Đang tải... (xem toàn văn)
Wireshark là một công cụ phân tích gói dữ liệu mạng. Công cụ phân tích gói dữ liệu mạng sẽ cố gắng nắm bắt các gói tin mạng và cố gắng để hiển thị dữ liệu gói tin càng chi tiết càng tốt. Ta có thể nghĩ một công cụ phân tích gói dữ liệu mạng như một thiết bị đo sử dụng để kiểm tra những gì đang xảy ra bên trong một cáp mạng, giống như một vôn kế được sử dụng bởi một thợ điện để kiểm tra những gì đang xảy ra bên trong một dây cáp điện (nhưng ở một mức độ cao hơn). Trong quá khứ, các công cụ như vậy hoặc là rất tốn kém, độc quyền, hoặc cả hai. Tuy nhiên, với sự ra đời của Wireshark, tất cả đã thay đổi. Wireshark có lẽ là một trong những phân tích gói dữ liệu mã nguồn mở tốt nhất hiện nay. WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark.
MỤC LỤC DANH MỤC HÌNH VẼ Chương GIỚI THIỆU CHUNG 1.1 Giám sát an ninh mạng (Network Security Mornitoring - NSM) Giám sát an ninh mạng việc thu thập thông tin thành phần hệ thống, phân tích thơng tin, dấu hiệu nhằm đánh giá đưa cảnh báo cho người quản trị hệ thống Đối tượng giám sát an ninh mạng tất thành phần, thiết bị hệ thống mạng: - Các máy trạm - Cơ sở liệu - Các ứng dụng - Các server - Các thiết bị mạng 1.2 Tổng quan wireshark Wireshark cơng cụ phân tích gói liệu mạng Cơng cụ phân tích gói liệu mạng cố gắng nắm bắt gói tin mạng cố gắng để hiển thị liệu gói tin chi tiết tốt Ta nghĩ cơng cụ phân tích gói liệu mạng thiết bị đo sử dụng để kiểm tra xảy bên cáp mạng, giống vôn kế sử dụng thợ điện để kiểm tra xảy bên dây cáp điện (nhưng mức độ cao hơn) Trong khứ, công cụ tốn kém, độc quyền, hai Tuy nhiên, với đời Wireshark, tất thay đổi Wireshark có lẽ phân tích gói liệu mã nguồn mở tốt WireShark có bề dầy lịch sử Gerald Combs người phát triển phần mềm Phiên gọi Ethereal phát hành năm 1998 Tám năm sau kể từ phiên đời, Combs từ bỏ công việc để theo đuổi hội nghề nghiệp khác Thật không may, thời điểm đó, ơng khơng thể đạt thoả thuận với công ty thuê ông việc quyền thương hiệu Ethereal Thay vào đó, Combs phần lại đội phát triển xây dựng thương hiệu cho sản phẩm “Ethereal” vào năm 2006, dự án tên WireShark WireShark phát triển mạnh mẽ đến nay, nhóm phát triển lên tới 500 cộng tác viên Sản phẩm tồn tên Ethereal không phát triển thêm Lợi ích Wireshark đem lại giúp cho trở nên phổ biến Nó đáp ứng nhu cầu nhà phân tích chun nghiệp lẫn nghiệp dư đưa nhiều tính để thu hút đối tượng khác Dưới số mục đích cho người sử dụng Wireshark: - Người quản trị mạng sử dụng để khắc phục cố vấn đề mạng - Kỹ sư an ninh mạng sử dụng để kiểm tra vấn đề an ninh - Các nhà phát triển sử dụng để gỡ lỗi thực thi giao thức - Số người sử dụng để học hỏi giao thức mạng internals Bên cạnh ví dụ Wireshark hữu ích nhiều tình khác Một số tính Wireshark cung cấp: - Có sẵn cho Unix Windows - Chụp liệu gói trực tiếp từ giao diện mạng - Mở tập tin chứa liệu gói chụp tcpdump / WinDump, Wireshark, số chương trình bắt gói liệu khác - Nhập gói liệu từ tập tin văn có chứa bãi hex liệu gói - Các gói liệu hiển thị với giao thức thông tin chi tiết - Lưu liệu gói chụp - Trích xuất số tất gói số định dạng file chụp - Gói lọc nhiều tiêu chí - Tìm kiếm cho gói tin nhiều tiêu chí - Colorize hiển thị gói dựa lọc - Tạo hình thống kê Hình 1.1 Giao diện cơng cụ WireShark 1: Title bar - Thanh chứa thông tin khác phụ thuộc vào Wireshark làm Nếu bắt liệu mạng, hiểu thị giao điện sử dụng Nếu hiển thị liệu từ lần bắt liệu trước đó, tên file chứa liệu bắt hiển thị (untitled hiển thị lần bắt trình diễn, dừng lại khơng lưu lại) Ngược lại hiển thị tên ứng dụng: Wireshark network Protocol Analyzer 2: Menu bar - Thanh cung cấp khả truy cập đến tính ứng dụng a: File - Chức làm với việc với liệu bắt lưu lại export đến định dạng file khác b: Edit - Chức tìm kiểm packets, thiết đặt thay đổi thời gian, tham khảo thiết đặt c: View - Chức thay đổi cách hiển thị thông tin Wireshark d: Go - Chức tìm vị trí packet rõ e: Capture - Chức bắt đầu dừng lại lần bắt, lưu lại filter làm việc với giao diện mạng f: Analyze - Chức giải thích lọc liệu bắt g: Statistics - Chức thống kê phân tích liệu bắt h: Help - Chức trợ giúp 3: Main tool bar - Lối tắt để sử dụng chức thường dùng menu 4: Filter tool bar - Truy cập nhanh đến chức filter 5: Packet list pane - Hiển thị tất packet file bắt 6: Packet details pane - Chỉ rõ chi tiết packet chọn khung Packet List 7: Packet bytes pane - Chế độ xem hexdum packet Packet List 8: Status bar - Cung cấp thông điệp thông tin phản hồi đến người dùng Chương CÁC GIAO THỨC VÀ TÍNH NĂNG CỦA WIRESHARK 2.1 Các giao thức hỗ trợ WireShark WireShark vượt trội khả hỗ trợ giao thức (khoảng 850 loại), từ loại phổ biến TCP, IP đến loại đặc biệt AppleTalk Bit Torrent Và Wireshark phát triển mơ hình mã nguồn mở, giao thức thêm vào Và nói khơng có giao thức mà Wireshark hỗ trợ Dưới trình bày số giao thức thường sử dụng WireShark 2.1.1 Giao thức UDP UDP (User Datagram Protocol) giao thức cốt lõi giao thức TCP/IP Dùng UDP, chương trình mạng máy tính gửi liệu ngắn gọi datagram tới máy khác UDP không cung cấp tin cậy thứ tự truyền nhận mà TCP làm; gói liệu đến khơng thứ tự bị mà khơng có thơng báo Tuy nhiên UDP nhanh hiệu mục tiêu kích thước nhỏ yêu cầu khắt khe thời gian Do chất không trạng thái nên hữu dụng việc trả lời truy vấn nhỏ với số lượng lớn người yêu cầu Những ứng dụng phổ biến sử dụng UDP như: DNS (Domain Name System), ứng dụng streaming media, Voice over IP, Trivial File Transfer Protocol (TFTP), game trực tuyến UDP giao thức hướng thông điệp nhỏ tầng giao vận mô tả RFC 768 IETF Trong giao thức TCP/IP, UDP cung cấp giao diện đơn giản tầng mạng bên (thí dụ, IPv4) tầng phiên làm việc tầng ứng dụng phía UDP khơng đảm bảo cho tầng phía thơng điệp gửi người gửi khơng có trạng thái thơng điệp UDP gửi (Vì lý đơi UDP gọi Unreliable Datagram Protocol) UDP thêm thông tin multiplexing giao dịch Các loại thông tin tin cậy cho việc truyền liệu cần phải xây dựng tầng cao + Bits - 15 16 - 31 Source Port Destination Port 32 Length Checksum 64 Data Hình 2.2 Phần header UDP Phần header UDP chứa trường liệu, có trường tùy chọn (ơ đỏ bảng) - Source port: Trường xác định cổng người gửi thơng tin có ý nghĩa muốn nhận thông tin phản hồi từ người nhận Nếu không dùng đến đặt - Destination port: Trường xác định cổng nhận thông tin, trường cần thiết - Length: Trường có độ dài 16 bit xác định chiều dài toàn datagram: phần header liệu Chiều dài tối thiểu byte gói tin khơng có liệu, có header - Checksum: Trường checksum 16 bit dùng cho việc kiểm tra lỗi phần header liệu Phương pháp tính checksum định nghĩa RFC 768 Do thiếu tính tin cậy, ứng dụng UDP nói chung phải chấp nhận mát, lỗi trùng liệu Một số ứng dụng TFTP có nhu cầu phải thêm kỹ thuật làm tin cậy vào tầng ứng dụng Hầu hết ứng dụng UDP không cần kỹ thuật làm tin cậy bị bỏ Streaming media, game trực tuyến voice over IP(VoIP) thí dụ cho ứng dụng thường dùng UDP Nếu ứng dụng đòi hỏi mức độ cao tính tin cậy, giao thức TCP mã erasure dùng thay Thiếu chế kiểm soát tắc nghẽn kiểm soát luồng, kỹ thuật dựa mạng cần thiết để giảm nguy hiệu ứng tắc nghẽn dây chuyền khơng kiểm sốt, tỷ lệ tải UDP cao Nói cách khác, người gởi gói UDP khơng thể phát tắc nghẽn, thành phần dựa mạng router dùng hàng đợi gói (packet queueing) kỹ thuật bỏ gói cơng cụ để giảm tải UDP Giao thức Datagram Congestion Control Protocol (DCCP) thiết kế giải pháp cho vấn đề cách thêm hành vi kiểm soát tắc nghẽn cho thiết bị đầu cuối cho dòng liệu UDP streaming media Mặc dù tổng lượng lưu thông UDP mạng thường vài phần trăm, có nhiều ứng dụng quan trọng dùng UDP, bao gồm DNS, SNMP, DHCP RIP 2.1.2 Giao thức TCP TCP (Transmission Control Protocol - "Giao thức điều khiển truyền vận") giao thức cốt lõi giao thức TCP/IP Sử dụng TCP, ứng dụng máy chủ nối mạng tạo "kết nối" với nhau, mà qua chúng trao đổi liệu gói tin Giao thức đảm bảo chuyển giao liệu tới nơi nhận cách đáng tin cậy thứ tự TCP phân biệt liệu nhiều ứng dụng (chẳng hạn, dịch vụ Web dịch vụ thư điện tử) đồng thời chạy máy chủ TCP hỗ trợ nhiều giao thức ứng dụng phổ biến Internet ứng dụng kết quả, có WWW, thư điện tử Secure Shell Trong giao thức TCP/IP, TCP tầng trung gian giao thức IP bên ứng dụng bên Các ứng dụng thường cần kết nối đáng tin cậy kiểu đường ống để liên lạc với nhau, đó, giao thức IP khơng cung cấp dòng kiểu đó, mà cung cấp dịch vụ chuyển gói tin khơng đáng tin cậy TCP làm nhiệm vụ tầng giao vận mơ hình OSI đơn giản mạng máy tính Các ứng dụng gửi dòng gồm byte 8-bit tới TCP để chuyển qua mạng TCP phân chia dòng byte thành đoạn(segment) có kích thước thích hợp (thường định dựa theo kích thước đơn vị truyền dẫn tối đa (MTU) tầng liên kết liệu mạng mà máy tính nằm đó) Sau đó, TCP chuyển gói tin thu tới giao thức IP để gửi qua liên mạng tới mơ đun TCP máy tính đích TCP kiểm tra để đảm bảo khơng có gói tin bị thất lạc cách gán cho gói tin "số thứ tự" (sequence number) Số thứ tự sử dụng để đảm bảo liệu trao cho ứng dụng đích theo thứ tự Mô đun TCP đầu gửi lại "tin báo nhận" (acknowledgement) cho gói tin nhận thành công, "đồng hồ" (timer) nơi gửi báo time-out không nhận tin báo nhận khoảng thời gian round-trip time (RTT), liệu (được coi bị thất lạc) gửi lại TCP sử dụng checksum (giá trị kiểm tra) để xem có byte bị hỏng q trình truyền hay khơng; giá trị tính toán cho khối liệu nơi gửi trước gửi, kiểm tra nơi nhận Khơng giao thức UDP - giao thức gửi gói tin mà khơng cần thiết lập kết nối, TCP đòi hỏi thiết lập kết nối trước bắt đầu gửi liệu kết thúc kết nối việc gửi liệu hoàn tất Cụ thể, kết nối TCP có ba pha: - Thiết lập kết nối - Truyền liệu - Kết thúc kết nối Trước miêu tả pha này, ta cần lưu ý trạng thái khác socket: 10 Hình 3.18 Hướng dẫn cài đặt 11 3.2 Sử dụng WireShark 3.2.1 Một thử ngiệm với Wireshark Cách tốt để tìm hiểu phần mềm thử nó! Giả định máy tính kết nối với Internet thông qua phương thức Ethernet có dây Khởi động trình duyệt web u thích ta, mà hiển thị trang web lựa chọn ta Khởi động phần mềm Wireshark Để bắt đầu bắt gói tin, click chọn Capture Hình 3.19 Giao diện bắt gói tin Để lựa chọn tùy chỉnh khác nhau, ta cần click vào Options Và cửa sổ hiển thị tùy chỉnh: 25 Hình 3.20 Giao diện tùy chọn bắt gói tin Ta sử dụng hầu hết giá trị mặc định cửa sổ Trong trường hợp máy tính ta có nhiều giao diện mạng hoạt động (ví dụ, ta có kết nối khơng dây Wifi kết nối Ethernet có dây), ta cần phải chọn giao diện sử dụng để gửi nhận gói liệu Sau chọn giao diện mạng (hoặc sử dụng giao diện mặc định lựa chọn Wireshark), nhấn Start Bắt gói tin bắt đầu - tất gói gửi/nhận máy tính bị bắt Wireshark! Khi ta bắt đầu bắt gói tin, cửa sổ gói tin tóm tắt chụp xuất hiện, cửa sổ tóm tắt số lượng loại gói tin khác bị bắt, nút Stop cho phép ta chặn bắt gói tin 26 Hình 3.21 Cửa sổ thị kết bắt gói tin Trong Wireshark chạy, nhập địa URL: http://vnexpress.net có trang hiển thị trình duyệt ta Các khung có chứa thông điệp HTTP Wireshark bắt ghi lại Sau trình duyệt ta hiển thị trang vnexpress.net, việc lựa chọn stop hiển thị cửa sổ chặn bắt gói tin Wireshark Cửa sổ Wireshark chứa tất thông điệp giao thức trao đổi máy tính thực thể mạng khác! Tuy nhiên, có nhiều loại gói tin hiển thị khác Mặc dù hành động ta tải trang web rõ ràng có nhiều giao thức khác chạy máy tính mà người sử dụng khơng nhìn thấy Gõ vào “http” (khơng có dấu ngoặc kép) vào cửa sổ đặc tả lọc hiển thị đầu cửa sổ Sau chọn Apply (bên phải nơi mà ta nhập “Http”) Điều gây có tin nhắn HTTP hiển thị cửa sổ gói tin Hình 3.22 Cửa sổ lọc kết 27 Để thị rõ ràng cụ thể hơn, ta có Click chuột phải vào khung hiển thị gói tin bị chặn bắt, chọn Follow TCP Stream Các thông tin hiển thị cửa sổ khác sau: Hình 3.23 Thơng tin chi tiết gói tin 3.2.2 Sử dụng WireShark để giải số tình Trong phần đề cập đến vấn đề cụ thể Sử dụng Wireshark phân tích gói tin để giải vấn đề cụ thể mạng 3.2.2.1 A Lost TCP Connection (mất kết nối TCP) Một vấn đề phổ biến kết nối mạng.Chúng ta bỏ qua nguyên nhân kết nối bị mất, nhìn tượng mức gói tin Ví dụ: Một ví truyền file bị kết nối: Bắt đầu việc gửi gói TCP ACK từ 10.3.71.7 đến 10.3.30.1 Hình 3.24 Các gói TCP ACK gửi thành cơng 28 Lỗi gói thứ 5, nhìn thấy xuất việc gửi lại gói TCP Hình 3.25 Gói tin phải gửi lại xuất lỗi Theo thiết kế, TCP gửi gói tin đến đích, khơng nhận trả lời sau khoảng thời gian gửi lại gói tin ban đầu Nếu tiếp tục khơng nhận phản hồi, máy nguồn tăng gấp đôi thời gian đợi cho lần gửi lại Hình 3.26 Sơ đồ hoạt động TCP Như ta thấy hình trên, TCP gửi lại lần, lần liên tiếp khơng nhận phản hồi kết nối coi kết thúc Hiện tượng ta thấy Wireshark sau: 29 Hình 3.27 Windows truyền tải gói tin đến năm lần theo mặc định Khả xác định gói tin bị lỗi đơi giúp phát mấu trốt mạng bị đâu 3.2.2.2 Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối mã ICMP) Một công cụ kiểm tra kết nối mạng công cụ ICMP ping Nếu may mắn phía mục tiêu trả lời lại điều có nghĩa bạn ping thành cơng, khơng nhận thơng báo khơng thể kết nối tới máy đích Sử dụng cơng cụ bắt gói tin việc cho bạn nhiều thơng tin thay dung ICMP ping bình thường Chúng ta nhìn rõ lỗi ICMP Hình 3.28 Bắt gói tin ICMP 30 Hình 3.29 Một yêu cầu ping từ 10.2.10.2 đến 10.4.88.88 Hình cho thấy thông báo ping tới 10.4.88.88 từ máy 10.2.99.99 Như so với ping thông thường ta thấy kết nối bị đứt từ 10.2.99.99 Ngồi có mã lỗi ICMP, ví dụ: code (Host unreachable) Hình 3.30 Thơng tin chi tiết gói tin ICMP 3.2.2.3 Unreachable Port (khơng thể kết nối tới cổng) Một nhiệm vụ thông thường khác kiểm tra kết nối tới cổng máy đích Việc kiểm tra cho thấy cổng cần kiểm tra có mở hay khơng, có sẵn sang nhận yêu cầu gửi đến hay khơng Ví dụ, để kiểm tra dịch vụ FTP có chạy server hay không, mặc định FTP làm việc qua cổng 21 chế độ thông thường Ta gửi gói tin ICMP đến cổng 21 máy đích, máy đích trả lời lại gói ICMP loại mã lỗi có nghĩa khơng thể kết nối tới cổng 31 3.2.2.4 Fragmented Packets (phân mảnh gói tin) Hình 3.31 Q trình Ping để truyền gói tin Ở thấy kích thước gói tin ghi nhận lớn kích thước gói tin mặc định gửi ping 32 bytes tới máy tính chạy Windows Kích thước gói tin 3,072 bytes 3.2.2.5 No Connectivity (không kết nối) Vấn đề: có nhân viên Hải Thanh ngồi cạnh đương nhiên trang bị máy tính Sau trang bị làm thao tác để đưa máy tính vào mạng, có vấn đề xảy máy tính Hải chạy tốt, kết nối mạng bình thường, máy tính Thanh khơng thể truy nhập Internet Mục tiêu: tìm hiểu máy tính Thanh khơng kết nối Internet sửa lỗi Các thơng tin có: - Cả máy tính 32 - Cả máy đặt IP ping đến máy khác mạng Nói tóm lại máy cấu hình khơng có khác Tiến hành cài đặt Wireshark trực tiếp lên máy Phân tích: Trước hết máy Hải ta nhìn thấy phiên làm việc bình thường với HTTP Đầu tiên có ARP broadcast để tìm địa gateway tầng 2, 192.168.0.10 Khi máy tính Hải nhận thơng tin bắt tay với máy gateway từ có phiên làm việc với HTTP bên ngồi Hình 3.32 Máy tính Hải hồn thành q trình bắt tay, sau chuyển liệu HTTP bắt đầu Trường hợp máy tính Thanh: Hình 3.33 Máy tính Thanh dường gửi yêu cầu ARP đến địa IP khác Hình cho thấy yêu cầu ARP không giống trường hợp Địa gateway trả 192.168.0.11 Như thấy NetBIOS có vấn đề 33 Hình 3.34 Thơng tin chi tiết gói tin bị lỗi NetBIOS giao thức cũ thay TCP/IP TCP/IP không hoạt động Như máy Thanh kết nối Internet với TCP/IP Chi tiết yêu cầu ARP máy: Máy Hải: Hình 3.35 Chi tiết yêu cầu ARP máy Hải Máy Thanh: 34 Hình 3.36 Chi tiết yêu cầu ARP máy Thanh Kết luận: máy Thanh đặt sai địa gateway nên kết nối Internet, cần đặt lại 192.168.0.10 3.2.2.6 Lỗi kết nối FTP Tình huống: có tài khoản FTP Windows Server 2003 update service packs vừa cài đặt xong, phần mềm FTP Server hồn tồn bình thường, khoản không truy nhập Thông tin có: - FTP làm việc cổng 21 Tiến hành cài đặt Wireshark máy Phân tích: 35 - Client: 36 Hình 3.37 Các client cố gắng để thiết lập kết nối gói tin SYN mà khơng nhận trả lời, sau gửi số lần Client gửi gói tin SYN để bắt tay với server khơng có phản hồi từ server - Server: Hình 3.38 Client server có dấu vết file giống hệt Có lý dẫn đến tượng trên: - FTP server chưa chạy, điều không FTP server chạy kiểm tra lúc đầu - Server tải có lưu lượng lớn khiến đáp ứng yêu cầu Điều khơng xác server vừa cài đặt - Cổng 21 bị cấm phía clien phía server phía Sau kiểm tra thấy phía Server cấm cổng 21 chiều Incoming Outgoing Local Security Policy 37 Hình 3.39 Kiểm tra thuộc tính u cầu bảo mật server Kết luận: Đôi bắt gói tin khơng cho ta biết trực tiếp vấn đề hạn chế nhiều trường hợp giúp ta đưa suy đốn xác vấn đề 38 DANH MỤC TÀI LIỆU THAM KHẢO Tiếng Việt Luận văn Phân tích gói tin với Wireshark - Luận văn, đồ án, đề tài tốt nghiệp Đại học bách khoa Hà Nội WireShark - Vi.wikipedia.org Sử dụng WireShark để quan sát gói tin mạng (dựa theo Lab 2.6.2 CCNA) - Legiacong.blogspot.com Dùng WireShark để thực chức giám sát mạng forum.bkav.com.vn Tiếng Anh Chappell, Laura (2012) Wireshark Network Analysis - Second Edition: The Official Wireshark Certified Network Analyst Study Guide Protocol Analysis Institute, dba “Chappell University” ISBN 978-1-893939-94-3 Chappell, Laura (2010) Wireshark Certified Network Analyst: Official Exam Prep Guide Protocol Analysis Institute, dba “Chappell University” ISBN 978-1-893939-98-1 Orebaugh, Angela; Ramirez, Gilbert; Beale, Jay (2006) Wireshark & Ethereal Network Protocol Analyzer Toolkit Syngress Publishing ISBN 159749-073-3 The Wireshark User's Guide is available in several formats 39 ... Cộng đồng Wireshark cộng đồng tốt động dự án mã nguồn mở - Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết loại hệ điều hành 2.2.2 Một số tính nâng cao Wireshark Ngồi tính WireShark có... NĂNG CỦA WIRESHARK 2.1 Các giao thức hỗ trợ WireShark WireShark vượt trội khả hỗ trợ giao thức (khoảng 850 loại), từ loại phổ biến TCP, IP đến loại đặc biệt AppleTalk Bit Torrent Và Wireshark. .. "Echo reply" tin nhắn 2.2 Tính WireShark 2.2.1 Tính WireShark có tính sau: - Thân thiện với người dùng: Giao diện Wireshark giao diện phần mềm phân tích gói dễ dùng Wireshark ứng dụng đồ hoạ với