ĐẠI HỌC CÔNG NGHỆ THÔNG TIN TPHCM KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG - - BÀI BÁO CÁO MÔN QUẢN TRỊ HỆ THỐNG MẠNG ĐỀ TÀI: Tìm hiểu công cụ WireShark Giáo viên hướng dẫn : Vũ Trí Dũng Sinh viên : Trần Minh Hiếu 07520122 Phạm Trương Hoàng Tuấn 07520386 Phạm Nguyên Huy TPHCM Tháng 10/2010 07520472 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông LỜI NÓI ĐẦU Ngày nay, vai trò Công Nghệ Thông Tin (CNTT) Internet vô quan trọng Và phụ thuộc ngành kinh tế vào CNTT ngày lớn, mà vấn đề bảo mật hệ thống mạng cho doanh nghiệp coi vấn đề bách quan trọng Càng có nhiều ý đồ phá hoại, mà đích đến thông tin tối quan trọng doanh nghiệp, nhu cầu đòi hỏi kỹ quản lý bảo mật hệ thống chuyên viên mạng Khi “Thông tin quý vàng”, doanh nghiệp bước vào chiến tranh lợi nhuận đặt vấn đề xây dựng nguồn tài nguyên liệu lên hàng đầu Vì vai trò phận IT (Information Technology), đặc biệt chuyên viên mạng ngày quan trọng Tại Việt Nam, doanh nghiệp ứng dụng CNTT quy mô lớn cần khoảng 10 chuyên viên mạng, quy mô vừa cần khoảng – chuyên viên mạng, quy mô nhỏ cần tối thiểu chuyên viên mạng để đảm trách vai trò quản trị bảo mật hệ thống mạng doanh nghiệp Trong thời ký kinh tế bị suy thoái, ngân sách bị cắt giảm, lượng tiền đầu tư vào chuyên viên mạng công cụ quản lý với độ bảo mật cao liệt vào nguồn đầu tư “xa xỉ” Việt Nam – đất nước với kinh tế phát triển, trình độ kỹ thuật công nghiệp chưa bắt kịp đà phát triển khu vực Thế giới Chính vậy, Việt Nam, nhà quản trị mạng cần tìm cho lối mới, công cụ hỗ trợ cho việc quản trị tương xứng với tình hình kinh tế nước nhà Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Giới thiệu tổng quan Với quản trị viên hệ thống mạng ( LAN ) quản lí hàng chục máy PC , việc sử dụng công cụ quản trị mạng cần thiết Kiểm tra lỗi máy PC có nhiều công cụ , nhiều cách thức khác , với cách capture gói tin máy PC từ bạn phần xác định nguyên gây lỗi máy tính hệ thống mạng LAN Có nhiều công cụ để giải vấn đề , WIRESHARK công cụ có chức , có sản phẩm có tính đặc biệt Wireshark điều dễ nhận thấy Giả sử bạn muốn biết thực xảy mạng Wireshark capture gói liệu, sau hiển thị chúng theo cách để bạn dễ dàng dõi theo “cuộc trò chuyện” truy cập máy tính Nó có tùy chọn phân loại lọc vô tận, cho phép bạn tìm xác thông cần tìm Bài báo cáo tìm hiểu chức , ưu nhược điểm tình xử lý với WIRESHARK Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông MỤC LỤC Giới Thiệu Tổng Quan Về Bài Viết………… Mục Lục………… .4 Công cụ quản lý – WireShark………… 3.1.Giới thiệu WireShark………………………………………………… 3.2.Giao diện WireShark…………………………………………………6 Phân tích gói tin với WireShark …………………………………………….11 4.1.Phân tích gói tin ? .11 4.2.Xử lý tình với WireShark……………………………………… 13 So sánh WireShark với vài tool khác………………………………… 21 5.1 WireShark & LANView……………………………………………… 21 5.2 WireShark & Etherscan Analyze…………………………………………23 Các ưu nhược điểm vài lời khuyên sử dụng WireShark…… 24 Kết Luận………………………………………………………………………27 Tài Liệu Tham Khảo…………………………………………………………28 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Công cụ quản lý – WireShark 3.1 Giới thiệu Wireshark WireShark có bề dày lịch sử Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Thật không may, thời điểm đó, ông đạt thoả thuận với công ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, Combs phần lại đội phát triển xây dựng thương hiệu cho sản phẩm “Ethereal” vào năm 2006, dự án tên WireShark Wireshark phân tích giao thức mạng, capture, tra hiển thị lưu lượng cho nhiều giao thức mạng Chương trình chạy tảng nào: Windows, Linux, Mac OS X tảng khác Nó có giao diện GUI dễ sử dụng Nếu không hiểu sâu giao thức, công cụ cung cấp cho kiến thức cần bổ sung Wireshark lưu dấu vết gói liệu để kiểm tra sau; mở định dạng chuẩn từ phân tích khác; export thành file XML, PostScript, CSV, plain text Nếu muốn sử dụng kiểu mã hóa, chẳng hạn WEP, WPA, WPA2, Ipsec, SSL/TLS, cấu hình Wireshark với khóa để giải mã hiển thị liệu thực cần Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông 3.2 Một vài chức Wireshark Giao diện Wireshark Phần menu  File : chứa menu dùng để mở , gộp, lưu , in ,trích xuất (các file bắt )  kết thúc chương trình Wireshark Edit : menu chứa phần có chức tìm kiếm gói tin , đánh dấu hay bỏ qua  gói tin bắt View : Menu dùng để chỉnh sửa việc hiển thị mục phần liệu gói tin bắt , : chỉnh sửa màu sắc gói tin , chỉnh kích thước font ,hiển thị hay ẩn toolbar … Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông  Go : mục dùng để di chuyển đến gói tin cụ thể nhập vào người sử  dụng Capture : Menu cho phép người dùng dừng hay bắt đầu việc bắt gói tin  chỉnh sửa gói tin lọc Analyze : menu chứa thao tác chức để thị gói tin lọc theo  qui tắc đặt , kích hoạt hay khóa giao thức không cần thiết Statistics : xem thông tin tổng quan gói tin ,các cổng gói tin , điểm đầu  cuối ,chiều dài gói tín …… Telephony : hiển thị số liệu thống kê liên quan đến telephony , phân tích   media ,hiện thị hệ thống phân cấp giao thức Tool : chứa tool có liên quan đến wireshark “Firewall ACL Rules” Help : chứa thành phần hỗ trợ cho người sử dụng : hướng dẫn , danh sách giao thức hỗ trợ , vài trang chủ liên quan thông tin chương trình sử dụng Phần Main Toolbar Cung cấp chức thường sử dụng để tạo dễ dàng cho người sử dụng Người sử dụng tùy chỉnh chức toolbar , thể ẩn chúng menu View phù hợp với độ rộng hình Phần Filters Toolbar Dùng để hiển thị gói tin dựa vào điều kiện lọc gói tin nhập vào ô Filter Input : nơi nhập công thức để lọc kết gói tin Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Expression : nơi để chỉnh sửa kết hiển thị gói tin theo cách lọc gói tin gán hộp thoại Clear : xóa công thức vừa nhập Apply : hiển thị kết với công thức nhập ô Một vài công thức , phép toán Phép Toán Phép Bằng Phép Khác Phép Lớn Hơn Phép Bé Hơn Phép Lớn Hơn Hoặc Bằng Phép Bé Hơn Hoặc Bằng Công Thức Nhập Vào == != > < >= 10 frame.len < 10 frame.len >= 10 frame.len Coloring Rules Ví dụ : Nền đen chữ đỏ : gói tin TCP bị lỗi Nền xanh nhạt : gói tin ARP Nền xanh : gói tin HTTP Phần Packet Details Hiển thị giao thức , miền giao thức , địa đích nguồn gói tin chọn Phần Packet Bytes Hiển thị nội dung gói tin dạng byte Phần StatusBar Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Hiển thị thông tin tổng quan phần chọn phần “Packet List Pannel” , “Packet Details”, “Packet Bytes” Phân tích gói tin với Wireshark 4.1 Phân tích gói tin ? Phân tích gói tin hay gọi nghe gói tin phân tích giao thức, mô tả trình bắt phiên dịch liệu sống luồng lưu chuyển mạng với mục tiêu hiểu rõ điều diễn mạng Phân tích gói tin giúp chung ta hiểu cấu tạo mạng, mạng, xác định sử dụng băng thông, thời điểm mà việc sử dụng mạng đạt cao điểm, khả công hành vi phá hoại, tìm ứng dụng không bảo mật Các bước nghe (phân tích) gói tin • Thu thập liệu : Chế độ cho phép card mạng nghe tất gói tin lưu chuyển phân mạng • Chuyển đổi liệu : bước này, gói tin nhị phân chuyển đổi thành khuôn dạng đọc • Phân tích : phân tích gói tin chuyển đổi Các bước để nghe gói tin 4.1.1 Living Promiscuously (chế độ bắt tất gói tin qua) 10 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Cần card mạng có hỗ trợ chế độ Promiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy tất gói tin qua hệ thống dây mạng Khi chế độ Promiscuous, bắt tất gói tin gửi toàn tới CPU 4.1.2 “Nghe” mạng hub Cơ chế hoạt động Hub cho phép gói tin gửi tất cổng hub Để phân tích máy tính hub, tất công việc cần làm cắm máy nghe vào cổng trống hub 4.1.3 “Nghe” mạng switch Môi trường switch kiểu mạng phổ biến mà bạn làm việc Switch cung cấp phương thức hiệu để vận chuyển liệu thông qua broadcast, unicast, multicast Switch cho phép kết nối song công (full-duplex), có nghĩa máy trạm truyền nhận liệu đồng thời từ switch Khi cắm máy nghe vào cổng switch, nhìn thấy broadcast traffic gói tin gửi nhận máy tính mà sử dụng Có cách bắt gói tin mạng switch Port mirroring : lắng nghe lưu lượng qua cổng (cổng cắm để lắng nghe ) sang cổng khác 11 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Hubbing Out : kỹ thuật mà đặt thiết bị mục tiêu máy nghe vào phân mạng cách đặt chúng trực tiếp vào hub ARP Cache Poisoning : trình gửi thông điệp ARP với địa MAC giả mạo tới switch router nhằm mục đích nghe lưu lượng thiết bị mục tiêu 4.1.4 “Nghe” mạng sử dụng Router Tất kỹ thuật nghe mạng switch sử dụng mạng router , có việc cần quan tâm mà thực với mạng router quan trọng việc đặt máy nghe mà thực xử lý vấn đề liên quan đến nhiều phân mạng 4.2 Xử lý tính với wireshark 4.2.1 Phát vấn đề kết nối TCP Một vấn đề phổ biến kết nối mạng Mục đề cập đến vấn đề phát kết nối TCP Wireshark Ví dụ: Một ví dụ truyền file bị kết nối: Bắt đầu việc gửi gói TCP ACK từ 10 71 đến 10 30 Lỗi gói thứ 5, nhìn thấy xuất việc gửi lại gói TCP 12 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông TCP gửi gói tin đến đích, không nhận trả lời sau khoảng thời gian gửi lại gói tin ban đầu Nếu tiếp tục không nhận phản hồi, máy nguồn tăng gấp đôi thời gian đợi cho lần gửi lại Như ta thấy hình trên, TCP gửi lại lần, lần liên tiếp không nhận phản hồi kết nối coi kết thúc Hiện tượng ta thấy Wireshark sau: Khả xác định gói tin bị lỗi giúp phát mấu chốt mạng bị đâu 4.2.2 Xác định máy tính nhiễm virus 13 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Hiện tượng : máy tính A có tượng sau, sử dụng trình duyệt IE, trình duyệt tự động trỏ đến nhiều trang quảng cáo Khi A thay đổi tay bị tượng chí khởi động lại máy bị Thông tin có : • A không thạo máy tính • Máy tính A dùng Widows XP, IE Tiến hành: Vì tượng xảy máy A nên tiếp hành bắt gói tin từ máy A Phân tích: Chi tiết gói tin thứ 5: 14 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Từ máy tính gửi yêu cầu GET HTTP đến địa hình: Một số gói có lặp ACK Sau loạt thay đổi có truy vấn DNS đến deskwx.weatherbug.com Đây địa A ý định truy cập 15 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Như có process làm thay đổi địa trang chủ IE bật lên Dùng công cụ kiểm tra process ẩn ví dụ Process Explore thấy có tiến trình weatherbug.exe chạy Sau tắt tiến trình không tượng Thông thường tiến trình weatherbug virus, spyware 4.2.3 Hệ thống download chậm Tình huống: mạng download chậm Tiến hành : đặt wireshark lắng nghe toàn đầu mạng Phân thích : hình ảnh cho thấy có nhiều kết nối TCP,HTTP điều có nghĩa có nhiều kết nối HTTP download liệu nên chiếm băng thông mạng 16 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Mở cửa sổ Analyze->Expert Infos để thấy thêm thông tin Mặc định Expert Infos hiển thị tất thông tin Nếu thị Error+Warn+Note ta có thông tin sau 17 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Hình cho thấy: • có nhiều kết nối TCP chương trình Window update mở • có tượng TCP Previous segment lost packets gói tin TCP gửi bị lặp ACK bị drop, khiến TCP phải gửi lại gói tin Kết luận : nguyên nhân download chậm có nhiều chương trình Windows update (có thể máy để auto update) tượng gói tin Như cần tắt bớt chương trình Windows update 18 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông So sánh wireshark với vài công cụ khác 5.1 Wireshark & LANView Giao diện sử dụng LANView LANView phần mềm thương mại có kích thước nhỏ gọn, với 2.8 MB Giao diện chương trình gồm phần: • Phần menu • Bên trái slidebar chứa công cụ mà ta muốn làm việc • Bên phải sổ thông tin chi tiết 19 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông So với wireshark LANView mạnh quản trị mạng LAN, với nhiều công cụ khác scan port host, network connection để kết nối máy tính mạng LAN, broadcast message, remote shutdown, lookup host (tìm kiếm host), biểu đồ giao thông mạng Giao diện đơn giản, thích hợp cho người quản trị không chuyên IT sử dụng dễ dàng LANView cho ta biết thông tin tất máy tính mạng LAN địa IP, MAC, tên host, users and groups, tài nguyên chia sẻ mạng Việc bắt gói tin, lọc tìm kiếm gói mạng thuận lợi (như hình dưới) Cửa sổ tùy chọn bắt gói tin LANView  Kết luận : ta sử dụng kết hợp công cụ với Wireshark để việc quản lý xác , đầy đủ 20 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông 5.2 Wireshark & Etherscan Analyzer • • Giao diện Ethernetscan Etherscan phần mềm phân tích gói tin hoạt động window Etherscan đọc nhiều giao thức Ethernet, NetBEUI, TCP/IP, nhiều giao thức khác Nó có khả xây dựng lại phiên TCP/IP, với tính ta thấy liệu dạng nguyên ví dụ ta đọc nội dung email, bất • kỳ attachment xác gửi Tính lọc gói nâng cao, gồm tab Protocol, IP address, Ports, Words, • Advanced Ngoài việc bắt phân tích gói tin giao tiếp mạng máy tính, Etherscan lưu lại (save) tải (load) gói tin file, gửi gói tin tự tạo lên mạng -> chức Wireshark  Kết luận : so với công cụ wireshark etherscan có chức tương đồng , nhiên hỗ trợ giao thức dường chưa wireshark Bên cạnh , etherscan có chức wireshark gửi gói tin tự tạo ( wireshark bắt đọc gói tin ) Các ưu nhược điểm lời khuyên sử dụng Wireshark 21 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông 6.1 Ưu điểm • Là phần mềm mã nguồn mở , dùng để bắt phần tích gói tin cách • xác Giao diện đơn giản , dễ sử dụng , kết trình bày rõ ràng , màu sắc phân biệt giao thức gói tin , dòng lệnh đơn giản không phức tạp • • công cụ khác Hỗ trợ hệ điều hành Window lẫn Linux WireShark vượt trội khả hỗ trợ giao thức (khoảng 850 loại), từ loại phổ biến TCP, IP đến loại đặc biệt AppleTalk Bit Torrent Và Wireshark phần mềm mã nguồn mở nên chắn giao thức • thêm vào Hỗ trợ nhiều định dạng tập tin chương trình bắt gói tin khác • Bắt gói tin nhiều giao tiếp mạng khác 22 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông 6.2 Nhược điểm Như công cụ khác, Wireshark dùng cho số việc không cho số việc khác Ở danh sách số việc mà Wireshark làm: • Nó dùng để vạch mạng công cụ Nmap • Nó không sinh ra liệu mạng - công cụ bị động Những công cụ nmap, ping traceroute ví dụ công cụ có khả sinh • liệu mạng Nó bắt liệu tốt giao diện driver hệ điều hành hỗ trợ Ví dụ việc bắt liệu thông qua mạng không dây • Wireshark đơn dừng lại việc bắt gói quản trị viên biết tình trạng mạng mà chế báo động có lỗi hệ thống mạng • Không có chế bảo mật có người lạ muốn xâm nhập vào mạng nội 6.3 Lời khuyên sử dụng công cụ Wireshark • Thích hợp cho quản trị viên sử dụng để xem xét vấn đề bảo mật , sai sót giao thức mạng hay dành cho sinh viên muốn tìm hiểu, nghiên cứu • giao thức mạng Để sử dụng tốt cho việc bắt gói tin mạng Lan có switch ta sử dụng kết hợp với tool Cain & Abel chương trình MAC Flooding làm cho 23 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Switch tràn đệm, trở thành Hub , việc bắt gói tin trở nên dễ • dàng thuận tiện Ngoài tool Cain & Abel , tùy theo yêu cầu ta sử dụng tool khác kèm với wireshark để tận dụng hết chức Wireshark , ví dụ : để xem mô hình mạng LAN ta sử dụng kèm với nMap ,LANView , để gửi gói tin sử dụng kèm với Etherscan … KẾT LUẬN Bài viết tóm tắt thông tin , chức công cụ wireshark với chức bắt phân tích gói tin qua mạng có ích việc kiểm tra lỗi hệ thống mạng quản lý Qua viết tìm hiểu wireshark , ta thấy wireshark hỗ trợ đầy đủ yêu cầu công cụ bắt phân tích gói tin qua mạng Với giao diện GUI , hệ thống menu rõ ràng trực quan cho người tìm hiểu phân tích giao thức mạng Với vài ví dụ sử dụng wireshark nêu , ta thấy công cụ thật hữu ích cần thiết cho quản trị viên bên cạnh nhiều chức có ích, cộng với việc phần mềm mã nguồn mở hoàn toàn miễn phí thích hợp cho doanh nghiệp vừa nhỏ TÀI LIỆU THAM KHẢO 24 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Wireshark User's Guide Copyright © 2004-2008 Ulf Lamping , Richard Sharpe , Ed Warnicke Chris Sanders, PRACTICAL PACKET ANALYSIS, Using Wireshark to Solve Real-World Network Problems- No Startch Press,2007 Angela Orebaugh,Gilbert Ramirez,Josh Burke,Larry Pesce,Joshua Wright,Greg Morris, Wireshark & Ethereal Network Protocol Analyzer Toolkit- Syngress Publishing,2007 http://www.wireshark.org , Homepage ‘s Wireshark software http://vi.wikipedia.org , Bách khoa toàn thư mở http://google.com.vn , Trang tìm kiếm thông tin 25 ... nước nhà Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông Giới thiệu tổng quan Với quản trị viên hệ thống mạng ( LAN ) quản lí hàng chục máy... quản lý xác , đầy đủ 20 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông 5.2 Wireshark & Etherscan Analyzer • • Giao diện Ethernetscan Etherscan... thông tin chi tiết 19 Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng Đề Tài : Tìm hiểu Wireshark Khoa Mạng Máy Tính Và Truyền Thông So với wireshark LANView mạnh quản trị mạng LAN, với nhiều công cụ khác