II GIỚI THIỆU WIRESHARK WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark. WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm. Wireshark là công cụ dùng để phân tích các giao thức của mạng. Wireshark cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích VoIP.Wireshark có thể được sử dụng như một thiết bị giám sát những gì được truyền đường dây mạng tức là hoạt động giống như một chiếc Vôn kế trên đường dây điện.
ĐẠI HỌC MỎ - ĐỊA CHẤT KHOA: CÔNG NGHỆ THÔNG TIN Nhóm 7: Tin kinh tế - K56 BÀI TẬP LỚN ĐỀ TÀI: Tìm hiểu Wireshark Công cụ hỗ trợ bảo mật mạng tiếng (tên gọi trước đây: Ethereal) Sinh viên thực Nguyễn Thị Huế Trần Quang Huy : 1121050216 : 1121050223 Hà Nội: 12 / 2015 Giáo viên hướng dẫn TS : Lê Thanh Huệ GV : Phạm Quang Hiển Wireshark Công cụ hỗ trợ bảo mật mạng tiếng MỤC LỤC MỤC LỤC LỜI MỞ ĐẦU 16 16 TÀI LIỆU THAM KHẢO .58 KẾT LUẬN 59 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng LỜI MỞ ĐẦU Hàng ngày, có hàng triệu vấn đề lỗi mạng máy tính, từ việc đơn giản nhiễm Spyware việc phức tạp lỗi cấu hình router, vấn đề xử lý tất Tốt hi vọng thực công việc cách chuẩn bị đầy đủ kiến thức công cụ tương ứng với vấn đề Tất vấn đề mạng xuất phát mức gói, nơi mà che dấu chúng ta, nơi mà thứ bị ẩn cấu trúc menu, hình ảnh bắt mắt nhân viên không đáng tin cậy Không có bí mật đây, điều khiển mạng giải vấn đề Đây giới phân tích gói tin Phân tích gói tin, thông thường quy vào việc nghe gói tin phân tích giao thức, mô tả trình bắt phiên dịch liệu sống luồng lưu chuyển mạng với mục tiêu hiểu rõ điều diễn mạng Phân tích gói tin thường thực packet sniffer, công cụ sử dụng để bắt liệu thô lưu chuyển đường dây Phân tích gói tin giúp hiểu cấu tạo mạng, mạng, xác định sử dụng băng thông, thời điểm mà việc sử dụng mạng đạt cao điểm, khả công hành vi phá hoại, tìm ứng dụng không bảo mật Có vài kiểu chương trình nghe gói tin, bao gồm miễn phí sản phẩm thương mại Mỗi chương trình thiết kế với mục tiêu khác Một vài chương trình nghe gói tin phổ biến Tcpdump (a command-line program), OmniPeek, Wireshark (cả hai chương trình có giao diện đồ hoạ) Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm đến số vấn đề: giao thức mà chương trình cần hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật chương trình hỗ trợ cho hệ điều hành nào, Wireshark phần mềm đáp ứng mong muốn Vì chúng em nghiên cứu tìm hiểu phần mềm Wireshark Công cụ hỗ trợ bảo mật mạng tiếng Wireshark, với mong muốn giới thiệu chương trình điển hình với nhiều tính mạnh hỗ trợ việc bắt phân tích gói tin cho tất người BẢNG PHÂN CÔNG CÔNG VIỆC Nguyễn Thị Huế: Trần Quang Huy: - Tìm hiểu Wireshark, tình thường - gặp làm việc với Wireshark xử lý chúng Làm Word Cài đặt Wireshark Tìm hiểu cách thức nghe gói tin, Wireshark - tình an ninh mạng Làm Slide Cài đặt Wireshark I- CÁC CÁCH THỨC NGHE GÓI TIN TRÊN MẠNG Wireshark Công cụ hỗ trợ bảo mật mạng tiếng Các bước để nghe gói tin: Quá trình nghe gói tin chia làm bước: thu thập liệu, chuyển đổi liệu phân tích - Thu thập liệu: bước đầu tiên, chương trình nghe gói tin chuyển giao diện mạng lựa chọn sang chế độ Promiscuous Chế độ cho phép card mạng nghe tất gói tin lưu chuyển phân mạng Chương trình nghe gói sử dụng chế độ với việc truy nhập mức thấp để bắt liệu nhị phân đường truyền - Chuyển đổi liệu: bước này, gói tin nhị phân chuyển đổi thành khuôn dạng đọc - Phân tích: phân tích gói tin chuyển đổi Để thực việc bắt gói tin mạng, ta phải vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền mạng Quá trình đơn giản đặt “máy nghe” vào vị trí vật lý mạng máy tính Việc nghe gói tin không đơn giản cắm máy xách tay vào mạng bắt gói Thực tế, nhiều việc đặt máy nghe vào mạng khó việc phân tích gói tin Thách thức việc chỗ có số lượng lớn thiết bị mạng phần cứng sử dụng để kết nối thiết bị với Lý loại thiết bị (hub, switch, router) có nguyên lý hoạt động khác Và điều đòi hỏi ta phải nắm rõ cấu trúc vật lý mạng mà ta phân tích Chúng ta nghiên cứu số mạng thực tế để cách tốt để bắt gói tin môi trường mạng sử dụng Hub, Switch Router 1- Living Promiscuously (chế độ bắt tất gói tin qua) Trước nghe gói tin mạng, ta cần card mạng có hỗ trợ chế độ Promiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy thất gói tin Wireshark Công cụ hỗ trợ bảo mật mạng tiếng qua hệ thống dây mạng Khi card mạng không chế độ này, nhìn thấy số lượng lớn gói tin mạng không gửi cho nó, huỷ (drop) gói tin Khi chế độ Promiscuous, bắt tất gói tin gửi toàn tới CPU 2- “Nghe” mạng có Hub Việc nghe mạng có hub điều kiện mơ cho việc phân tích gói tin Cơ chế hoạt động Hub cho phép gói tin gửi tất cổng hub Hơn nữa, để phân tích máy tinh hub, tất công việc mà bạn cần làm cắm máy nghe vào cổng trống hub Bạn nhìn thấy tất thông tin truyền nhận từ tất máy kết nối với hub đó, sổ tầm nhìn bạn không bị hạn chế mà máy nghe bạn kết nối với mạng hub 3- “Nghe” mạng Switched Một môi trường switched kiểu mạng phổ biến mà bạn làm việc Switch cung cấp phương thức hiệu để vận chuyển liệu thông qua broadcast, unicast, multicast Switch cho phép kết nối song cổng (full-duplex), có nghĩa máy trạm truyền nhận liệu đồng thời từ switch Khi bạn cắm máy nghe vào cổng switch, bạn nhìn thấy broadcast traffic gói tin gửi nhận máy tính mà bạn sử dụng Có cách để bắt gói tin từ thiết bị mục tiêu mạng switch: port mirroring, ARP cache poisoning hubbing out Port Mirroring Port mirroring hay gọi port spanning cách đơn giản để bắt lưu lượng từ thiết bị mục tiêu mạng switch Với cách này, bạn phải truy cập Wireshark Công cụ hỗ trợ bảo mật mạng tiếng giao diện dòng lệnh switch mà máy mục tiêu cắm vào Tất nhiên switch phải hỗ trợ tính port mirroring có port trống để bạn cắm máy nghe vào Khi ánh xạ cổng, bạn copy toàn lưu lượng qua cổng sang cổng khác Hubbing Out Một cách đơn giản khác để bắt lưu lượng thiết bị mục tiêu mạng switch hubbing out Hubbing out kỹ thuật mà bạn đặt thiết bị mục tiêu máy nghe vào phân mạng cách đặt chúng trực tiếp vào hub Rất nhiều người nghĩ hubbing out lừa dối, thật giải pháp hoàn hảo tình mà bạn thực port mirroring có khả truy cập vật lý tới switch mà thiết bị mục tiêu cắm vào Trong hầu hết tình huống, hubbing out giảm tính song công thiết bị mục tiêu (full to haft) Trong phương thức cách để nghe, thường bạn sử dụng lựa chọn mà switch không hỗ trợ port mirroring Khi hubbing out, chắn bạn sử dụng hub switch bị gắn nhầm nhãn Khi mà bạn sử dụng hub, kiểm tra để chắn hub cách cắm máy tính vào nhìn xem máy nhìn thấy lưu lượng lại không ARP Cache Poisoning Địa tầng (địa MAC) sử dụng chung với hệ thống hệ thống địa tầng Tất thiết bị mạng liên lạc với thông qua địa IP Do switch làm việc tầng 2, phải có khả phiên dịch địa tầng Wireshark Công cụ hỗ trợ bảo mật mạng tiếng (MAC) sang địa tầng (IP) ngược lại để chuyển tiếp gói tin tới thiết bị tương ứng Quá trình phiên dịch thực thông qua giao thức tầng ARP (Address Resolution Protocol) Khi máy tính cần gửi liệu cho máy khác, gửi yêu cầu ARP tới switch mà kết nối Switch gửi gói ARP broadcast tới tất máy kết nối với để hỏi Khi mà máy đích nhận gói tin này, thông báo cho switch cách gửi địa MAC Sau nhận gói tin phản hồi, Switch định tuyến kết nối tới máy đích Thông tin nhận được lưu trữ ARP cache switch switch không cần phải gửi thông điệp ARP broadcast lần cần gửi liệu tới máy nhận ARP cache poisoning kỹ thuật nâng cao việc nghe đường truyền mạng switch Nó sử dụng phổ biến hacker để gửi gói tin địa sai tới máy nhận với mục tiêu để nghe trộm đường truyền công từ chối dịch vụ, ARP cache poisoning phục vụ cách hợp pháp để bắt gói tin máy mục tiêu mạng switch ARP cache poisoning trình gửi thông điệp ARP với địa MAC giả mạo tới switch router nhằm mục đích nghe lưu lượng thiết bị mục tiêu Có thể sử dụng chương trinh Cain & Abel để thực việc (http://www.oxid.it) 4- Nghe mạng sử dụng Router Tất kỹ thuật nghe mạng switch sử dụng mạng router Chỉ có việc cần quan tâm mà thực với mạng router quan trọng việc đặt máy nghe mà thực xử lý vấn đề liên quan đến nhiều phân mạng Broadcast domain thiết bị mở rộng gặp router Khi đó, lưu lượng chuyển giao sang dòng liệu router bạn liên lạc với gói tin bạn nhận ACK máy nhận trả Trong tình này, liệu lưu chuyển qua nhiều router, quan trọng để thực phân tích tất lưu lượng giao diện router (Ví dụ, liên quan đến vấn đề liên kết, bạn gặp phải mạng với số phân mạng kết nối với thông qua router Trong mạng đó, phân mạng liên kết với phân mạng với mục đích lưu trữ tham chiếu liệu Vấn đề Wireshark Công cụ hỗ trợ bảo mật mạng tiếng mà cố gắng giải phân mạng D kết nối với thiết bị phân mạng A.Khi mà bạn nghe lưu lượng thiết bị phân mạng D Khi đó, bạn nhìn tháy rõ ràng lưu lượng truyền tới phân mạng A, biên nhận (ACK) gửi lại Khi bạnnghe luồng lưu lượng phân mạng cấp để tìm nguyên nhân vấn đề, bạn tìm lưu lượng bị huỷ router phân mạng B Cuối dẫn đến việc bạn kiểm tra cấu hình router, đúng, giải vấn đề bạn Đó ví dụ điển hình lý cần nghe lưu lượng nhiều thiết bị nhiều phân mạng với mục tiêu xác định xác vấn đề.) Network Maps Để định việc đặt máy nghe đâu, cách tốt bạn phải biết cách rõ ràng mạng mà bạn định phân tích Nhiều việc xác định vấn đề chiếm nửa khối lượng công việc việc xử lý cố Wireshark Công cụ hỗ trợ bảo mật mạng tiếng II- GIỚI THIỆU WIRESHARK WireShark có bề dầy lịch sử Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Tám năm sau kể từ phiên đời, Combs từ bỏ công việc để theo đuổi hội nghề nghiệp khác Thật không may, thời điểm đó, ông đạt thoả thuận với công ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, Combs phần lại đội phát triển xây dựng thương hiệu cho sản phẩm “Ethereal” vào năm 2006, dự án tên WireShark WireShark phát triển mạnh mẽ đến nay, nhóm phát triển lên tới 500 cộng tác viên Sản phẩm tồn tên Ethereal không phát triển thêm Wireshark công cụ dùng để phân tích giao thức mạng Wireshark cho phép bạn xem chi tiết giao thức mạng có, bắt gói tin phân tích offline chúng, phân tích VoIP.Wireshark sử dụng thiết bị giám sát truyền đường dây mạng - tức hoạt động giống Vôn kế đường dây điện Trước đây, công cụ đắt tiền độc quyền Wireshark lại phần mềm mã nguồn mở phân tích gói tin tốt Phiên Wireshark tải từ website: https://www.wireshark.org/#download Dữ liệu bắt thông qua giao diện đồ hoạ qua TTY-mode tiện ích TShark Wireshark đọc/ghi nhiều dạng file tcpdump (libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer®, … Dữ liệu nén dạng gzip bắt giải nén 10 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng VII- XỬ LÍ CÁC TÌNH HUỐNG MẠNG VỚI WIRESHARK 1- Anatomy of a Slow Download (cốt lõi việc download chậm) Tình huống: mạng download chậm Tiến hành: đặt wireshark lắng nghe toàn đầu mạng Phân thích: hình ảnh cho thấy có nhiều kết nối TCP,HTTP điều có nghĩa có nhiều kết nối HTTP download liệu nên chiếm băng thông mạng Mở cửa sổ Alalyze->Expert Infos để thấy thêm thông tin 45 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng Mặc định Expert Infos hiển thị tất thông tin Nếu thị Error+Warn+Note ta có thông tin sau 46 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng Hình cho thấy: - Có nhiều kết nối TCP chương trình Window update mở Có tượng TCP Previous segment lost packets gói tin TCP gửi bị lặp ACK bị drop, khiến TCP phải gửi lại gói tin Có thể nguyên nhân chiếm băng thông mạng làm giảm tốc độ download Khảo sát tiếp thông tin theo hướng ta nhận thông tin hình phía 47 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng Statistics >TCP Stream Graph > Round Trip Time Graph Các hình cho thấy dự đoán bước xác Các file download thời gian lớn 0.1 s, thời gian lý tưởng 0,04s 48 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng Kết luận: Nguyên nhân download chậm có nhiều chương trình Windows update (có thể máy để auto update) tượng gói tin Như cần tắt bớt chương trình Windows update 2- Did That Server Flash Me? Tình huống: A phàn nàn truy cập vào phần website Novell để download số phần mềm cần thiết Mỗi lần truy cập vào site trình duyệt tải vài tải có Mạng có vấn đề không? Thông tin có: sau kiểm tra sơ tất máy tính bình thường trừ máy tính  Như vấn đề nằm máy tính A Tiến hành: cài Wireshark bắt gói tin truy cập website Novell máy A Phân thích: Thông tin nhận bắt đầu có kết nối HTTP đến website Novell: Từ phía client gửi gói tin RST để kết thúc kết nối HTTP: 49 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng Lý khiến client gửi gói tin RST? Sử dụng tính cao cấp Wireshark Follow TCP Stream để thấy chi tiết nội dung mà phía server Novell trả dùng hàm GET HTTP Như nhìn thấy, phần Flash mở dạng PopUp A không thấy Kiểm tra thấy trình duyệt khóa tính PopUP Kết luận: trình duyệt block popup 50 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng 3- POP Goes the Email Server Tình huống: gửi thư chậm domain khác domain Thời gian nhận thư từ gửi từ 5-10 phút Thông tin có: - Mail công ty sử dụng mail server riêng Mail server dùng Post Office Protocol (POP) để nhận Tiến hành: Bắt gói tin máy mail server Phân thích: Thông tin giao thức POP qua Wireshark Sử dụng Follow TCP Stream để xem nội dung thư có file đính kèm nhận thấy sau: 51 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng File đính kèm chèn nhiều kí tự giống vào để tăng kích thước file đính kèm, kiểm tra tiếp số lượng mail thấy số lượng lớn Có thể đến kết luận mail server bị spam làm cho lực xử lý yêu cầu gửi đến bị giảm xuống, tương tự công từ chối dịch vụ Hướng giải quyết: tìm phát nguồn thư rác, dùng blacklist để cấm địa gửi thư rác Kết luận: spam mail với file attach lớn 52 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng VIII-MỘT SỐ TÌNH HUỐNG AN NINH MẠNG CƠ BẢN 1- OS Fingerprinting (Nhận dạng OS) OS Fingerprinting kỹ thuật phổ biến haker sử dụng để thu thập thông tin server từ xa, từ có thông tin hữu ích để thực bước công Như xác định lỗi có với server mục tiêu, chuẩn bị công cụ phù hợp cho công Một kỹ thuật xử dụng gửi gói tin ICMP thông dụng - Sử dụng ICMP traffic,dùng ping không bị “cảnh báo” - Sử dụng traffic like Timestamp request/reply, Address mask request, Information request không phổ biến Dùng ICMP request không phổ biến nhận thông tin từ mục tiêu phản hồi lại Nếu request chấp nhận dùng ICMP-based OS fingerprinting scans để quét thử Xử lý: traffic thông thường không thấy gói ICMP loại 13, 15, 17 tạo lọc để lọc gói Ví dụ: icmp type==13 || icmp type==15 || icmp type==17 53 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng 2- A Simple Port Scan (quét cổng dạng đơn giản) Một chương trình quét port nhanh phổ biến là: nmap Mục tiêu người công: - Tìm port mở Xác định tunnel bí mật Chúng ta nhận dạng việc quét cổng cách đặt máy “nghe” máy chủ cần bảo vệ để theo dõi Như hình nhận có kết nối đáng nghi ngờ máy 10.100.25.14 (local machine) máy 10.100.18.12 (remote computer) Log file cho thấy máy tính từ xa (remote computer) gửi gói tin đến nhiều cổng khác máy local ví dụ cổng 21, 1028… Nhưng đặc biệt cổng nhạy cảm telnet (22), microsoft-ds, FTP (21), SMTP (25) cổng gửi số lượng gói tin lớn cổng có khả xâm nhập cao lỗi ứng dụng sử dụng cổng Các gói tin đoạn mã khai thác 54 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng 3- Blaster Worm (Sâu Blaster) Hiện tượng: Máy tính phía client hiển thị sổ thông báo shutdown máy vòng 60s Các thông báo xuất liên tục Thông tin có: máy tính client cài chương trình diệt virus thời điểm Tiến hành: Cài đặt Wireshark máy có virus Phân tích: Màn hình Wireshark thể hành vi có nguy hại đến máy tính virus Blaster, thể màu đỏ, đen Một kinh nghiệm để phát virus xem liệu gói tin dạng thô (raw), có thông tin hữu ích Sau tìm số gói tin thấy có gói tin mang lại thông tin hữu ích 55 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng Chúng ta thấy có địa trỏ đến thư mục C:\WINNT\System32 Thư mục thư mục quan hệ điều hành Windows Tiếp tục tìm thông tin theo cách trên, phát tên chương trình sâu Blaster hình sau: Khi xác định ví trí file virus ta có nhiều cách giải theo mục đích khác Đối với người dùng thông thường tắt tiến trình có tên sau xóa file virus đi… Trong khuôn khổ tiểu luận nêu số vấn đề xử lý cách sử dụng Wireshark kỹ phân tích gói tin 56 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng Ngoài có nhiều tình khác tình nâng cao nhiên không đề cập Các vấn đề khác bạn đọc tham khảo thêm qua tài liệu nêu phần phụ lục 57 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng TÀI LIỆU THAM KHẢO [1] Chris Sanders, PRACTICAL PACKET ANALYSIS, Using Wireshark to Solve Real-World Network Problems- No Startch Press, 2007 [2] Angela Orebaugh,Gilbert Ramirez,Josh Burke,Larry Pesce,Joshua Wright,Greg Morris, Wireshark & Ethereal Network Protocol Analyzer Toolkit- Syngress Publishing,2007 [3] Angela Orebaugh, Ethereal Packet Sniffing - Syngress Publishing, 2004 58 Wireshark Công cụ hỗ trợ bảo mật mạng tiếng KẾT LUẬN Giao diện Wireshark giao diện phần mềm phân tích gói dễ dùng Wireshark ứng dụng đồ hoạ với hệ thống menu rât rõ ràng bố trí dễ hiểu Không số sản phẩm sử dụng dòng lệnh phức tạp TCPdump, giao diện đồ hoạ Wireshark thật tuyệt vời cho nghiên cứu giới phân tích giao thức Wireshark hỗ trợ hầu hết loại hệ điều hành Ngoài ra, Wireshark sản phẩm miễn phí GPL Bạn tải sử dụng Wireshark cho mục đích nào, kể với mục đích thương mại Do hiểu biết thiếu sót, thời gian hạn chế nên nhiều điều chưa tìm hiểu cặn kẽ nhầm lẫn, chúng em mong thầy cô góp ý để hoàn thiện tốt 59 [...]... “I Agree” để tiếp tục 16 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng Hình 3: Trang Components của Wireshark Chọn tất cả rồi ấn “next” để tiếp tục Hình 4: Cửa sổ Additional Tasks Ấn “next” để tiếp tục 17 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng Hình 5: Chọn đường dẫn đến thư mục bạn định cài Wireshark Mặc định, wireshark sẽ được cài đặt trong thư mục C:\Program Files \Wireshark Bạn có thể chọn... Browse rồi nhấn “Install” 23 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng Hình 17: Trong quá trình cài đặt USBPcap Nhấn “Close” để kết thúc quá trình cài đặt USBPcap và tiếp tục quá trình cài đặt Wireshark Sau khi quá trình cài đặt Wireshark chạy xongnhấn “next” Hình 18: Cài đặt Wireshark 24 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng Hình 19: Hoàn thành việc cài đặt Wireshark trên Windows Ở đây... tiếp theo 33 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng Như ta thấy ở hình trên, TCP sẽ gửi lại 5 lần, nếu 5 lần liên tiếp không nhận được phản hồi thì kết nối được coi là kết thúc Hiện tượng này ta có thể thấy trong Wireshark như sau: Khả năng xác định gói tin bị lỗi đôi khi sẽ giúp chúng ta có thể phát hiện ra mấu trốt mạng bị mất là do đâu 34 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng 2- Unreachable... cài đặt Nếu máy chưa cài WinPcap thì trong quá trình cài đặt máy sẽ cài WinPcap Nhấn “next” để cài WinPcap 19 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng Hình 9: Cửa số cài đặt Winpcap Nhấn “Next” Hình 10: Cửa số cài đặt Winpcap Nhấn “Next” 20 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng Hình 11: Thông tin bản quyền của WinPcap Nhấn “I Agree” để tiếp tục khi bạn đồng ý với các điều khoản của... thành cài đặt Winpcap chúng ta tiếp tục cài đặt USBPcap 21 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng Hình 13: Thông tin bản quyền của USBPcap Nhấn “Next” để tiếp tục Hình 14: Thông tin bản quyền của USBPcap Click vào “I accept the tems of the License Agreement” rồi nhấn “Next” để tiếp tục 22 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng Hình 15: Cửa sổ cài đặt USBPcap Nhấn “Next” để tiếp tục... được hỗ trợ, các trang hướng dẫn, các trang web, và hộp thoại About như thường lệ 3- Thanh công cụ chính (Main Toolbar) Thanh công cụ chính có các nút lệnh giúp người sử dụng nhanh chóng ra các lệnh cần thiết.Lối tắt để sử dụng các chức năng thường dùng trong thanhmenu 27 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng 4- Thanh lọc (Filter toolbar): Truy cập nhanh đến chức năng filter.Thanh công cụ lọc... điều hành hiện nay 11 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng 1- Mục đích sử dụng • Người quản trị mạng khắc phục lỗi mạng • Kĩ sư an ninh mạng xem xét các vấn đề bảo mật • Người phát triển phân tích và gỡ rối hoạt động của các giao thức • Người dùng nghiên cứu bản chất giao thức mạng • …… 2- Một số tính năng nâng cao của Wireshark a- Name Resolution Dữ liệu truyền trong mạng thông qua một vài... và cụ thể hơn, bạn có Click chuột phải vào khung hiển thị các gói tin bị chặn bắt, chọn Follow TCP Stream Các thông tin sẽ được hiển thị trong cửa sổ khác như sau: Thoát Wireshark click “Close” 32 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng VI- CÁC TÌNH HUỐNG VỚI WIRESHARK Trong phần này chúng ta sẽ đề cập đến vấn đề cụ thể hơn Sử dụng Wireshark và phân tích gói tin để giải quyết một vấn đề cụ. . .Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng ngay lập tức, ngoài ra Wireshark cũng cung cấp nhiều phương thức giải nén cho nhiều phương thức khác như IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, … Wireshark có hỗ trợ nhiều quy tắc tô màu cho các phương thức khác nhau, giúp bạn phân tích chúng trực quan hơn .Wireshark làm việc với nhiều loại kết nối mạng, bao gồm Ethernet,... THU THẬP ĐỘNG DỮ LIỆU TRONG MẠNG Cách làm việc của Wireshark: Cách tốt nhất để tìm hiểu về bất kỳ phần mềm nào là thử nó! Giả định rằng máy tính được kết nối với Internet thông qua một phương thức Ethernet có dây 29 Wireshark Công cụ hỗ trợ bảo mật mạng nổi tiếng Khởi động trình duyệt web yêu thích của bạn, mà sẽ hiển thị trang web lựa chọn của bạn Khởi động phần mềm Wireshark Để bắt đầu bắt gói