.4 Học máy theo mô hình Maximum Entropy dựa thuật toán GIS .93 4.3 XÂY DỰNG CHƯƠNG TRÌNH PHÁT HIỆN XÂM NHẬP THÔNG MINH 97 4.3.1 Lựa chọn thư viện hỗ trợ thuật toán GIS .97 4.3.2 Giới thiệu thư viện SharpEntropy 97 4.3.3 Làm việc với SharpEntropy 101 4.3.4 Phân tích thiết kế chương trình 102 KẾT LUẬN 107 -3- Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP TÀI LIỆU THAM KHẢO 110 PHỤ LỤC 110 A CHƯƠNG TRÌNH CHẶN BẮT VÀ PHÂN TÍCH GÓI TIN 111 A.1 Các bước làm việc với SharpPcap chương trình 111 A.2 Các lớp chương trình 113 A.3 Các hàm xử lý chương trình 114 B CHƯƠNG TRÌNH PHÁT HIỆN XÂM NHẬP THÔNG MINH 115 B.1 Các lớp chương trình 115 B.2 Các hàm xử lý chương trình 116 B.3 Demo tập mẫu học để training cho chương trình 118 DANH MỤC CÁC TỪ VIẾT TẮT -4- Học viện Kỹ thuật Mật mã Ký hiệu ĐỒ ÁN TỐT NGHIỆP Thuật ngữ Ý nghĩa TCP/IP Transmission Control Protocol/Internet Protocol Bộ giao thức liên mạng SNA Systems Network Architecture Kiến trúc mạng IBM tạo DECnet Digital Equipment Corporation protocol suite Bộ giao thức mạng độc quyền hãng Digital Equipment Corporation ARPANET Advanced Research Projects Agency Network Mạng lưới quan với đề án nghiên cứu tân tiến OSI Open Systems Interconnection Mô hình tham chiếu kết nối hệ thống mở PDU Protocol Data Unit Đơn vị liệu giao thức WAN Wide Area Network Mạng diện rộng FDDI Fiber Distributed Data Interface Giao diện Dữ liệu Phân bố theo Cáp sợi quang ATM Asynchronous Transfer Mode Chế độ truyền không đồng DoD Department of Defense Mô hình mạng Bộ Quốc phòng Mỹ FTP File transfer Protocol Giao thức truyền tập tin SMTP Simple Mail Transfer Protocol giao thức truyền tải thư tín đơn giản DHCP Dynamic Host Configuration Protocol Giao thức cấu hình địa động cho host DNS Domain Name System Hệ thống dịch vụ tên miền SNMP Simple Network Giao thức quản lý mạng đơn -5- Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP Management Protocol giản HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn WWW World Wide Web mạng lưới toàn cầu UDP User Datagram Protocol Giao thức gói liệu người dùng TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn IP Internet Protocol Giao thức liên mạng ARP Address Resolution Protocol Giao thức phân giải địa ICMP Internet Control Message Protocol Giao thức thông báo điểu khiển mạng IGMP Internet Group Management Protocol Giao thức quản lý nhóm mạng MAC Media Access Control Giao thức điều khiển truy nhập môi trường LAN Local Area Network Mạng máy tính cục IEEE Institute of Electrical and Electronics Engineer Viện kỹ nghệ Điện Điện Tử CRC cyclic redundancy check Mã sửa sai dự phòng CSMA/CD Carrier Sense Multiple Access with Collision Detect Đa truy cập cảm nhận sóng mang RARP Reserve Address Resolution Protocol Giao thức phân giải địa ngược PING Packet internet gropher Cộng cụ kiểm tra kết nối mạng -6- Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP TTL Time To Live Thời gian sống gói tin MTU Maximum Transmission Unit Đơn vị truyền tải liệu ngược DPC Deep Packet Capture Là hành động chặn bắt toàn gói tin mạng DPI Deep Packet Inspection Kiểm tra phát hiện tượng mạng POP Post Office Protocol Giao thức nhận thư NNTP Network News Transfer Protocol Giao thức chuyển tin mạng máy tính IMAP Internet Message Access Protocol Giao thức nhận thư, phiên POP API Application Programming Interface Giao diện lập trình ứng dụng Pcap packet capture Thư viện chứa giao diện lập trình ứng dụng dùng cho việc xây dựng chương trình bắt gói tin SSL Sercure Socket Layer Giao thức truyền tải an toàn mạng máy tính SSH Sercure Shell Giao thức kết nối từ xa an toàn CLR Common Language Runtime Môi trường phát triển ứng dụng chung IDS Intrusion Detection System Hệ thống phát xâm nhập IPS Intrusion Prevention Systems Hệ thống phòng chống xâm nhập MEM Maximum Entropy Model Mô hình độ hỗn loạn cực đại GIS Generalized Iterative Thuật toán lặp tổng quát -7- Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP Scaling IIS Improved Iterative Scaling Thuật toán lặp mở rộng DANH MỤC CÁC BẢNG Trang MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC BẢNG .8 DANH MỤC CÁC HÌNH VẼ 12 LỜI MỞ ĐẦU 16 Chương 18 1.1 TỔNG QUAN HỆ THỐNG MẠNG TCP/IP 18 1.1.1 Khái niệm mạng máy tính .18 1.1.2 Kiến trúc phân tầng mạng máy tính 19 1.1.3 Mô hình tham chiếu OSI .21 -8- Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP 1.1.4 Mô hình TCP/IP 24 1.1.5 So sánh mô hình OSI TCP/IP 25 1.2 TÌM HIỂU VỀ MÔ HÌNH TCP/IP .26 1.2.1 Cấu trúc phân tầng mô hình TCP/IP .26 1.2.2 Quá trình truyền nhận liệu TCP/IP 29 1.2.3 Sơ lược chức tầng mô hình TCP/IP 30 1.2.4 Các giao thức mô hình TCP/IP khuôn dạng liệu tương ứng 31 Chương 43 2.1 CÁC KHÁI NIỆM 43 2.1.1 Packet 43 2.1.2 Network Traffic .43 2.1.3 Packet capture .43 2.1.4 Packet Analyzer (Sniffer) 44 2.2 ỨNG DỤNG CỦA VIỆC CHẶN BẮT GÓI TIN .44 2.2.1 Khả .44 2.2.2 Mục đích việc chặn bắt gói tin 45 2.3 CÁC THÀNH PHẦN CHÍNH CỦA MỘT CHƯƠNG TRÌNH CHẶN BẮT GÓI TIN 45 2.3.1 Thành phần phần cứng 45 2.3.2 Thành phần Capture driver 46 2.3.3 Thành phần Buffer: .46 2.3.4 Thành phần Real-time analysis .46 2.3.5 Thành phần Decode .46 2.3.6 Thành phần Packet editting/transmission 46 2.4 CÁCH THỨC HOẠT ĐỘNG CỦA VIỆC CHẶN BẮT GÓI TIN 46 -9- Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP 2.4.1 Theo dõi Network Traffic .46 2.4.2 Phân tích Network Traffic .46 2.5 CÁC PHƯƠNG PHÁP CHẶN BẮT GÓI TIN 49 2.5.1 Mức hệ điều hành (Socket, Raw Socket) 49 2.5.2 Mức Network Adapter (Pcap) .50 2.5.3 So sánh Raw Socket Pcap 51 2.6 PHÒNG CHỐNG SNIFFER TRÊN MẠNG MÁY TÍNH 53 2.6.1 Phát sniffer mạng 53 2.6.2 Ngăn chặn sniffer 54 2.6.3 Một số chương trình phát sniffer 54 Chương 55 3.1 HƯỚNG THỰC HIỆN CHƯƠNG TRÌNH 55 3.2 LỰA CHỌN PHƯƠNG PHÁP VÀ NỀN TẢNG XÂY DỰNG CHƯƠNG TRÌNH .58 3.2.1 Lựa chọn ngôn ngữ lập trình 58 3.2.2 Lựa chọn phương pháp chặn bắt gói tin 59 3.3 THƯ VIỆN WINPCAP VÀ SHARPPCAP 60 3.3.1 WinPcap 60 3.3.2 SharpPcap 62 3.4 PHÂN TÍCH THIẾT KẾ CHƯƠNG TRÌNH .72 3.4.1 Các chức .72 3.4.2 Phân tích xây dựng chức 73 3.5 CHƯƠNG TRÌNH HOÀN THIỆN .80 3.5.1 Mô tả .80 3.5.2 Giao diện chương trình 81 - 10 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP Hình 4.5: Chức phát xâm nhập 4.3.4.4 Giao diện chương trình Hình 4.6: Giao diện chức huấn luyện - 104 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP Hình 4.7: Giao diện chọn card mạng cần theo dõi Hình 4.8: Giao diện chức phát xâm nhập - 105 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP Hình 4.9: Giao diện chức nhập soạn liệu kiểm tra Tóm lược: Kỹ thuật bắt gói tin ứng dụng nhiều sản phẩm firewall, sản phẩm phòng chống phát xâm nhập… Như kỹ thuật quan trọng phát phòng chống xâm nhập Mục đích chương muốn nêu số ứng dụng ta thực với kỹ thuật chặn bắt gói tin Đây nội dung đề tài mà hướng tiếp cận em cho việc ứng dụng kỹ thuật chặn bắt gói tin để xây dựng chương trình phát xâm nhập Cụ thể chương trình phát xâm nhập thông minh dựa việc thu thập thông tin hệ thống mạng mô hình học máy Maximun Entropy - 106 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP KẾT LUẬN Như vậy, nội dung đề tài phần khái quát kiến thức tổng quát mạng máy tính mô hình TCP/IP, kỹ thuật chặn bắt gói tin hệ thống mạng máy tính, ứng dụng mục đích chúng phương pháp để xây dựng nên chương trình chặn bắt gói tin Đồng thời em vào xây dựng chương trình chặn bắt gói tin thực tế Hơn nữa, kỹ thuật chặn bắt gói tin kỹ thuật sử dụng hầu hết chương trình firewall, hệ thống IDS, IPS … Và nay, với phát triển mạnh mẽ hệ thống thông tin nguy an toàn theo mà ngày gia tăng số lượng mức độ nguy hiểm nhu cầu việc bảo mật đặc biệt tính bảo mật ngày đòi hỏi cao hơn, phức tạp hiệu Chính công nghệ thông minh bảo mật ngày quan tâm phát triển Nên khuôn khổ đề tài em muốn tiếp cận phần hướng ứng dụng Cụ thể ứng dụng kỹ thuật chặn bắt gói tin vào việc phát xâm nhập sử dụng thông tin thu từ việc chặn bắt gói tin kết hợp với mô hình học máy thông minh Maximum Entropy để đưa thông tin tình trạng mạng cảnh báo có dấu hiệu công Và sau thời gian tìm hiểu, nghiên cứu, đề tài em đạt kết sau: Đã tập trung tìm hiểu sâu kiến thức tảng mạng máy tính, mô hình OSI TCP/IP Đặc biệt cách thức truyền tải liệu mạng máy tính, cách thức đóng gói cấu trúc gói tin giao thức mô hình TCP/IP Tìm hiểu kỹ thuật chặn bắt gói tin, ứng dụng mục đích chúng phương pháp, công nghệ để xây dựng nên chương trình chặn bắt gói tin Viết chương trình chặn bắt phân tích gói tin, thực phân tích lưu lượng mạng Chương trình thực bóc tách gói - 107 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP tin Ethernet, ARP, IP, ICMP, UDP, TCP, IGMP… theo Ipv4 Ipv6 Và thực bắt gói tin đồng thời nhiều card mạng Xây dựng chương trình phát xâm nhập thông minh Bước đầu đưa hướng tiếp cận để ứng dụng thông tin thu từ việc chặn bắt gói tin để xây dựng chương trình phát xâm nhập thông minh dựa theo thuật toán học máy Maximum Entropy Đã nêu kiến thức thuật toán học máy Maximum Entropy xây dựng ứng dụng phát xâm nhập dừng lại mức thử nghiệm Tuy nhiên, đề tài số điểm chưa hoàn thiện như: - Chương trình bắt phân tích gói tin thực phân tích gói tin theo công nghệ Ethernet, bóc tách phân tích gói tin từ tầng Network access đến tầng Transport mô hình TCP/IP mà chưa phân tích tầng ứng dụng - Chương trình chưa thực việc bắt phân tích gói tin theo lọc mà người dùng đưa - Chương trình ứng dụng thử nghiệm phát xâm nhập thông minh xây dựng thành công chương trình, kết hợp kỹ thuật bắt gói tin thuật toán thông minh Maximum Entropy vào chương trình, thông số thống kê thông tin trạng thái mạng chưa phong phú chưa xây dựng mẫu học xác đặc điểm loại công dựa theo việc phân tích gói tin lưu lượng mạng Vì mẫu học để phát đặc điểm công xây dựng chương trình mang tính minh họa Do vậy, kết luận tình trạng mạng có bị công hay không, dựa theo mẫu học chương trình đưa mang tính minh họa Từ kết nghiên cứu đề tài từ hạn chế trên, em muốn đặt vấn đề định hướng phát triển đề tài tương lai là: - Về chương trình phân tích gói tin tiếp tục phát triển chức bóc tách gói tin tầng ứng dụng thực bắt gói tin theo lọc - 108 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP - Tiếp tục hoàn thiện chương trình phát xâm nhập với thông số thống kê mạng chi tiết hơn, cụ thể Đồng thời xây dựng mẫu học chuẩn xác đặc điểm công dựa theo phân tích gói tin lưu lượng mạng - Xây dựng mô hình vị trí triển khai chương trình cho tối ưu để ứng dụng vào thực tế - 109 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP TÀI LIỆU THAM KHẢO Sách [1] Internetworking với TCP/IP (Tập 1, Tập2) - tác giả: Nguyển Quốc Cường [2] CCNA Exploration 4.0 - Xuất bản: ACT Networking Academy [3] Networking Protocol Suites – Copyright @ 1996 , Cisco System, Inc [4] C# Network Programming - by Richard Blum and Bih Vinu, ISBN 07821-4176-5, Publishing by SYBEX, 11/2003 [5] Maximum Entropy Models for Natural Language Processing – by Martin Lazarov [6] Maximum Entropy Tiered Tagging – by Alexandru Ceausu, Research Institute for Artificial Intelligence, Romanian Academy Website [7] http://congdongcviet.com [8] http://www.codeproject.com [9] http://maxent.sourceforge.net [10] http://www.winpcap.org [11] http://msdn.microsoft.com [12] http://vi.wikipedia.org PHỤ LỤC - 110 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP A CHƯƠNG TRÌNH CHẶN BẮT VÀ PHÂN TÍCH GÓI TIN A.1 Các bước làm việc với SharpPcap chương trình - Bước 1: Lấy danh sách thiết bị card mạng /* Lấy danh sách thiết bị card mạng*/ CaptureDeviceList devices = CaptureDeviceList.Instance; CheckedListBox checkedListBox1 = new CheckedListBox(); /* Với card mạng danh sách */ foreach (ICaptureDevice dev in devices) { /* Hiển thị card mạng mô tả tương ứng */ checkedListBox1.Items.Add((checkedListBox1.Items.Count + 1) + " " + dev.Description); } Hình A.1: Hình ảnh hiển thị card mạng - Bước 2: Mở card mạng bắt gói tin /* Danh sách toàn card mạng */ driverList d = new driverList(); /* Danh sách card mạng chọn để khởi động */ List CurrentDevice = d.SelectedDevices; if (CurrentDevice.Count > 0) { /* Với card mạng chọn */ foreach (ICaptureDevice x in CurrentDevice) { /* Gọi hàm bắt gói tin */ x.OnPacketArrival += new PacketArrivalEventHandler(Device_OnPacketArrival); /* Mở card mạng */ x.Open(DeviceMode.Promiscuous, readTimeoutMilliseconds); /* Khởi động trình bắt gói tin*/ x.StartCapture(); - 111 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP } } else { MessageBox.Show("Cannot start.\nThere is no device selected."); } - Bước 3: Phân tích gói tin private e) { Try { void Device_OnPacketArrival(object sender,CaptureEventArgs ethernet_packet(e); /* Hàm bóc gói Ethernet */ if ((ether_type.ToString()) == "IpV4") { ip_packet_v4(e); /* Hàm bóc gói IP*/ if ((protocol.ToString()) == "TCP") { tcp_packet(e); /* Hàm bóc gói TCP */ } else if ((protocol.ToString()) == "UDP") { udp_packet(e); /* Hàm bóc gói UDP */ } else if ((protocol.ToString()) == "ICMP") { icmp_packet_v4(e); /* Hàm bóc gói ICMPv4*/ } else if ((protocol.ToUpper()) == "ICMPV6") { icmp_packet_v6(e); /* Hàm bóc gói ICMPv6*/ } else if ((protocol.ToString()) == "IGMP") { igmp_packet(e); /* Hàm bóc gói IGMP */ } } else if ((ether_type.ToString()) == "Arp") { arp_packet(e); /* Hàm bóc gói ARP*/ } else if ((ether_type.ToString()) == "IpV6") { ip_packet_v6(e); /* Hàm bóc gói IP v6*/ if ((ip6_next.ToUpper()) == "TCP") { tcp_packet(e); } else if ((ip6_next.ToUpper()) == "UDP") { udp_packet(e); } else if ((ip6_next.ToUpper()) == "ICMPV6") { icmp_packet_v6(e); } else if ((ip6_next.ToUpper()) == "ICMP") { icmp_packet_v4(e); - 112 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP } else if ((ip6_next.ToUpper()) == "IGMP") { igmp_packet(e); } else if ((ip6_next.ToUpper()) == "IP") { ip_packet_v4_in_v6(e); } } } catch (Exception) { } } - Bước 4: Kết thúc trình bắt gói, người dùng dừng chương trình foreach (var x in CurrentDevice) { if (x == null) return; if (x.Started) { x.StopCapture(); x.Close(); } } A.2 Các lớp chương trình - 113 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP Hình A.2: Các lớp chương trình bắt gói tin A.3 Các hàm xử lý chương trình btStart_Click(): Hàm thực show Card mạng hệ thống, mở Card mạng khởi động tiến trình bắt gói tin Device_OnPacketArrival(): Hàm xử lý kiện bắt gói tin ethernet_packet(): Hàm xử lý gói ethernet arp_packet(): Hàm xử lý gói ARP ip_packet_v4(): Hàm xử lý gói Ipv4 ip_packet_v6(): Hàm xử lý gói Ipv6 icmp_packet_v4(): Hàm xử lý gói ICMPv4 icmp_packet_v6(): Hàm xử lý gói ICMPv6 igmp_packet(): Hàm xử lý gói IGMP tcp_packet(): Hàm xủ lý gói TCP udp_packet(): Hàm xử lý gói UDP ShowData(): Hàm thực việc hiển thị thông tin Header, liệu dạng rõ liệu dạng byte gói tin - 114 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP thongke_tonghop(): Hàm thực thống kê hiển thị lưu lượng mạng lvCapture_SelectedIndexChanged(): Hàm xử lý việc người dùng lựa chọn xem thông tin gói tin cách click vào gói tin Listview lvCapture_MouseDoubleClick(): Hàm thực hiển thị liệu gói tin dạng rõ người dùng ấn kép vào gói tin Listview SetTime(): Hàm thiết lập việc thống kê hiển thị định kỳ thông tin lưu lượng mạng (trong chương trình giây xử lý lần) btnstop_Click(): Hàm thực dừng tiến trình bắt gói tin đóng Card mạng mở B CHƯƠNG TRÌNH PHÁT HIỆN XÂM NHẬP THÔNG MINH B.1 Các lớp chương trình - 115 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP Hình B.1: Các lớp chương trình phát xâm nhập B.2 Các hàm xử lý chương trình btnTraining_Click(): Hàm xử lý việc huấn luyện chương trình btnSaveFeatureFile_Click(): Hàm thực lưu file Model lbtInputData_Click(): Hàm nạp file Model cho chương trình hoạt động btKiemTra_Click: Hàm mở card mạng, khởi động chức bắt gói tin chức phát xâm nhập SetTime(): Hàm xuất liệu thống kê đánh giá trình trạng mạng theo khoảng thời gian cố định (trong chương trình giây thống kê đánh giá lần) Device_OnPacketArrival(): Hàm xử lý kiện bắt gói tin - 116 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP ethernet_packet(): Hàm xử lý gói ethernet arp_packet(): Hàm xử lý gói ARP ip_packet_v4(): Hàm xử lý gói Ipv4 ip_packet_v6(): Hàm xử lý gói Ipv6 icmp_packet_v4(): Hàm xử lý gói ICMPv4 icmp_packet_v6(): Hàm xử lý gói ICMPv6 igmp_packet(): Hàm xử lý gói IGMP tcp_packet(): Hàm xủ lý gói TCP udp_packet(): Hàm xử lý gói UDP thongke_tonghop(): Hàm xử xử lý thống kê lưu lượng mạng - 117 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP B.3 Demo tập mẫu học để training cho chương trình Số gói tin/giây Số địa IP giao tiếp với máy/giây Số cổng truy vấn đến/giây Số gói ICMP/giây Số gói TCP/giây Số gói UDP/giây Kết luận Packet_1000 IP_145 Port_30 Icmp_1 Tcp_100 Udp_44 binh_thuong Packet_2400 IP_1 Port_1800 Icmp_600 Tcp_0 Udp_1800 udp_scan Packet_130 IP_12 Port_10 Icmp_2 Tcp_100 Udp_30 binh_thuong Packet_1435 IP_147 Port_76 Icmp_7 Tcp_1035 Udp_400 binh_thuong Packet_2104 IP_308 Port_74 Icmp_31 Tcp_1600 Udp_444 binh_thuong Packet_1089 IP_1 Port_1089 Icmp_1 Tcp_1089 Udp_0 tcp_scan Port_30089 Icmp_143 Tcp_500 Udp_21000 udp_scan Packet_30089 IP_1 Bảng B.1: Demo tập mẫu học đầu vào cho GIS (chỉ mang tính minh họa) - 118 - [...]... chọn đề tài: Tìm hiểu kỹ thuật chặn bắt và phân tích gói tin nhằm mục đích phục vụ phát hiện xâm nhập trên mạng máy tính. ” Với hi vọng rằng đề tài này sẽ giúp em nâng cao vốn hiểu biết và có - 16 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP được cái nhìn tổng quát nhất về vấn đề bảo mật hiện nay Đồng thời, thông qua việc tìm hiểu về kỹ thuật chặn bắt và phân tích gói tin giúp em có thể hiểu sâu về cơ... dựa trên kết quả thu được từ việc chặn bắt và phân tích gói tin Cấu trúc chính của đề tài bao gồm các phần sau: Lời mở đầu: Nêu lên tầm quan trọng và xu hướng phát triển của vấn đề bảo mật hiện nay và giới thiệu về đề tài Chương 1: Cơ sở lý thuyết về mạng máy tính Chương 2: Kỹ thuật chặn bắt gói tin trên mạng máy tính Chương 3: Xây dựng chương trình chặn bắt gói tin Chương 4: Ứng dụng kỹ thuật chặn bắt. .. chống và phát hiện xâm nhập Đây sẽ là cơ hội tốt và là tiền đề để em có thể đi sâu và rộng hơn về vấn đề bảo mật trong tương lai Đề tài chủ yếu tập trung giới thiệu về cách thức hoạt động của các giao thức mạng, giới thiệu về kỹ thuật chặn bắt và phân tích gói tin, xây dựng một chương trình chặn bắt và phân tích gói tin, đồng thời đi vào tìm hiểu và xây dựng thử nghiệm một hệ thống phát hiện xâm nhập. .. dựng những hệ thống phát hiện và phòng chống những tấn công, xâm nhập trái phép để có thể ứng phó với các nguy cơ mất an ninh đã và đang xảy ra hiện nay Và một trong những kỹ thuật cơ bản của các hệ thống phòng chống và phát hiện xâm nhập hoặc firewall là kỹ thuật chặn bắt và phân tích gói tin trên mạng máy tính Nhận thức được tầm quan trọng của vấn đề bảo mật và an ninh thông tin hiện nay nên em đã... tiếp vào các nút mạng để khi cần thì trao đổi thông tin qua mạng Các nút mạng thương là máy tính nên đồng thời đóng vai trò của người sử dụng + Chức năng của nút mạng là quản lý truyền tin, quản lý mạng Như vậy các máy tính ghép nối với nhau hình thành mạng máy tính, ở đây ta thấy mạng truyền thông cũng ghép nối các máy tính với nhau nên khái niệm mạng maý tính và mạng truyền thông có thể không phân. .. máy tính mini và các máy tính cá nhân làm tăng yêu cầu truyền số liệu giữa các máy tính, giữa các terminal, và giữa các terminal với máy tính là một trong những động lực thúc đẩy sự ra đời và phát triển ngày càng mạnh mẽ các mạng máy tính Quá trình hình thành mạng máy tính có thể tóm tắt qua các giai đoạn sau: - Giai đoạn các terminal nối trực tiếp với máy tính: Đây là giai đoạn đầu tiên của mạng máy. .. hệ thống máy tính trước các mối đe dọa về mất an toàn trong hoàn cảnh mà sự phát triển của những hoạt động phá hoại hệ thống máy tính cũng song hành cùng sự phát triển của hệ thống mạng và Internet Song song với sự phát triển mạnh mẽ của công nghê thông tin cũng như các hệ thống phát hiện và phòng chống xâm nhập thì các kỹ thuật tấn công, xâm nhập các hệ thống của các tổ chức cũng ngày càng tinh vi... và Thạc sĩ Nguyễn Quốc Toàn đã tận tình hướng dẫn em thực hiện đề tài này SV thực hiện - 17 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP Chương 1 CƠ SỞ LÝ THUYẾT VỀ MẠNG MÁY TÍNH 1.1 TỔNG QUAN HỆ THỐNG MẠNG TCP/IP 1.1.1 Khái niệm mạng máy tính Từ những năm 1960 đã xuất hiện các mạng nối các máy tính và các Terminal để sử dụng chung nguồn tài nguyên, giảm chi phí khi muốn thông tin trao đổi số liệu và. .. thông có thể không phân biệt Việc hình thành mạng máy tính nhằm đạt các mục đích sau: - Tận dụng và làm tăng giá trị của tài nguyên - Chinh phục khoảng cách - Tăng chất lượng và hiệu quả khai thác và xử lý thông tin - Tăng độ tin cậy của hệ thống nhờ khả năng thay thế khi xảy ra sự cố đối với một máy tính nào đó Như vậy: Mạng máy tính là tập hợp các máy tính được ghép với nhau bởi các đường truyền... CÁC PHƯƠNG PHÁP CHẶN BẮT GÓI TIN 49 - 13 - Học viện Kỹ thuật Mật mã ĐỒ ÁN TỐT NGHIỆP 2.5.1 Mức hệ điều hành (Socket, Raw Socket) 49 2.5.2 Mức Network Adapter (Pcap) .50 2.5.3 So sánh Raw Socket và Pcap 51 2.6 PHÒNG CHỐNG SNIFFER TRÊN MẠNG MÁY TÍNH 53 2.6.1 Phát hiện sniffer trong mạng 53 2.6.2 Ngăn chặn sniffer 54 2.6.3 Một số chương trình phát hiện sniffer ... an ninh thông tin nên em định chọn đề tài: Tìm hiểu kỹ thuật chặn bắt phân tích gói tin nhằm mục đích phục vụ phát xâm nhập mạng máy tính. ” Với hi vọng đề tài giúp em nâng cao vốn hiểu biết có... hệ thống phát phòng chống công, xâm nhập trái phép để ứng phó với nguy an ninh xảy Và kỹ thuật hệ thống phòng chống phát xâm nhập firewall kỹ thuật chặn bắt phân tích gói tin mạng máy tính Nhận... xây dựng chương trình chặn bắt phân tích gói tin, đồng thời vào tìm hiểu xây dựng thử nghiệm hệ thống phát xâm nhập thông minh dựa kết thu từ việc chặn bắt phân tích gói tin Cấu trúc đề tài bao