PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN)

PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) Mục tiêu: sinh viên hiểu rõ các tính năng của công cụ phần mềm Wireshark khi tiến hành điều tra, theo dõi và phân tích các gói tin trên mạng. Thời gian thực hành: 1 buổi Wireshark là một phần mềm mã nguồn mở cho phép kiểm tra, theo dõi và phân tích thông tin mạng. Phiên bản đầu tiên của Wireshark mang tên Ethereal được phát triển bởi Gerald Combs và phát hành năm 1988. Đến nay, WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP .. Sinh viên khởi động Wireshark từ máy tính của mình để bắt đầu điều tra thông tin từ các gói tin khi truy cập các địa chỉ Website thông dụng như Website cung cấp thông tin: vnexpress.net, www.tuoitre.vn..., Website nghe nhạc, xem phim trực tuyến: mp3.zing.vn, nhaccuatui.com …, Website bán hàng trực tuyến: http:www.lazada.vn, nguyenkim.com…. Với mỗi loại Website liệt kê ở trên (Website thông tin, Website nghe nhạc trực tuyến, Website bán hàng online), hãy chọn một Website tương ứng để truy cập. Với mỗi lần truy cập, sinh viên lọc các gói tin gửi đi và gửi tới máy tính của mình, quan sát các gói tin thu được trong Wireshark, tìm hiểu và làm báo cáo về các thông tin sau đây: PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) pHÁP CHỨNG KỸ THUẬT SỐ

Khoa Mạng máy tính và Truyền thông

BÁO CÁO THỰC HÀNH MÔN HỌC: PHÁP CHỨNG KỸ THUẬT SỐ

NT334.H11BÀI THỰC HÀNH 2: PHÁP CHỨNG LƯU LƯỢNG MẠNG VỚI PHẦN MỀM

WIRESHARK Mục tiêu: sinh viên hiểu rõ các tính năng của công cụ phần mềm Wireshark khi tiến hành

điều tra, theo dõi và phân tích các gói tin trên mạng

Thời gian thực hành: 1 buổi

Wireshark là một phần mềm mã nguồn mở cho phép kiểm tra, theo dõi và phân tích thôngtin mạng Phiên bản đầu tiên của Wireshark mang tên Ethereal được phát triển bởiGerald Combs và phát hành năm 1988 Đến nay, WireShark vượt trội về khả năng hỗ trợcác giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP

Nội dung thực hành:

Sinh viên khởi động Wireshark từ máy tính của mình để bắt đầu điều tra thông tin từ cácgói tin khi truy cập các địa chỉ Website thông dụng như Website cung cấp thông tin:vnexpress.net/, www.tuoitre.vn/ , Website nghe nhạc, xem phim trực tuyến:mp3.zing.vn, nhaccuatui.com/ …, Website bán hàng trực tuyến: http://www.lazada.vn/,nguyenkim.com…

Với mỗi loại Website liệt kê ở trên (Website thông tin, Website nghe nhạc trực tuyến,Website bán hàng online), hãy chọn một Website tương ứng để truy cập Với mỗi lần truycập, sinh viên lọc các gói tin gửi đi và gửi tới máy tính của mình, quan sát các gói tin thuđược trong Wireshark, tìm hiểu và làm báo cáo về các thông tin sau đây:

• Cho biết các địa chỉ IP của các máy tính từ xa mà máy tính của sinh viên có liên lạc tới.

• Cho biết các địa chỉ IP và số TCP port sử dụng bởi máy tính của sinh viên đang truyền tải file

• Cho biết có bao nhiêu giao thức được trao đổi thông qua các gói tin

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

• Tìm hiểu xem máy tính có các chương trình thường trú liên kết với các địa chỉ IP

lạ không

• Kiểm tra nội dung các gói tin HTTP, liệt kê các object HTTP được trao đổi giữa client và server

• Nhận xét về các thông tin tìm hiểu được.

Khởi động phần mềm wireshark phiên bản mới nhất

Chọn card mạng muốn bắt các gói tin Sau đó chọn Start

Trường hợp 1: Đối với website thông tin http://www.vnexpress.net

Click vào một tin báo bất kỳ.

1.1. Danh sách các địa chỉ IP ở xa mà máy tính sinh viên có thể liên lạc tới:

Trong giao diện bắt gói tin của wireshark, chọn Statistic | IPv4 | Destionation

Address Tiếp tục, trích xuất những destination IP có source ip là ip hiện tại của

máy tính thì ta sẽ thu được danh sách IP ở xa mà máy tính sinh viên có thể liên lạctới

1.2. Nêu địa chỉ IP và port của máy tính sinh viên thực hiện kết nối:

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

• IP hiện tại của máy tính: 192.168.65.128/24

• Danh sách các TCP port được mở:

Trong menu Wireshark, chọn Statistic | Conversation Phần mềm sẽ tự động liệt

kê danh sách các port được mở trên máy client:

1.3. Liệt kê các giao thức được trao đổi qua các gói tin:

Trong giao diện wireshark, chọn Statistic | Protocol Hierchy:

Các giao thức bao gồm:

• SSL : giao thức hỗ trợ mã hóa các lưu lượng HTTP

• HTTP : giao thức duyệt web thông thường

• OCSP: giao thức kiểm tra tính hợp lệ của certificate trong https

• DNS: giao thức phân giải tên miền

• DHCPv6 : giao thức cấp phát IP động trong IPV6

• ARP: giao thức tìm địa chỉ MAC khi biết địa chỉ IP

• TCP

1.4. Tìm hiểu xem máy tính có các chương trình thường trú liên kết với các địa chỉ IP

lạ không ?

Trước hết, thực hiện phân giải các Destination IP tương ứng thành các tên miền:

Vào menu statistic | Resolved Address.

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Nhận xét : Ta chỉ thực hiện truy cập website http://vnexpress.net, tuy nhiên trong

phần destination IP có chứa khá nhiều tên miền khác nhau => website này chứakhá nhiều liên kết đến các website khác

1.5. Kiểm tra nội dung các gói tin HTTP, liệt kê các object HTTP được trao đổi giữa

client và server

Nội dung của các gói HTTP:

Bao gồm 2 gói cơ bản: gói HTTP Request và HTTP Reply

Phân tích nội dung của gói HTTP Request từ client đến server:

Các thông tin trong gói http request gồm có:

• Phương thức dùng để gửi dữ liệu: GET

• Phiên bản HTTP sử dụng: HTTP/1.1

• Host đang thực hiện truy vấn: vnexpress.vn

• Phiên bản trình duyệt web mà client đang sử dụng: Firefox 54.0.2840

• Những định dạng mã hóa mà client có thể chấp nhận ( Accept-Encoding): gzip ,deflate

• Ngôn ngữ mặc định phía client ( Accept -Language): en-US, , vi-VN, fr-FR

Phân tích nội dung của gói HTTP Reply trả lời từ server về client:

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Các thông tin trong gói http request gồm có:

• Phiên bản sử dụng: HTTP 1.1

• Status Code : 200 OK: truy vấn thành công

• Server: cho biết thông tin về web server

• Date : Thời gian phản hồi http response

• Content-type: text/html chứa thông tin về định dạng nội dung chứa tronghttp header Ở đây chỉ ra là một văn bản html

• Last-Modified: chỉ ra thời gian lần cuối cùng văn bản được chỉnh sửa

• ETag với giá trị là chuỗi số duy nhất cho tất cả các file trên server Nó có thể

là một mã Hash hay Footprint: mỗi file đều có footprint (dấu chân) duy nhất,nếu bạn thay đổi nội dung file (dù chỉ là 1 byte) thì footprint sẽ thay đổi

• Content-Encoding: Thông báo cho client hình thức mã hóa của dữ liệu

• Connection: kiểu kết nối

Danh sách các http object trao đổi giữa client và server:

Http object gồm 2 phần quan trọng: content type và content length

Kết luận: Các HTTP Object mà client thực hiện trao đổi với server bao gồm cácloại Object sau: application/ocsp-request, application/ocsp-response, text/css,application/javascript, application/x-javascript, text/html, image/gif, image/png,

1.6. Nhận xét các thông tin thu thập được:

Công cụ mã nguồn mở wireshark cung cấp cho chúng ta những thông tin hữu íchkhi thực hiện pháp chứng lưu lượng mạng Nhờ công cụ này, chúng ta có thể xácđịnh được rằng trang web http://vnexpress.net có khá nhiều liên kết đến cácwebsite khác Các object trao đổi giữa client và server chủ yếu là dạng text/html

và các hình ảnh jpeg đã được tối ưu để tăng tốc độ load trang web Không pháthiện được những chương trình thường trú trên máy client đang thực hiện truy vấnđến các IP lạ Đây chỉ là một website thông tin thông thường, không hỗ trợ đăngnhập nên toàn bộ được chạy dưới giao thức http, khi sniffing có thể giám sát thôngtin trao đổi giữa client và server

Trường hợp 2: Đối với website nghe nhạc: nhaccuatui.com click vào một bài hát bất kỳ

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

1.1. Danh sách các IP ở xa mà client có thể truy cập tới:

1.2. Nêu địa chỉ IP và danh sách các port mà client thực hiện kết nối đến.

• IP hiện tại của máy tính: 192.168.65.128/24

• Danh sách các TCP port được mở:

1.3 Liệt kê danh sách các giao thức được trao đổi qua gói tin:

Các giao thức này là:

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Nhận xét: Chúng ta chỉ thực hiện truy cập website mp3.zing.vn, tuy nhiên để load được

toàn bộ website này, có sự tham chiếu đến một số website khác

1.5 Kiểm tra nội dung các gói tin HTTP, liệt kê các object HTTP được trao đổi giữa client và server:

Nội dung của các gói HTTP:

Bao gồm 2 gói cơ bản: gói HTTP Request và HTTP Reply

Các thông tin trong gói http request gồm có:

• Phương thức dùng để gửi dữ liệu: GET

• Phiên bản HTTP sử dụng: HTTP/1.1

• Host đang thực hiện truy vấn: nhaccuatui.com

• Phiên bản trình duyệt web mà client đang sử dụng: Chrome 54.0.2840.99

• Những định dạng mã hóa mà client có thể chấp nhận ( Accept-Encoding): gzip ,deflate

• Ngôn ngữ mặc định phía client ( Accept -Language): en-US, en, vi, vi-VN, fr, FR

fr-Phân tích nội dung của gói HTTP Reply trả lời từ server về client:

• Phiên bản HTTP sử dụng: HTTP/1.0

• Mã trạng thái của request: 200 OK

• Date: thời gian phản hồi response

• Set-cookies: Các thông tin liên quan đến việc set cookies trong trình duyệt

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

• Content-type: text/html: Nội dung chứa trong response là các đoạn mã HTML

• Content-Encoding: gzip: hỗ trợ việc mã hóa nội dung bằng việc nén để đảm bảobăng thông và hiệu suất đường truyền

Danh sách các HTTP Object trao đổi giữa client và server:

1.6 Nhận xét các thông tin thu thập được

Công cụ mã nguồn mở wireshark cung cấp cho chúng ta những thông tin hữu ích khi thựchiện pháp chứng lưu lượng mạng Nhờ công cụ này, chúng ta có thể xác định được rằngtrang web http://nhaccuatui.com có khá nhiều liên kết đến các website khác, các objecttrao đổi giữa client và server chủ yếu là các dạng shockwave flash hay các hình ảnh pngchất lượng cao nên tốc độ load trang web có thể hơi chậm hơn một chút Chúng ta pháthiện được mp3 sử dụng CDN cho việc tối ưu hóa performance cũng như chất lượng bàihát cho người dùng Website chủ yếu chạy trên giao thức http, phân tích các gói httprequest/response có thể giám sát được những nội dung trao đổi của client và server Tuynhiên, khi thực hiện đăng nhập thì username/password vẫn được mã hóa dưới giao thứcQUIC, một điểm khá đặc biệt vẫn đảm bảo được tính bảo mật mà không cần toàn bộwebsite chạy dưới giao thức https

Trường hợp 3: Đối với website TMDT lazada.vn vào xem một sản phẩm bất kỳ.

1.1. Danh sách các IP ở xa mà client có thể truy cập tới:

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

1.2. Nêu địa chỉ IP và danh sách các port mà client thực hiện kết nối đến.

• IP hiện tại của máy tính: 192.168.65.128/24

• Danh sách các TCP port được mở:

1.3.Liệt kê danh sách các giao thức được trao đổi qua gói tin

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Website có chứa khá nhiều liên kết đến các website khác, nhưng chủ yếu là quảng cáo

1.5 Kiểm tra nội dung các gói tin HTTP, liệt kê các object HTTP được trao đổi giữa client và server:

Nội dung của các gói HTTP:

Bao gồm 2 gói cơ bản: gói HTTP Request và HTTP Reply

Phân tích nội dung của gói HTTP Request từ client đến server:

Ý nghĩa thông tin các trường trong gói http request:

• Phương thức để lấy thông tin: phương thức GET

• Phiên bản HTTP sử dụng: Phiên bản 1.1

• Host: thông tin máy chủ được gửi yêu cầu đến ( bao gồm đủ cả hai phầndomain name và host name) : www.lazada.vn

• User-Agent: Phiên bản trình duyệt web mà client sử dụng:

• Accept: cho phép chấp nhận những thông tin như text/html,application/xml, application/xhtm + xml

• Accept-Language: cho phép chấp nhận những ngôn ngữ như en-US, en

• Accept-Encoding: cho phép chấp nhận dạng mã hóa thông tin dưới dạnggzip

• Connection: Kiểu kết nối duy trì kết nối ( Keep-Alive)

Phân tích nội dung của gói HTTP Reply:

Ý nghĩa các thông tin trong gói http reply:

• Phiên bản HTTP mà server sử dụng: HTTP/1.1

• Mã trạng thái status code của server phản hồi về: 200 OK thành công

• Server: thông tin về ứng dụng web server mà server đang sử dụng:QRATOR

• Content-Type: Nội dung trả về trong response chủ yếu là các đoạnjavascripts ( application/javascript)

• Cache-control: không có cache

• Date: thời gian hiện tại phản hồi lại response: Tue, 29/11/2016

• Connection: Kiểu kết nối sử dụng là duy trì kết nối ( Keep-Alive)

Danh sách các HTTP Object trao đổi giữa client và server:

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

1.6 Nhận xét các thông tin thu thập được

Công cụ mã nguồn mở wireshark cung cấp cho chúng ta những thông tin hữu ích khi thựchiện pháp chứng lưu lượng mạng Nhờ công cụ này, chúng ta có thể xác định được rằngtrang web http://www.lazada.vn có khá nhiều liên kết đến các website khác, đồng thời

có khá nhiều liên kết quảng cáo khiến người dùng khó chịu Các object trao đổi giữaclient và server chủ yếu là các hình ảnh chất lượng cao, các đoạn javascript( text/javascript), các đoạn mã css ( text/css) Website chủ yếu chạy trên giao thức http,phân tích các gói http request/response có thể giám sát được những nội dung trao đổi củaclient và server Tuy nhiên, khi thực hiện đăng nhập thì username/password vẫn được mãhóa dưới giao thức QUIC, một điểm khá đặc biệt đảm bảo tính bảo mật thông tin màkhông cần toàn bộ website chạy dưới giao thức https

3.Sử dụng Wireshark để xác định truy cập của người dùng

Dùng Wireshark mở file http.pcapng

Yêu cầu:

3.1.Xác định IP của client, IP của các HTTP server.

Trả lời: Do các HTTP Server sử dụng các destionation port 80 nên chúng ta search theo

từ khóa tcp.port eq 80 trên trường Filter của phần mềm wireshark Tuy nhiên, với cách tìm kiếm này, chúng ta chỉ có được những gói tin có port 80 trong trường port, không biết

đó là source port hay destination port Vì thế, để xác định rõ ip của client hay ip của http server, chúng ta dựa thêm vào thông tin port 80 đó là source port hay destination port, có nghĩa là nếu như ip mà có source port là 80 thì chắc chắn src ip là http client, còn dest port là 80 thì dest ip là http server

Để thống kê từng kết nối, chúng ta chọn Statistic | Conversations

Client IP : 192.168.201.110

Http Server IP : 91.228.167.93 ; 192.168.201.101 ; 192.168.20.100

3.2.Người dùng truy cập những server gì?

Trả lời: dựa vào destination port, chúng ta có thể thấy người dùng chủ yếu truy cập vào

http server ( port 80) và một server có port 8080 ( có thể đây là server tự dựng lên)

3.3.Với mỗi server, liệt kê các object HTTP mà người dùng đã truy cập

Để liệt kê danh sách các object mà người dùng truy cập, trên giao diện wireshark, chọnFile | Export Object | HTTP

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Danh sách các object tương ứng với từng server:

3.4.Khôi phục object HTTP có dung lượng lớn nhất.

Trả lời: Dựa vào danh sách http object, ta thấy object có tên là huy có dung lượng lớnnhất 1537 kb)

Để khôi phục lại, chọn object tương ứng và chọn Save

Tiếp tục, xem xét các gói tin có liên quan, chú ý đến phần User Agent:

Từ đó suy ra object này được truyền tải không phải bởi trình duyệt web mà bởi phầnmềm VLC => Sau khi khôi phục lại object này không có phần mở rộng

Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số

Ta thấy file này ở định dạng FLV

Thử mở file vừa lưu bằng Phần mền VLC

Đây là một clip quảng cáo!