BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐỒN BƯU CHÍNH VIỄN THƠNG VIỆT NAM HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN THÀNH NHÂN ĐỀ XUẤT GIẢI PHÁP GIÁM SÁT MẠNG VỚI MÃ NGUỒN MỞ WINPCAP CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ : 60.48.15 LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TSKH HOÀNG ĐĂNG HẢI HÀ NỘI - 2010 20 - Đề xuất giải pháp giám sát mạng với Winpcap Trong phần này, đưa mơ hình kiến trúc hệ thống giám sát mạng, giải pháp giám sát mạng LAN sử dụng Winpcap kết thử nghiệm với phần mềm nguồn mở Windump, Wireshark sử dụng thư viện phần mềm nguồn mở Winpcap Hiện nay, công cụ phần mềm mã nguồn mở có nhiều mạng Có thể sử dụng công cụ phần mềm mã nguồn mở để phát triển tiếp phần mềm tương tự Windump Wireshark…, tích hợp chúng vào hệ thống giám sát mạng Làm điều này, ta làm chủ công nghệ, tránh phải lệ thuộc vào nước ngồi đảm bảo tính an ninh sản phẩm bảo mật đặc thù Việt Nam Việc nghiên cứu tiếp tục tìm hiểu cơng cụ phần mềm mã nguồn mở khả ứng dụng phát triển phần mềm chúng hướng phát triển khả thi CHƯƠNG TỔNG QUAN VỀ GIÁM SÁT MẠNG MÁY TÍNH 1.1 Nhu cầu giám sát mạng máy tính Việc nghiên cứu giám sát lưu lượng mạng máy tính trở nên quan trọng cấp thiết mà lưu lượng mạng phát triển theo hàm số mũ Những thông tin số liệu thu qua giám sát mạng trợ giúp đắc lực cho công tác: - Quy hoạch mạng, tối ưu lưu lượng - Quản lý sử dụng hiệu tài nguyên mạng - Đảm bảo chất lượng dịch vụ (QoS – Quality of Service) thích hợp cho tất ứng dụng - Đảm bảo an toàn an ninh mạng 1.2 Những mục tiêu việc giám sát mạng máy tính - Nghiên cứu cấu trúc mạng, phục vụ cho việc quy hoạch mạng tối ưu mạng - Cung cấp chất lượng dịch vụ (Quality of Service – QoS) phù hợp cho ứng dụng - Phát yếu tố bất thường ảnh hưởng đến an ninh mạng 1.3 Giám sát an ninh mạng máy tính Những yêu cầu thực tế giám sát an ninh cụ thể sau: - Cung cấp thông tin trạng thái mạng - Cảnh báo dấu hiệu công - Bảo vệ liệu, tài nguyên mạng - Bảo vệ uy tín đơn vị 1.4 Các đặc trưng lưu lượng mạng máy tính 1.4.1 Các tập lưu lượng điển hình đặc tính 1) Lưu lượng luồng có kiểm sốt Lưu lượng có yêu cầu chặt chẽ thông số liên quan đến trễ 19 đầu - cuối trễ jitter, tỉ lệ gói… Các gói tin thường đến từ ứng dụng truyền có tín hiệu âm hình ảnh, truyền với yêu cầu đảm bảo chất lượng dịch vụ khắt khe 2) Lưu lượng luồng gói tin có yêu cầu mềm dẻo thông số lưu lượng 1.4.2 Các thông số điển hình lưu lượng mạng máy tính 1) Những thơng số đặc tính mẫu lưu lượng mạng máy tính: + Dữ liệu thu thập bao gồm: Tốc độ gói tin đến, Thời gian chuyển tiếp gói, Phân phối độ dài gói, Thời gian sống đường truyền + Dữ liệu thống kê thu thập bao gồm: Giá trị trung bình, Giá trị đỉnh, Giá trị đột biến (tiêu chuẩn độ lệch), Tính tự tương quan (thông số Hurst H) liệu lưu lượng 2) Các thơng số thể đặc tính mạng: + Khả sử dụng thông lượng + Sự thụ động (chỉ khả chiếm giữ liên kết) + Khả dự báo trước (chỉ ổn định bền vững liên kết) + Khả đáp ứng thay đổi lưu lượng IP + Độ ổn định định tuyến + Độ tin cậy (khả định vị xác số lưu lượng bất thường khoá chúng lại) 3) Các thơng số thể đặc tính QoS liên kết: + Trễ đầu - cuối + Trễ jitter + Tỷ lệ gói + Thời gian (RTT - Round Trip Time) 3.5.2 Thử nghiệm Wireshark WireShark phần mềm bắt phân tích gói tin, có giao diện đồ họa nên dễ sử dụng Bản thân Wireshark chương trình viết dựa thư viện Winpcap, nên phải cài đặt Winpcap trước lúc với tiến trình cài đặt Wireshark Sau khởi động Wireshark, cần thiết lập tùy chọn bắt gói tin cho Wireshark (menu Capture - Options) Sau đặt tùy chọn cần thiết, ta nhấn nút Start để bắt gói tin Phân tích gói tin với Wireshark Mất kết nối TCP (A Lost TCP Connection) Xử lý tình băng thơng với Wireshark Ví dụ, tồn mạng LAN download chậm Có thể kiểm tra điều thông qua việc cài đặt Wireshark lắng nghe tồn đầu mạng (ở mơ hình thử nghiệm thứ 2) CHƯƠNG KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN TIẾP Trong số công cụ theo dõi, giám sát lưu lượng mạng, WinPcap thư viện phần mềm mã nguồn mở cho phép bắt giữ gói tin, sử dụng tốt cho việc theo dõi, giám sát lưu lượng mạng Sau trình thực hiện, luận văn đạt nội dung nghiên cứu sau: - Nghiên cứu tổng quan vấn đề giám sát mạng máy tính - Nghiên cứu công cụ phần mềm mã nguồn mở Winpcap 18 Để in tất gói tin ICMP mà echo requests/replies (tức là ping packets) Lệnh: windump icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply Để in tất gói tin IPv4 HTTP đến từ cổng 80, ví dụ in gói có chứa liệu, gói SYN FIN ACK Lệnh: windump tcp port 80 and (((ip[2:2] ((ip[0]&0xf)2)) != 0) Phân tích gói tin TCP với Windump Khi bắt gói tin với Windump, khn dạng chung cho dòng giao thức TCP là: src > dst: flags data-seqno ack window urgent options Sau phần mở đầu rlogin từ máy chủ rtsg đến máy chủ csam rtsg.1023 > csam.login: S 768512:768512(0) win 4096 csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096 rtsg.1023 > csam.login: ack win 4096 rtsg.1023 > csam.login: P 1:2(1) ack win 4096 csam.login > rtsg.1023: ack win 4096 rtsg.1023 > csam.login: P 2:21(19) ack win 4096 csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077 csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg Dòng nói cổng tcp 1023 máy rtsg gửi gói liệu tới cổng login máy csam S cờ SYN thiết lập Số thứ tự gói 768.512 khơng chứa liệu Khơng có ack, nhận cửa sổ có 4.096 byte có max-segment-size tùy chọn yêu cầu MSS với 1.024 byte 1.5 Các phương thức thu thập thông tin lưu lượng mạng máy tính 1.5.1 Các phương thức thu thập thơng tin  Đo thụ động Một máy đo lưu lượng (có thể phần cứng phần mềm) gắn vị trí nút mạng ghi lại lưu lượng ra/vào nút mạng Một cách thông dụng nhất, máy đo gắn vào liên kết node mạng, ghi lại thông tin lưu lượng mạng liên kết  Đo tích cực Lưu lượng mạng nghiên cứu cách gửi liệu qua mạng (thường gói tin để đo kiểm từ đầu đến cuối) quan sát kết Giao thức tin điều khiển Internet (ICMP) sử dụng cho mục đích  Giám sát thơng tin điều khiển Các thơng tin điều khiển mạng ví dụ định tuyến thông tin quản lý mạng bắt giữ phân tích 1.5.2 Phương thức lẫy mẫu thu thập thông tin Lấy mẫu phương pháp phổ biến cho tất hệ thống giám sát nhằm khắc phục khó khăn nêu Đương nhiên, độ xác mức độ phù hợp phương pháp tùy theo loại ứng dụng, loại lưu lượng 1.5.3 Các yêu cầu đặt thu thập thông tin lưu lượng - Tính độc lập giao thức lưu lượng - Khả mở rộng - Tối ưu thời gian thu thập tính dư thừa liệu thu - Thích ứng với thay đổi hình trạng mạng - Đảm bảo độ tin cậy bảo mật 17 - Không ảnh hưởng đến hoạt động bình thường mạng - Khả dự báo 1.6 Các vị trí giám sát, thu thập thơng tin mạng 1.6.1 Phạm vi giám sát vùng mạng cấp Các giải pháp sử dụng thu thập thông tin là: sử dụng Hub, SPAN port, passive Tap, phần mềm sensor 1.6.2 Phạm vi giám sát vùng mạng cấp Các giải pháp thu thập thông tin là: sử dụng Hub, SPAN port, passive Tap Các sensor thiết bị thu thập thông tin, nối với Hub, Switch, Router để lấy thông tin 1.6.3 Phạm vi giám sát máy chủ máy trạm người dùng Việc thu thập thơng tin thơng qua phần mềm (phần mềm sensor) cài đặt máy chủ/ máy trạm người dùng qua thiết bị sensor kết nối trực tiếp với máy chủ cài / máy trạm người dùng 1.7 Các thiết bị trung gian cho giám sát, thu thập thông tin mạng 1.7.1 Thiết bị Hub Đây phương thức đơn giản Hub thiết bị nối mạng gửi song song gói tin tất cổng nối Thiết bị sensor nối vào cổng Hub thu gói tin truyền máy tính nối vào Hub 1.7.2 SPAN port SPAN viết tắt từ “Switch Port ANalyzer”, hay cịn gọi “port mirroring” “port monitoring” Có thể cấu hình cho cổng SPAN để thu lưu lượng cổng khác Nghĩa là, nối thiết bị sensor vào cổng SPAN, ta thu lưu lượng qua nút chuyển mạch 1.7.3 Taps bắt gói Windump có lệnh cho phép ta xem chi tiết tất card mạng tồn máy (Windump -D) Để in tất gói liệu đến từ máy tính Svr01 Lệnh: Windump -i3 host Srv01 (ở -i3 capture card mạng số local host; Srv01 tên máy tính xa) Để in lưu lượng hai máy tính Srv01 NhanNt Lệnh: Windump -i3 host Srv01 and NhanNt Để in tất gói tin IP Srv02 máy tính bất kỳ, trừ Srv01 Lệnh: Windump -i3 host Srv02 and not Srv01 Để in tất lưu lượng Local host host mạng LAN1 Lệnh: Windump -i3 net LAN1 Để in tất lưu lượng Ftp thông qua internet gateway snup Lệnh: Windump -i3 gateway snup and (port ftp or ftpdata) Để in lưu lượng khơng có nguồn gốc khơng có đích đến cho local host Lệnh: Windump -i3 ip and not net localnet Để in gói bắt đầu kết thúc (SYN and FIN packet) hội thoại TCP mà liên quan đến non-local host Lệnh: windump tcp[tcpflags] & (tcp-syn|tcp-fin) != and not src and dst net localnet Để in gói tin IP lớn 576 byte gửi qua gateway snup Lệnh: windump gateway snup and ip[2:2] > 576 Để in gói tin IP broadcast multicast mà khơng gửi qua Ethernet broadcast multicast Lệnh: windump ether[0] & = and ip[16] >= 224 16 - Lưu lượng mạng 3.3.2.5 Hệ thống ghi log cảnh báo (Logging and Alerting System) Bộ phận đầu (Output Modules): Tại cảnh báo tạo ghi lại logfile dạng text hay dạng theo yêu cầu người quản trị 3.4 Hệ thống giám sát mạng LAN sử dụng Winpcap 3.4.1 Mơ hình thử nghiệm thứ Tại mơ hình này, ta cài đặt Winpcap hai PC (trong mạng LAN), Winpcap chủ yếu làm nhiệm vụ bắt gói tin vào card mạng PC 3.4.2 Mơ hình thử nghiệm thứ hai Tại mơ hình này, ta cài đặt Winpcap PC nằm Firewall Hub/Switch PC nằm sau Hub/Switch, Winpcap làm nhiệm vụ bắt gói tin vào đoạn mạng, sử dụng chức Remote Capture 3.5 Thử nghiệm hệ thống, phân tích kết thu 3.5.1 Theo dõi nội dung gói tin với Windump Windump phần mềm dùng để theo dõi gói liệu lưu thơng qua Card mạng Bản thân Windump chương trình viết dựa thư viện Winpcap, nên phải cài đặt Winpcap trước lúc với tiến trình cài đặt Windump Sau download Windump vào thư mục, ta vào menu Start - Run - Cmd, chuyển vào thư mục chứa chương trình Windump Windump chạy chế độ dịng lệnh Bắt gói tin với Windump Trước dùng Windump để bắt gói tin, ta phải xác định xác card mạng máy tính dùng để TAP (Test Access Port) thiết bị nối mạng thiết kế riêng cho việc theo dõi giám sát Các thiết bị Tap dùng để thiết lập cổng truy nhập riêng để theo dõi thụ động lưu lượng Thiết bị Tap đặt hai thiết bị mạng 1.7.4 Inline device “Inline device” trình điều khiển thiết bị (phần mềm) thiết bị phần cứng đặc biệt để theo dõi lưu lượng 1.8 Kết luận Chương phân tích nhu cầu giám sát mạng, nêu mục tiêu giám sát lưu lượng mạng máy tính, trình bày đặc trưng lưu lượng mạng máy tính Các phương thức thu thập thơng tin lưu lượng mạng máy tính phân tích, đánh giá Tiếp đó, trình bày vị trí giám sát thu thập thông tin mạng thiết bị trung gian phục vụ cho việc giám sát, thu thập thông tin mạng CHƯƠNG NGHIÊN CỨU THỬ NGHIỆM CÔNG CỤ PHẦN MỀM MÃ NGUỒN MỞ WINPCAP 2.1 Giới thiệu chung công cụ phần mềm Winpcap WinPcap cơng cụ phần mềm nguồn mở, gồm trình điều khiển mở rộng cho hệ điều hành để truy nhập mức thấp vào mạng thư viện mã nguồn mở cho phép truy nhập vào lớp mạng mức thấp Winpcap cho phép ứng dụng bắt (capture) gói tin phân tích lưu lượng mạng tảng hệ điều hành Windows 6 15 2.2 Cấu trúc Winpcap Winpcap gồm thành phần chính: lọc gói mức kernel, thư viện liên kết động packet.dll mức thấp, hệ thống thư viện độc lập Wpcap.dll mức cao 2.2.1 Packet.dll Thư viện Packet.dll cung cấp API (application program interface) mức thấp, truy xuất trực tiếp tới trình điều khiển thiết bị NPF (Netgroup Packet Filter device driver), độc lập với hệ điều hành Windows 2.2.2 Wpcap.dll Thư viện Wpcap.dll cung cấp tập chức bắt gói mức cao, (tương thích với libpcap dùng linux) Wpcap.dll hoạt động độc lập với phần cứng mạng hệ điều hành 2.2.3 Trình điều khiển NPF (Netgroup Packet Filter device driver) Trình điều khiển thiết bị NPF dùng để bắt gói tin trực tiếp từ mạng NPF phát gói tin giao diện mạng (NIC), bắt chúng phân phối chúng nguyên vẹn đến ứng dụng người dùng thông qua lớp phần mềm packet.dll wpcap.dll 2.3 Mơ tả chức bắt gói với Winpcap Để bắt liệu thơ qua mạng, hệ thống bắt gói tin cần tắt qua chồng giao thức hệ điều hành Điều đòi hỏi phần bên lõi hệ điều hành có tương tác trực tiếp với trình điều khiển giao diện mạng Đây phần phụ thuộc vào hệ thống, thực thơng qua trình điều khiển thiết bị, gọi Netgroup Packet Filter (NPF) Trình điều khiển NPF cung cấp hai tính gồm: bắt gói tin chèn thơng tin vào gói tin 2.4 Cấu trúc bên NPF Sensor truyền tải trung tâm quản trị liệu thơng qua đường Internet Đối với mạng quy mô cỡ quốc gia Sensor đặt quan, tổ chức, ban nghành hay văn phịng phủ để thu thập thơng tin, phân tích gửi thơng tin có dấu hiệu bất thường trung tâm cảnh báo ứng cứu quốc gia 3.3.2 Mô tả hoạt động hệ thống giám sát an toàn mạng 3.3.2.1 Bộ phận bắt giữ gói tin (Packet Capture) Bộ phận bắt giữ gói tin (phần mềm sử dụng Winpcap) lấy gói từ giao diện mạng khác chuẩn bị cho việc gói tin xử lý trước 3.3.2.2 Bộ phận giải mã gói tin (Packet Decoder) Bộ phận giải mã gói tin giải mã gói, chuẩn hóa liệu chuyển gói tin đến phận tiền xử lý 3.3.2.3 Bộ phận tiền xử lý (Preprocessor) Chức chuẩn bị cho gói liệu phân tích dựa luật phận phát Bộ phận tiền xử lý dùng để xếp chỉnh sửa gói liệu trước phận phát tìm gói tin mang dấu hiệu công Bộ phận tiền xử lý tái hợp gói tin, giải mã HTTP URI, ráp lại dòng TCP 3.3.2.4 Bộ phận phát (Detection Engine) Chức phát gói tin có dấu hiệu cơng dựa vào luật Nếu gói tin giống với luật nào, hành động tương ứng thực Hiệu phận phát phụ thuộc vào yếu tố sau: - Số lượng luật - Cấu hình phần cứng máy chủ cài phần mềm giám sát - Băng thông sử dụng 14 dùng hoạt động bất thường để tìm công nguy hiểm kịp thời 3.2.2 Phát bất thường Phát dựa bất thường hay mô tả sơ lược phân tích hoạt động mạng máy tính lưu lượng mạng nhằm tìm kiếm bất thường Khi tìm thấy bất thường, tín hiệu cảnh báo khởi phát Sự bất thường chệch hướng hay khỏi thứ tự, dạng, ngun tắc thơng thường 3.3 Mơ hình kiến trúc hệ thống giám sát mạng 3.3.1 Đề xuất mơ hình hệ thống giám sát an tồn mạng Cấu trúc chung hệ thống giám sát an tồn thơng tin mạng gồm phân hệ kỹ thuật chức Tuy nhiên tùy theo quy mô mạng cần giám sát mà cấu hình số lượng thiết bị phục vụ việc giám sát khác Mạng nội quan, tổ chức kết nối tới Internet bảo vệ hệ thống Firewall (Tường lửa) Tuy nhiên firewall tránh lỗ hổng số thơng tin khơng mong muốn (Ví dụ mã độc, thư rác, Virus ) vượt qua Do người quản trị dùng thêm thiết bị giám sát Sensor (ở phần mềm) Phần mềm giám sát có nhiệm vụ bắt gói tin, kiểm tra lưu lượng mạng sau Firewall để phát dấu hiệu bất thường trước đưa cảnh báo cho người quản trị hệ thống Đối với mạng lớn (Ví dụ mạng cơng ty đa quốc gia) người ta phải phân vùng giám sát sử dụng nhiều Sensor khác nhau, Sensor giám sát cho phân vùng mạng Thông tin thu thập từ NPF (Netgroup Packet Filter) phần lõi (kernel) WinPcap NPF xử lý gói tin truyền mạng xuất gói tin, chèn thêm gói tin khả phân tích theo mức sử dụng 2.4.1 NPF NDIS NDIS (Network Driver Interface Specification) đặc tả tiêu chuẩn để xác định việc truyền thông card mạng giao thức điều khiển (ví dụ TCP/IP) Mục đích NDIS đóng vai gói (trình bao bọc - wrapper), cho phép trình điều khiển giao thức gửi nhận gói lên mạng (LAN WAN) không cần quan tâm đến adapter đặc biệt hệ điều hành NDIS hỗ trợ ba loại trình điều khiển mạng: - Trình điều khiển giao diện mạng (NIC drivers) - Trình điều khiển trung gian (Intermediate drivers) - Trình điều khiển vận chuyển (Transport drivers protocol drivers) 2.4.2 Các thành phần cấu trúc NPF NPF cho phép thực số hoạt động khác nhau: bắt gói, giám sát, dump to disk, packet injection… 2.5 Các chức Winpcap dùng cho giám sát mạng 2.5.1 Bắt giữ gói tin (Packet Capture) Hoạt động quan trọng NPF bắt gói Trong bắt gói tin, trình điều khiển lắng nghe (sniffs) gói cách sử dụng giao diện mạng chuyển chúng nguyên vẹn cho ứng dụng mức người dùng Q trình capture dựa hai thành phần chính: - Bộ lọc gói tin - Bộ đệm quay vịng 2.5.2 Chèn gói tin (Packet injection) 13 NPF cho phép viết gói tin thơ vào mạng Để gửi liệu, ứng dụng mức người dùng thực lời gọi hệ thống WriteFile() NPF device file Dữ liệu gửi tới mạng có, khơng cần đóng gói giao thức nào, ứng dụng phải xây dựng tiêu đề (header) khác cho gói Các ứng dụng thông thường không cần phải tạo FCS (Frame Check Sequence) tính tốn phần cứng tiếp hợp mạng gán tự động vào cuối gói trước gửi vào mạng 2.5.3 Giám sát mạng WinPcap cung cấp module giám sát lập trình mức kernel, có khả tính tốn thống kê đơn giản lưu lượng mạng Các số liệu thống kê thu thập mà khơng cần phải chép gói tới ứng dụng, đơn giản nhận hiển thị kết thu từ động (engine) giám sát 2.5.4 Đẩy liệu vào đĩa (Dump to disk) Khả dump to disk (đổ vào disk) dùng để lưu liệu mạng trực tiếp vào disk từ kernel mode 2.5.5 Lấy danh sách thiết bị Để lấy danh sách thiết bị mạng ta sử dụng hàm pcap_findalldevs_ex() Hàm trả danh sách thiết bị mà sau ta mở với hàm pcap_open() 2.5.6 Mở thiết bị chặn bắt gói tin Để mở thiết bị mạng (thường network adapter) để bắt đầu chặn bắt ta sử dụng hàm pcap_open() Sau thiết bị mở, việc chặn bắt thực với hàm pcap_dispatch() pcap_loop() 2.5.7 Lọc gói tin (Filtering) Trên tổng thể, hệ thống giám sát cảnh bảo an toàn mạng thường bao gồm phân hệ kỹ thuật chức chủ yếu là: - Phân hệ thu thập thông tin mạng: việc thu thập thơng tin thực cách nhân cơng (các kênh thông báo, công văn, fax…) hay tự động (các thiết bị bảo vệ mạng, phần mềm giám sát …) Các thiết bị phần cứng (hay phần mềm) làm chức thu thập thơng tin an tồn mạng cách tự động thông thường gọi Sensor Trong phạm vi luận văn đề cập đến phần mềm làm chức - Phân hệ phân tích thơng tin: Phân hệ có chức phân tích lọc thơng tin có dấu hiệu bất thường mã độc, dấu hiệu công mạng … - Phân hệ sở liệu: lưu trữ thông tin bất thường phát để phục vụ cho mục đích thống kê… - Phân hệ hỗ trợ cảnh báo truyền tải: có chức đưa cảnh báo cho người quản trị mạng dấu hiệu công phát truyền tải thông tin tới hệ thống giám sát cấp cao có yêu cầu - Phân hệ điều khiển cấu hình: Phân hệ cho phép người quản trị mạng thay đổi cấu hình thiết bị giám sát mạng tùy theo quy mô hệ thống giám để tiết kiệm chi phí 3.2 Những phương thức giám sát mạng phát công 3.2.1 Phát dựa dấu hiệu Phát dựa dấu hiệu (signature-based detection) hay gọi phát sử dụng sai Phương pháp phân biệt hoạt động thông thường người 12 - Thiết lập tùy chọn kết nối (linker) để include file thư viện wpcap.lib cho mục tiêu (x86 hay x64) - Thiết lập tùy chọn kết nối (linker) để include file thư viện winsock ws2_32.lib 2.7.3 Bắt giữ gói tin từ xa (Remote capture) WinPcap có kèm khả Remote Capture Đây tính nâng cao cho phép tương tác với máy tính từ xa bắt gói bắt đầu truyền remote network Điều đòi hỏi remote daemon (gọi rpcapd) thực việc capture gửi liệu trở lại local client gửi lệnh thích hợp để nhận liệu bắt giữ Các chế độ hoạt động bắt giữ gói tin từ xa (Remote Capture Running Modes) The Remote Capture Protocol (RPCAP) làm việc hai chế độ: - Passive mode (default): client (ví dụ network sniffer) kết nối tới remote daemon, gửi cho chúng lệnh thích hợp, bắt đầu capture - Active mode: remote daemon cố gắng thiết lập kết nối phía client (ví dụ network sniffer); sau đó, client gửi lệnh thích hợp cho daemon bắt đầu capture Tên gọi thực tế daemon trở thành active thay chờ đợi kết nối Là tính mạnh hữu dụng winpcap.Nó cung cấp khả phân tích mạng cách hiệu kết hợp hoàn hảo với chế chặn bắt Winpcap Những hàm sử dụng để filter packet pcap_compile() pcap_setfilter() 2.5.8 Thống kê Ta thống kê dựa vào thông tin packet chặn bắt để thu thập thơng tin tình trạng mạng Tuy nhiên, với ứng dụng khơng địi hỏi thống kê chi tiết ta yêu cầu network adapter làm công việc thống kê cách thiết đặt trạng thái thống kê (statistical mode) cách sử dụng hàm set_mode() 2.6 So sánh, đánh giá mức giám sát bắt gói tin Thơng thường chương trình giám sát mạng thường chặn bắt gói tin mức ứng dụng, mức hệ điều hành mức network adapter 2.6.1 Mức hệ điều hành (raw socket) Socket phương pháp để thiết lập kết nối truyền thơng chương trình u cầu dịch vụ (client) chương trình cung cấp dịch vụ (server) mạng LAN, WAN hay Internet đôi lúc q trình bên máy tính Raw socket socket cho phép truy nhập trực tiếp tới header packet Nói cách khác, raw socket cách bỏ qua toàn network stack đưa packet tới thẳng tầng ứng dụng Raw socket thực hai tác vụ: Packet Sniffing: nhận packet từ raw socket Packet Injection: gửi packet tới raw socket 2.6.2 Pcap - mức network adapter Pcap (packet capture) bao gồm giao diện lập trình ứng dụng (API) dùng để chặn bắt network traffic CHƯƠNG ĐỀ XUẤT GIẢI PHÁP GIÁM SÁT MẠNG VỚI WINPCAP 3.1 Các chức hệ thống giám sát mạng 10 11 Đối với hệ thống thuộc họ Unix ta có thư viện libpcap, cịn Window ta có thư viện winpcap Pcap thường có hai thành phần bản: - Driver: packet capture driver viết ngôn ngữ bậc cao mà thường viết C assembly - Interface: giao diện thực packet capture 2.6.3 So sánh Raw socket Pcap Raw socket pcap sử dụng để viết chương trình giám sát mạng Tuy nhiên socket làm việc từ tầng thứ mơ hình OSI trở lên (transport layer TCP/IP) raw socket làm việc với tầng thứ mơ hình OSI trở lên (network layer TCP/IP) cịn pcap làm việc với tầng thứ trở lên mơ hình OSI (link layer TCP/IP) 2.7 Thử nghiệm với Winpcap 2.7.1 Biên dịch Winpcap Hai mã nguồn NPF sẵn sàng cho biên dịch sử dụng với Windows NT4 Windows 9x Lưu ý rằng, trình điều khiển NPF phụ thuộc hệ điều hành, cần liên kết xác với thư viện DDK tương ứng 2.7.1.1 Biên dịch trình điều khiển Các phần mềm yêu cầu: - Microsoft Driver Developer Kit (DDK) for Windows NT4 - Phiên gần Microsoft Platform Software Development Kit (SDK) tương thích với Visual Studio - Microsoft Visual C++ 6.0 với Service Pack 2.7.1.2 Biên dịch packet.dll Mã nguồn DLL nằm PacketNTx\dll\ Họ hệ điều hành Windows 9x khơng cịn hỗ trợ WinPcap Tuy nhiên, mã nguồn cho hệ điều hành cịn có sẵn gói mã nguồn Các yêu cầu phần mềm gồm: - Microsoft Visual Studio 2005 SP1 Nó lý thuyết để biên dịch x86 version với Visual Studio 6, project file khơng cịn trì - AirPcap developer's pack; AirPcap developer's pack cần unzipped thư mục với nơi mã nguồn WinPcap unzipped 2.7.1.3 Biên dịch wpcap.dll Wpcap.dll biên dịch cho Win32 platform tạo dll độc lập với hệ thống Các yêu cầu phần mềm gồm có: - Microsoft Visual Studio 2005 SP1 - The AirPcap developer's pack; The AirPcap developer's pack cần phải unzipped folder giống với folder nơi mà WinPcap sources unzipped 2.7.2 Tạo ứng dụng với Winpcap chương trình Để tạo ứng dụng sử dụng wpcap.dll với Microsoft Visual C++, trình tự làm theo bước sau: - Include tập tin pcap.h đầu file mã nguồn mà sử dụng chức exported thư viện - Nếu chương trình sử dụng chức đặc biệt Win32 WinPcap, cần include WPCAP số định nghĩa tiền xử lý (preprocessor definitions) - Nếu chương trình sử dụng khả capture từ xa WinPcap, cần thêm HAVE_REMOTE định nghĩa tiền xử lý (preprocessor definitions) Không include remote-ext.h trực tiếp mã nguồn tập tin  ...20 - Đề xuất giải pháp giám sát mạng với Winpcap Trong phần này, đưa mơ hình kiến trúc hệ thống giám sát mạng, giải pháp giám sát mạng LAN sử dụng Winpcap kết thử nghiệm với phần mềm nguồn mở Windump,... traffic CHƯƠNG ĐỀ XUẤT GIẢI PHÁP GIÁM SÁT MẠNG VỚI WINPCAP 3.1 Các chức hệ thống giám sát mạng 10 11 Đối với hệ thống thuộc họ Unix ta có thư viện libpcap, cịn Window ta có thư viện winpcap Pcap... giám sát mạng 3.3.1 Đề xuất mô hình hệ thống giám sát an tồn mạng Cấu trúc chung hệ thống giám sát an toàn thông tin mạng gồm phân hệ kỹ thuật chức Tuy nhiên tùy theo quy mô mạng cần giám sát mà