Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 65 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
65
Dung lượng
1,47 MB
Nội dung
HỌC PHẦN: PHÂN TÍCH, PHÁT HIỆN XÂM NHẬP TRÁI PHÉP CHƯƠNG III PHÂN TÍCH TRAFFIC Sử dụng Wiresark để thực hành phân tích Một số khái niệm mơ hình truyền thơng TCP/IP Phân tích trường IP-Header Phân tích trường TCP-Header I MƠ H ÌN H T R U Y Ề N T H Ô N G TCP/IP Giới Thiệu: -Để máy máy tính liên lạc với qua mạng, chúng phải sử dụng ngôn ngữ hay gọi giao thức (Protocol) Giao thức hệ luật chuẩn cho phép máy tính mạng liên lạc với -TCP/IP viết tắt Transmission Control Protocol (Giao thức Điều Khiển Truyền Thông) / Internet Protocol (Giao thức Internet) -TCP/IP không gồm giao thức mà thực tế tập hợp nhiều giao thức Chúng ta gọi Hệ Giao Thức hay Bộ Giao Thức (Suite Of Protocols) Ban đầu, TCP/IP dự định dành cho cho Bộ Quốc phòng Mỹ (Departement of Defense - DoD) GIỚI THIỆU Mô Tầng ứng dụng (Application Layer) Tầng giao vận (Transport Layer) Tầng Internet (Internet Layer) Tầng truy cập mạng (Network access Layer) Application Presentation Application Session Transport Transport Network Internet Data link Network Physical access 1/26/2020 hình TCP/IP chia làm tầng: CÁC GIAO THỨC TƯƠNG ỨNG VỚI CÁC TẦNG Application Layer Transport Layer Internet Layer HTTP FTP TELNET SMTP Transsmission Control Protocol DNS User Datagram Protocol ICMP RARP ARP SNMP Internet Protocol Routing Protocols Network access Layer Ethernet Token Ring FDDI SO SÁNH MÔ HÌNH OSI VÀ TCP/IP I MƠ HÌNH TRUYỀN THƠNG TCP/IP Q trình đóng gói truyền liệu mơ hình TCP/IP OSI: - Cả mơ hình TCP/IP OSI hịan tồn tương thích với - Khi máy tính gửi liệu mạng để đến máy khác liệu phải trải qua q trình đóng gói (Encapsulation) - Để truyền tải trao đổi liệu tầng sử dụng Protocol Data Unit Mỗi liệu xuống tầng thêm thơng tin tầng tầng tương ứng phía host nhận liệu đọc thông tin Sau đọc xong thơng tin gỡ bỏ để đưa lên cho tầng phía QU Á T R ÌN H Đ Ĩ N G G Ĩ I V À T R U Y Ề N D Ữ L IỆ U TRONG MƠ HÌNH TCP/IPVÀ OSI CẤU TRÚC GĨI TIN IP CÁC TRƯỜNG IP-HEADER • • • bits Cho biết phiên IP IPv4: 0100; IPv6: 0110 PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Flag Options Mỗi TCP Segment có mục đích điều xác định với trợ giúp TCP Flag Options, cho phép bên gửi bên nhận cờ nên sử dụng để Segment xử lý cách xác phía bên -2 cờ sử dụng bắt tay bước truyền liệu SYN ACK - Ví dụ hình có cờ SYN bật, dựa vào đốn Segment kết nối TCP - Mỗi cờ có độ dài bit có cờ tất nên tổng cộng TCP Flags có độ dài bits PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Flag Options Mỗi TCP Segment có mục đích điều xác định với trợ giúp TCP Flag Options, cho phép bên gửi bên nhận cờ nên sử dụng để Segment xử lý cách xác phía bên - Cờ - Urgent Pointer: xác định liệu đến "khẩn cấp" tức nâng độ ưu tiên Segment, chờ đợi Segment trước xử lý mà gửi trực tiếp xử lý - Cờ ACK sử dụng để xác nhận việc nhận thành cơng gói tin - Cờ PUSH giống cờ Urgent Pointer, tồn để đảm bảo liệu ưu tiên xử lý nơi gửi nơi nhận PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Flag Options Các phương pháp sử dụng để phát cổng đơn giản: cố gắng quét máy chủ, Segment hợp lệ xây dựng với cờ SYN bật gửi đến máy mục tiêu Nếu dịch vụ lắng nghe cổng máy mục tiêu gửi trả lời Segment có cờ ACK RST thiết lập -Cờ Reset (RST) sử dụng Segment đến mà không dự định dùng kết nối thời Nói cách khác, bạn gửi gói tin đến máy chủ để thiết lập kết nối khơng có dịch vụ chờ đợi để trả lời yêu cầu, máy chủ tự động gửi gói tin trả lời với cờ RST bật Điều máy chủ thiết lập lại kết nối Tính sử dụng hầu hết tin tặc để quét cổng máy chủ xem có mở hay khơng? PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Flag Options Một việc truyền liệu hồn tất, máy A gửi gói tin với cờ FIN ACK thiết lập Tại thời điểm này, ứng dụng máy A không nhận liệu đóng kết nối từ bên máy A -Cờ SYNchronisation Như biết, cờ SYN sử dụng để khởi tạo trình bắt tay bước TCP - Cờ FIN, viết tắt từ FINished Cờ xuất gói liệu cuối trao đổi kết nối PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Window Size, Checksum & Urgent Pointer Chúng ta thấy làm để TCP giúp điều khiển liệu truyền Segment, đảm bảo khơng có lỗi Segment cuối cùng, cắm cờ "khẩn cấp" cho liệu để đảm bảo có quyền ưu tiên đến với người nhận Các trường mà chuẩn bị phân tích chiếm tổng cộng khoảng bytes TCP Header PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Window Size, Checksum & Urgent Pointer The Window Flag: Window Size xem trường quan trọng TCP Header Trường sử dụng người nhận để người gửi gửi lượng liệu Bất kể người gửi người nhận ai, trường ln tồn sử dụng Windowing - hình thức điều khiển luồng PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Window Size, Checksum & Urgent Pointer Trong ví dụ, máy A kết nối tới Server qua đường truyền 10 Mbits Chúng ta biết băng thông đường truyền: 10,000,000 bits (10 Mbits), dễ dàng tìm độ trễ cách 'ping' thử từ máy A tới Server mà cho kết hình 10 ms 0.01 s Sau sử dụng thơng tin để tính giá trị Window Size hiệu (WS): WS = 10,000,000 x 0.01 = 100,000 bits (100,000/8)/1024 = 12.5 kbytes Với băng thông 10Mbps độ trễ 0.01s cho Window Size vào khoảng 12 kb 1460 bytes PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Window Size, Checksum & Urgent Pointer Checksum Flag -Trường TCP Checksum tạo để đảm bảo liệu chứa TCP Segment đến đích xác khơng có lỗi - Có thơng tin sử dụng ngồi TCP Header để tính tốn Checksum bao gồm phần IP Header Mẩu thông tin thêm vào gọi Header "giả" (Pseudo Header) PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Window Size, Checksum & Urgent Pointer Pseudo Header (Header "giả") -Header "giả" kết hợp trường khác nhau, sử dụng trình tính tốn Checksum - Điều quan trọng cần lưu ý Header giả không truyền cho người nhận, đơn giản tham gia vào việc tính tốn Checksum PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Window Size, Checksum & Urgent Pointer The Urgent Pointer -Cờ Urgent Pointer TCP Flag cho phép đánh dấu Segment liệu khẩn cấp, - Cịn trường Urgent Pointer xác định xác nơi mà liệu khẩn cấp kết thúc PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Header Options TCP Options -Nằm cuối Header trước phần liệu - TCP Options chiếm khơng gian cuối TCP Header độ dài bội số bits - TCP Options vào phân tích: + Maximum Segment Size (MSS) + Window Scaling + Selective Acknowledgements (SACK) + Time Stamps + Nop PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Header Options Maximum Segment Size (MSS) - Được sử dụng để xác định Segment lớn sử dụng suốt trình kết nối máy - Vì vậy, bạn nhìn thấy Option sử dụng pha SYN SYN/ACK trình bắt tay bước MSS chiếm bytes (32 bits) chiều dài PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Header Options Window Scaling - Chúng ta biết cờ Window Size, Window Scaling, chất thực extension cờ Window Size Bởi giá trị lớn cờ Window Size 65.535 bytes (64 kb) - Window Scaling Option có kích thước tối đa 30 bits, bao gồm 16 bits trường Window Size Bởi vậy, 16 (Original Window Field) + 14 (TCP Option 'Window Scaling') = 30 bits - Ví dụ: sử dụng Window Size ta thấy từ Time = Time = 6, máy A ngồi chờ đợi PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Header Options Window Scaling - Như bạn thấy, với việc sử dụng Window Scaling, Window Size tăng lên 256 kb Vì giá trị lớn, máy B nhận gói đầu tiên, máy A gửi Window cho máy B -Tại thời điểm Time = 2, máy B gửi báo nhận đến máy A, máy A bận rộn với việc chuyển liệu Máy A nhận báo nhận trước hồn thành xong việc chuyển hết Window có kích thước 256 kbs tiếp tục gửi liệu mà khơng cần tạm dừng sớm nhận báo nhận từ máy B PHÂN TÍCH CẤU TRÚC TCP HEADER Phân tích TCP Data TCP Data Khi gói tin đến với người nhận, trình mở gói cần thiết để loại bỏ phần đóng gói thêm vào qua lớp mơ hình OSI Dữ liệu đưa cho ứng dụng chờ đợi Như vậy, gói tin nhận đầy đủ card mạng, trao cho lớp (Data Link), sau thực kiểm tra lỗi gói tin, loại bỏ thành phần liên quan đến lớp (Data Link), có nghĩa khối màu vàng loại bỏ Phần cịn lại IP Header, TCP Header, liệu, gọi phần IP Datagram, đưa qua lớp mơ hình OSI (Network) nơi kiểm tra khác thực không phát lỗi, IP Header bị tước bỏ phần lại (bây gọi Segment) đưa lên lớp thứ mơ hình OSI Giao thức TCP chấp nhận Segment thực kiểm tra lỗi Segment Giả sử khơng tìm thấy lỗi, TCP Header gỡ bỏ đưa lên lớp để đến với ứng dụng chờ ...CHƯƠNG III PHÂN TÍCH TRAFFIC Sử dụng Wiresark để thực hành phân tích Một số khái niệm mơ hình truyền thơng TCP/ IP Phân tích trường IP- Header Phân tích trường TCP- Header I MƠ H ÌN... OSI VÀ TCP/ IP I MƠ HÌNH TRUYỀN THƠNG TCP/ IP Q trình đóng gói truyền liệu mơ hình TCP/ IP OSI: - Cả mơ hình TCP/ IP OSI hịan tồn tương thích với - Khi máy tính gửi liệu mạng để đến máy khác liệu phải... TCP Header + Data (dữ liệu thuộc tầng trên: 5,6,7) PHÂN TÍCH TCP HEADER/SEGMENT Hình minh họa lấy từ việc bắt gói tin, cho thấy phần liệu thuộc TCP Header: PHÂN TÍCH CẤU TRÚC TCP HEADER Section