Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 16 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
16
Dung lượng
1,02 MB
Nội dung
Console CTT105 – Mạng Máy Tính TÌM HIỂU CƠNG CỤ BẮT GÓI TIN WIRESHARK I Mục tiêu : Bài hướng dẫn giúp sinh viên có thể: Sử dụng cơng cụ bắt gói tin Wireshark Biết cấu trúc gói tin số giao thức mạng máy tính II Wireshark II.1.Giới thiệu Wireshark phần mềm mã nguồn mở dùng để bắt phân tích gói tin lưu thơng qua card mạng máy tính Phần mềm sử dụng nhiều tảng khác Linux, windows, Mac OS X, Solaris … Tên nguyên phần mềm Wireshark Ethereal, vào tháng năm 2006 dự án chuyển tên thành Wireshark Phần mềm Wireshark giúp : Người quản trị hệ thống phân tích sửa chữa hệ thống Người phát triển chương trình xây dựng ứng dụng Sinh viên tìm hiểu hoạt động giao thức mạng Các tính Wireshark gồm : Bắt gói tin qua card mạng Liệt kê cách chi tiết gói tin bắt Lưu trữ mở lại thông tin bắt dạng file Tiến hành lọc gói tin bắt nhiều tiêu chuẩn khác Tạo biểu đồ thống kê gói tin qua card mạng Và nhiều tính khác Bộ mơn MMT&VT | Khoa CNTT | ĐH KHTN TP HCM | Tháng 9/2012 SinhVienZone.com https://fb.com/sinhvienzonevn Trang CTT105 – Mạng Máy Tính Console II.2.Cách cài đặt Gói cài đặt download http://www.wireshark.org Cài đặt từ file vừa download Trên windows trình diễn tự động gồm bước a Cài đặt thư viện WinPcap thư viện windows cung cấp chức bắt gói tin card mạng b Cài đặt phần mềm wireshark hoạt động dựa thư viện II.3.Cách bắt gói tin thơng qua card mạng Khởi động chương trình Wireshark Lưu ý wireshark khơng bắt hết gói tin máy mà bắt gói tin thơng qua card mạng chọn, nên ta phải chọn card mạng muốn lắng nghe Chọn Menu Capture Interface hay phím tắt Ctr+I : Ở liệt kê tất card mạng mà máy tính có, ta chọn card mạng muốn lắng nghe khởi động trình Capture Thử ping 8.8.8.8 ta nhận kết bắt gói tin sau : Bộ mơn MMT&VT | Khoa CNTT | ĐH KHTN TP HCM | Tháng 9/2012 SinhVienZone.com https://fb.com/sinhvienzonevn Trang Console CTT105 – Mạng Máy Tính Menu Lệnh Danh sách gói tin Thơng tin gói tin theo cấu trúc giao thức Thơng tin gói tin dạng byte Sau thu thập đủ liệu cần, ta dừng trình lắng nghe card mạng cách vào menu Capture Stop II.4.Lọc gói tin sau Capture Trong q trình làm việc thực tế thường có nhiều loại gói tin khác thơng qua card mạng mà ta khó kiểm sốt hết Trong ta thường muốn tiến hành thu thập liệu phân tích số loại gói tin định Chính Wireshark cung cấp cho người dùng khả lọc gói tin theo tiêu chí cụ thể Wireshark cung cấp cho người dùng phương pháp để lọc gói tin vào thời điểm khác q trình bắt gói tin Tuy nhiên, thời điểm lọc gói tin khác Bộ mơn MMT&VT | Khoa CNTT | ĐH KHTN TP HCM | Tháng 9/2012 SinhVienZone.com https://fb.com/sinhvienzonevn Trang CTT105 – Mạng Máy Tính Console thành phần khác đứng lọc gói tin WinPCap chương trình Wireshark nên ta thấy khác ngôn ngữ mô tả chức Sau ta tìm hiểu phương pháp II.4.1 Lọc gói tin bắt: Khi mở hộp thoại chọn card mạng, thay bấm Start để bắt đầu, ta tiên nhấn nút Options để tùy khởi động việc tùy chọn cho việc bắt gói tin Hộp thoại Capture Options : Bộ môn MMT&VT | Khoa CNTT | ĐH KHTN TP HCM | Tháng 9/2012 SinhVienZone.com https://fb.com/sinhvienzonevn Trang Console CTT105 – Mạng Máy Tính Hộp thoại cho phép ta tùy chỉnh nhiều tính q trình bắt gói tin chức lọc gói tin, chức hiển thị gói, chức lưu trữ gói tin chức hẹn tắt chương trình Ở quan tâm đến chức lọc gói tin bắt Việc lọc gói tin bắt thực theo mô tả mà người dùng đánh vào mục capture Filter Các gói tin lọc theo tiêu chí mơ tả gói tin thỏa tiêu chí lưu lại để xem xét Phương pháp mơ tả gói tin : Vì việc bắt gói tin phần thực hỗi trợ thư viện WinPcap, nên ngôn ngữ mô tả sử dụng ngơn ngữ mơ tả WinPcap Bạn tìm thấy nhiều ví dụ http://wiki.wireshark.org/CaptureFilters Sau trình bày cách khái qt phương pháp mơ tả Bộ môn MMT&VT | Khoa CNTT | ĐH KHTN TP HCM | Tháng 9/2012 SinhVienZone.com https://fb.com/sinhvienzonevn Trang Console CTT105 – Mạng Máy Tính Câu lệnh mơ tả kết hợp nhiều câu lênh mô tả nối với [and|or], ta phủ định câu lênh mô tả cách đặt chữ not trước [not] Mơ Tả [and|or] [not] Mơ Tả … Ví dụ : +Lọc gói tin Telnet (port 23) từ máy chủ 10.0.0.5 tcp port 23 and host 10.0.0.5 Các mô tả thành phần mô tả sau : [src|dst] host Là thành phần cho phép bạn lọc gói tin theo địa IP hay theo tên nguồn hay đích Bạn rõ địa nguồn hay đích cách đặt tham số phụ đầu src|dst Nếu trường không ra, mặc định gói tin có địa nguồn hay đích phù hợp điều kiện nhận ether [src|dst] host Thành phần cho phép bạn filter địa Ethernet nguồn hay đích Tương tự thành phần bạn rõ loại địa mà bạn quan tâm tham số phụ [src|dst] [src|dst] net [{mask }|{len }] Thành phần cho phép bạn tiến hành lọc gói tin theo địa network gói tin Bạn thêm thành phần phụ src|dst vào để nhấn mạnh bạn quan tâm đến địa nguồn hay đích Nếu khơng thêm trường vào gói tin có địa nguồn đích thỏa yêu cầu lưu lại [tcp|udp] [src|dst] port Bộ môn MMT&VT | Khoa CNTT | ĐH KHTN TP HCM | Tháng 9/2012 SinhVienZone.com https://fb.com/sinhvienzonevn Trang CTT105 – Mạng Máy Tính Console Cho phép bạn lọc gói tin theo TCP UDP port Bạn thêm tham số src|dst tcp|udp cho phép bạn nhấn mạnh quan tâm đến địa port nguồn hay đích, UDP hay TCP Chú ý từ tcp|udp phải xuất trước src|dst Nếu tham số khơng sử dụng, gói tin lựa chọn giao thức TCP UDP mà địa port gói tin thỏa mãn điều kiện đề less|greater Thành phần cho phép bạn lọc gói tin có chiều dài nhỏ hơn, hay lớn độ dài cho trước ip|ether proto Thành phần cho phép bạn lọc gói tin số giao thức định tầng Ethernet hay tầng IP ether|ip broadcast|multicast Cho phép bạn tiến hành lọc gói tin tầng Ethernet hay IP với broadcasts or multicasts relop Cho phép bạn tạo điều kiện lọc gói tin phức tạp cách nhấn mạnh cách byte hay khoảng bytes gói tin Tham khảo chi tiết http://www.tcpdump.org/tcpdump_man.html II.4.2 Lọc gói tin sau bắt: Wireshark cung cấp cách lọc gói tin khác sau bắt lưu trữ cách hiệu đơn giản Ngôn ngữ mô tả Wireshark xây dựng cách đơn giản cho phép bạn tạo điều kiện lọc gói tin xác hiệu Bạn so sánh giá trị trường gói tin thông qua biểu thức cách trực quan Bạn tiến hành lọc gói tin theo : Bộ môn MMT&VT | Khoa CNTT | ĐH KHTN TP HCM | Tháng 9/2012 SinhVienZone.com https://fb.com/sinhvienzonevn Trang Console CTT105 – Mạng Máy Tính Loại giao thức Sự xuất trường Giá trị trường Và nhiều giá trị khác VD : Ta tiến hành lọc gói tin DNS từ gói tin bắt cách nhập chữ DNS vào trường Filter cửa sổ hiển thị : Để xây dựng tốt miêu tả lọc gói tin bạn nên tham khảo chi tiết http://wiki.wireshark.org/DisplayFilters Sau trình bày cách sơ lược cách xây dựng biểu thức lọc gói tin Phương pháp mơ tả gói tin : Mọi trường khung thơng tin Packet mà Wireshark thể sử dụng Filter Ví dụ : Filter tcp Wireshark tiến hành lọc gói tin có trường Bộ mơn MMT&VT | Khoa CNTT | ĐH KHTN TP HCM | Tháng 9/2012 SinhVienZone.com https://fb.com/sinhvienzonevn Trang Console CTT105 – Mạng Máy Tính Một bảng danh sách đầy đủ trường tiến hành lọc thể Menu Internals Supported Protocals Tiến hành so sánh trường : Ta tiến hành so sánh trường gói tin theo giá trị cụ thể Bạn sử dụng từ viết tắt cho tiếng anh hay sử dụng phép so sánh ngôn ngữ C để thể việc so sánh Bảng phép so sánh có giá trị liệt kê bên dưới: Bộ môn MMT&VT | Khoa CNTT | ĐH KHTN TP HCM | Tháng 9/2012 SinhVienZone.com https://fb.com/sinhvienzonevn Trang CTT105 – Mạng Máy Tính Console English Định nghĩa ví dụ C Bằng == Eq ip.src==10.0.0.5 Khác != Ne ip.src!=10.0.0.5 Lớn > Gt frame.len > 10 Bé < Lt frame.len < 128 Lớn hay >= Ge frame.len ge 0x100 Bé hay