PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) Mục tiêu: sinh viên hiểu rõ các tính năng của công cụ phần mềm Wireshark khi tiến hành điều tra, theo dõi và phân tích các gói tin trên mạng. Thời gian thực hành: 1 buổi Wireshark là một phần mềm mã nguồn mở cho phép kiểm tra, theo dõi và phân tích thông tin mạng. Phiên bản đầu tiên của Wireshark mang tên Ethereal được phát triển bởi Gerald Combs và phát hành năm 1988. Đến nay, WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP .. Sinh viên khởi động Wireshark từ máy tính của mình để bắt đầu điều tra thông tin từ các gói tin khi truy cập các địa chỉ Website thông dụng như Website cung cấp thông tin: vnexpress.net, www.tuoitre.vn..., Website nghe nhạc, xem phim trực tuyến: mp3.zing.vn, nhaccuatui.com …, Website bán hàng trực tuyến: http:www.lazada.vn, nguyenkim.com…. Với mỗi loại Website liệt kê ở trên (Website thông tin, Website nghe nhạc trực tuyến, Website bán hàng online), hãy chọn một Website tương ứng để truy cập. Với mỗi lần truy cập, sinh viên lọc các gói tin gửi đi và gửi tới máy tính của mình, quan sát các gói tin thu được trong Wireshark, tìm hiểu và làm báo cáo về các thông tin sau đây: PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN) pHÁP CHỨNG KỸ THUẬT SỐ
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Khoa Mạng máy tính Truyền thơng BÁO CÁO THỰC HÀNH MÔN HỌC: PHÁP CHỨNG KỸ THUẬT SỐ NT334.H11 BÀI THỰC HÀNH 2: PHÁP CHỨNG LƯU LƯỢNG MẠNG VỚI PHẦN MỀM WIRESHARK Mục tiêu: sinh viên hiểu rõ tính công cụ phần mềm Wireshark tiến hành điều tra, theo dõi phân tích gói tin mạng Thời gian thực hành: buổi Wireshark phần mềm mã nguồn mở cho phép kiểm tra, theo dõi phân tích thơng tin mạng Phiên Wireshark mang tên Ethereal phát triển Gerald Combs phát hành năm 1988 Đến nay, WireShark vượt trội khả hỗ trợ giao thức (khoảng 850 loại), từ loại phổ biến TCP, IP Nội dung thực hành: Sinh viên khởi động Wireshark từ máy tính để bắt đầu điều tra thơng tin từ gói tin truy cập địa Website thông dụng Website cung cấp thông tin: vnexpress.net/, www.tuoitre.vn/ , Website nghe nhạc, xem phim trực tuyến: mp3.zing.vn, nhaccuatui.com/ …, Website bán hàng trực tuyến: http://www.lazada.vn/, nguyenkim.com… Với loại Website liệt kê (Website thông tin, Website nghe nhạc trực tuyến, Website bán hàng online), chọn Website tương ứng để truy cập Với lần truy cập, sinh viên lọc gói tin gửi gửi tới máy tính mình, quan sát gói tin thu Wireshark, tìm hiểu làm báo cáo thơng tin sau đây: Cho biết địa IP máy tính từ xa mà máy tính sinh viên có liên lạc tới • Cho biết địa IP số TCP port sử dụng máy tính sinh viên truyền tải file • Cho biết có giao thức trao đổi thơng qua gói tin • 1|Page GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Tìm hiểu xem máy tính có chương trình thường trú liên kết với địa IP lạ không • Kiểm tra nội dung gói tin HTTP, liệt kê object HTTP trao đổi client server • Nhận xét thơng tin tìm hiểu • Khởi động phần mềm wireshark phiên Chọn card mạng muốn bắt gói tin Sau chọn Start Trường hợp 1: Đối với website thơng tin http://www.vnexpress.net Click vào tin báo 2|Page GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số 1.1 Danh sách địa IP xa mà máy tính sinh viên liên lạc tới: Trong giao diện bắt gói tin wireshark, chọn Statistic | IPv4 | Destionation Address Tiếp tục, trích xuất destination IP có source ip ip máy tính ta thu danh sách IP xa mà máy tính sinh viên liên lạc tới 1.2 Nêu địa IP port máy tính sinh viên thực kết nối: 3|Page GVHD: Ths Trần Thị Dung Báo cáo thực hành mơn Pháp Chứng Kỹ Thuật Số • • 1.3 IP máy tính: 192.168.65.128/24 Danh sách TCP port mở: Trong menu Wireshark, chọn Statistic | Conversation Phần mềm tự động liệt kê danh sách port mở máy client: Liệt kê giao thức trao đổi qua gói tin: Trong giao diện wireshark, chọn Statistic | Protocol Hierchy: 4|Page GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Các giao thức bao gồm: • • • • • • • • 1.4 SSL : giao thức hỗ trợ mã hóa lưu lượng HTTP HTTP : giao thức duyệt web thông thường OCSP: giao thức kiểm tra tính hợp lệ certificate https DNS: giao thức phân giải tên miền DHCPv6 : giao thức cấp phát IP động IPV6 ARP: giao thức tìm địa MAC biết địa IP TCP UDP Tìm hiểu xem máy tính có chương trình thường trú liên kết với địa IP lạ không ? Trước hết, thực phân giải Destination IP tương ứng thành tên miền: Vào menu statistic | Resolved Address 5|Page GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số 1.5 Nhận xét : Ta thực truy cập website http://vnexpress.net, nhiên phần destination IP có chứa nhiều tên miền khác => website chứa nhiều liên kết đến website khác Kiểm tra nội dung gói tin HTTP, liệt kê object HTTP trao đổi client server Nội dung gói HTTP: Bao gồm gói bản: gói HTTP Request HTTP Reply Phân tích nội dung gói HTTP Request từ client đến server: 6|Page GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Các thơng tin gói http request gồm có: Phương thức dùng để gửi liệu: GET Phiên HTTP sử dụng: HTTP/1.1 Host thực truy vấn: vnexpress.vn Phiên trình duyệt web mà client sử dụng: Firefox 54.0.2840 Những định dạng mã hóa mà client chấp nhận ( Accept-Encoding): gzip , deflate • Ngơn ngữ mặc định phía client ( Accept -Language): en-US, , vi-VN, fr-FR • • • • • Phân tích nội dung gói HTTP Reply trả lời từ server client: 7|Page GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Các thơng tin gói http request gồm có: • • • • • • • • • Phiên sử dụng: HTTP 1.1 Status Code : 200 OK: truy vấn thành công Server: cho biết thông tin web server Date : Thời gian phản hồi http response Content-type: text/html chứa thông tin định dạng nội dung chứa http header Ở văn html Last-Modified: thời gian lần cuối văn chỉnh sửa ETag với giá trị chuỗi số cho tất file server Nó mã Hash hay Footprint: file có footprint (dấu chân) nhất, bạn thay đổi nội dung file (dù byte) footprint thay đổi Content-Encoding: Thơng báo cho client hình thức mã hóa liệu Connection: kiểu kết nối Danh sách http object trao đổi client server: 8|Page GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Http object gồm phần quan trọng: content type content length Kết luận: Các HTTP Object mà client thực trao đổi với server bao gồm loại Object sau: application/ocsp-request, application/ocsp-response, text/css, application/javascript, application/x-javascript, text/html, image/gif, image/png, 1.6 Nhận xét thông tin thu thập được: Công cụ mã nguồn mở wireshark cung cấp cho thơng tin hữu ích thực pháp chứng lưu lượng mạng Nhờ cơng cụ này, xác định trang web http://vnexpress.net có nhiều liên kết đến website khác Các object trao đổi client server chủ yếu dạng text/html hình ảnh jpeg tối ưu để tăng tốc độ load trang web Không phát chương trình thường trú máy client thực truy vấn đến IP lạ Đây website thông tin thông thường, không hỗ trợ đăng nhập nên toàn chạy giao thức http, sniffing giám sát thơng tin trao đổi client server Trường hợp 2: Đối với website nghe nhạc: nhaccuatui.com click vào hát 9|Page GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số 1.1 Danh sách IP xa mà client truy cập tới: 1.2 Nêu địa IP danh sách port mà client thực kết nối đến 10 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành mơn Pháp Chứng Kỹ Thuật Số • • IP máy tính: 192.168.65.128/24 Danh sách TCP port mở: 1.3 Liệt kê danh sách giao thức trao đổi qua gói tin: Các giao thức là: 11 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số • • • • SSL HTTP QUIC DNS 1.4 Tìm hiểu xem máy tính có chương trình thường trú liên kết với địa IP lạ không Nhận xét: Chúng ta thực truy cập website mp3.zing.vn, nhiên để load toàn website này, có tham chiếu đến số website khác 1.5 Kiểm tra nội dung gói tin HTTP, liệt kê object HTTP trao đổi client server: Nội dung gói HTTP: Bao gồm gói bản: gói HTTP Request HTTP Reply 12 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Các thơng tin gói http request gồm có: Phương thức dùng để gửi liệu: GET Phiên HTTP sử dụng: HTTP/1.1 Host thực truy vấn: nhaccuatui.com Phiên trình duyệt web mà client sử dụng: Chrome 54.0.2840.99 Những định dạng mã hóa mà client chấp nhận ( Accept-Encoding): gzip , deflate • Ngơn ngữ mặc định phía client ( Accept -Language): en-US, en, vi, vi-VN, fr, frFR • • • • • Phân tích nội dung gói HTTP Reply trả lời từ server client: • • • • Phiên HTTP sử dụng: HTTP/1.0 Mã trạng thái request: 200 OK Date: thời gian phản hồi response Set-cookies: Các thơng tin liên quan đến việc set cookies trình duyệt 13 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số • • Content-type: text/html: Nội dung chứa response đoạn mã HTML Content-Encoding: gzip: hỗ trợ việc mã hóa nội dung việc nén để đảm bảo băng thông hiệu suất đường truyền Danh sách HTTP Object trao đổi client server: 1.6 Nhận xét thông tin thu thập Công cụ mã nguồn mở wireshark cung cấp cho thơng tin hữu ích thực pháp chứng lưu lượng mạng Nhờ cơng cụ này, xác định trang web http://nhaccuatui.com có nhiều liên kết đến website khác, object trao đổi client server chủ yếu dạng shockwave flash hay hình ảnh png chất lượng cao nên tốc độ load trang web chậm chút Chúng ta phát mp3 sử dụng CDN cho việc tối ưu hóa performance chất lượng hát cho người dùng Website chủ yếu chạy giao thức http, phân tích gói http request/response giám sát nội dung trao đổi client server Tuy nhiên, thực đăng nhập username/password mã hóa giao thức QUIC, điểm đặc biệt đảm bảo tính bảo mật mà khơng cần tồn website chạy giao thức https Trường hợp 3: Đối với website TMDT lazada.vn vào xem sản phẩm 14 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số 1.1 Danh sách IP xa mà client truy cập tới: 15 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số 1.2 Nêu địa IP danh sách port mà client thực kết nối đến • IP máy tính: 192.168.65.128/24 • Danh sách TCP port mở: 1.3.Liệt kê danh sách giao thức trao đổi qua gói tin 16 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số • • • • • • • OSCP DNS ICMP ARP QUIC SSL HTTP 1.4 Tìm hiểu xem máy tính có chương trình thường trú liên kết với địa IP lạ không 17 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành mơn Pháp Chứng Kỹ Thuật Số Website có chứa nhiều liên kết đến website khác, chủ yếu quảng cáo 1.5 Kiểm tra nội dung gói tin HTTP, liệt kê object HTTP trao đổi client server: Nội dung gói HTTP: Bao gồm gói bản: gói HTTP Request HTTP Reply Phân tích nội dung gói HTTP Request từ client đến server: Ý nghĩa thông tin trường gói http request: 18 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành mơn Pháp Chứng Kỹ Thuật Số • • • • • • • • Phương thức để lấy thông tin: phương thức GET Phiên HTTP sử dụng: Phiên 1.1 Host: thông tin máy chủ gửi yêu cầu đến ( bao gồm đủ hai phần domain name host name) : www.lazada.vn User-Agent: Phiên trình duyệt web mà client sử dụng: Accept: cho phép chấp nhận thông tin text/html, application/xml, application/xhtm + xml Accept-Language: cho phép chấp nhận ngôn ngữ en-US, en Accept-Encoding: cho phép chấp nhận dạng mã hóa thơng tin dạng gzip Connection: Kiểu kết nối trì kết nối ( Keep-Alive) Phân tích nội dung gói HTTP Reply: Ý nghĩa thơng tin gói http reply: • • • • • • • Phiên HTTP mà server sử dụng: HTTP/1.1 Mã trạng thái status code server phản hồi về: 200 OK thành công Server: thông tin ứng dụng web server mà server sử dụng: QRATOR Content-Type: Nội dung trả response chủ yếu đoạn javascripts ( application/javascript) Cache-control: khơng có cache Date: thời gian phản hồi lại response: Tue, 29/11/2016 Connection: Kiểu kết nối sử dụng trì kết nối ( Keep-Alive) Danh sách HTTP Object trao đổi client server: 19 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số 1.6 Nhận xét thông tin thu thập Công cụ mã nguồn mở wireshark cung cấp cho thơng tin hữu ích thực pháp chứng lưu lượng mạng Nhờ cơng cụ này, xác định trang web http://www.lazada.vn có nhiều liên kết đến website khác, đồng thời có nhiều liên kết quảng cáo khiến người dùng khó chịu Các object trao đổi client server chủ yếu hình ảnh chất lượng cao, đoạn javascript ( text/javascript), đoạn mã css ( text/css) Website chủ yếu chạy giao thức http, phân tích gói http request/response giám sát nội dung trao đổi client server Tuy nhiên, thực đăng nhập username/password mã hóa giao thức QUIC, điểm đặc biệt đảm bảo tính bảo mật thơng tin mà khơng cần tồn website chạy giao thức https 3.Sử dụng Wireshark để xác định truy cập người dùng Dùng Wireshark mở file http.pcapng Yêu cầu: 3.1.Xác định IP client, IP HTTP server Trả lời: Do HTTP Server sử dụng destionation port 80 nên search theo từ khóa tcp.port eq 80 trường Filter phần mềm wireshark Tuy nhiên, với cách tìm kiếm này, có gói tin có port 80 trường port, 20 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành mơn Pháp Chứng Kỹ Thuật Số source port hay destination port Vì thế, để xác định rõ ip client hay ip http server, dựa thêm vào thơng tin port 80 source port hay destination port, có nghĩa ip mà có source port 80 chắn src ip http client, dest port 80 dest ip http server Để thống kê kết nối, chọn Statistic | Conversations Client IP : 192.168.201.110 Http Server IP : 91.228.167.93 ; 192.168.201.101 ; 192.168.20.100 3.2.Người dùng truy cập server gì? Trả lời: dựa vào destination port, thấy người dùng chủ yếu truy cập vào http server ( port 80) server có port 8080 ( server tự dựng lên) 3.3.Với server, liệt kê object HTTP mà người dùng truy cập Để liệt kê danh sách object mà người dùng truy cập, giao diện wireshark, chọn File | Export Object | HTTP 21 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Danh sách object tương ứng với server: Server IP ts.eset.com 192.168.20.100 192.168.201.101 Size 2192 bytes 2850 bytes 55 bytes … 515 bytes 1219 bytes 1873 bytes 131 kbyte 63 kb 1537 kb Object Chsquery.php SimpleAuth.asmx SimpleAuth.asmx Client.asmx Client.asmx Client.asmx huy 3.4.Khơi phục object HTTP có dung lượng lớn Trả lời: Dựa vào danh sách http object, ta thấy object có tên huy có dung lượng lớn 1537 kb) Để khôi phục lại, chọn object tương ứng chọn Save 22 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Tiếp tục, xem xét gói tin có liên quan, ý đến phần User Agent: Từ suy object truyền tải khơng phải trình duyệt web mà phần mềm VLC => Sau khôi phục lại object khơng có phần mở rộng 23 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Ta thấy file định dạng FLV Thử mở file vừa lưu Phần mền VLC 24 | P a g e GVHD: Ths Trần Thị Dung Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số Đây clip quảng cáo! 25 | P a g e GVHD: Ths Trần Thị Dung ... chấp nhận ( Accept-Encoding): gzip , deflate • Ngơn ngữ mặc định phía client ( Accept -Language): en-US, en, vi, vi-VN, fr, frFR • • • • • Phân tích nội dung gói HTTP Reply trả lời từ server client:... khác, chủ yếu quảng cáo 1.5 Kiểm tra nội dung gói tin HTTP, liệt kê object HTTP trao đổi client server: Nội dung gói HTTP: Bao gồm gói bản: gói HTTP Request HTTP Reply Phân tích nội dung gói. .. application/x-javascript, text/html, image/gif, image/png, 1.6 Nhận xét thông tin thu thập được: Công cụ mã nguồn mở wireshark cung cấp cho thơng tin hữu ích thực pháp chứng lưu lượng mạng Nhờ cơng cụ này, xác định