BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA: AN TỒN THƠNG TIN  THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN NINH MẠNG THỰC HÀNH LAB PHÂN TÍCH GĨI TIN SỬ DỤNG WIRESHARK …………………………………………………………………………………………… Giảng viên hướng dẫn: Nguyễn Thị Hồng Hà Sinh viên thực hiện: Nguyễn Nhân Hồng Lớp: L06.2 Khóa: K14 Tháng năm 2021 MỤC LỤC Nhiệm vụ 1: Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức ARP ICMP Nhiệm vụ 2: Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức SMTP, IMAP & POP3 12 Nhiệm vụ : Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức SSL/TLS 22 TIẾN HÀNH TRIỂN KHAI Nhiệm vụ 1: Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức ARP ICMP Tiến hành tải gói tin sau mở gói tin với phần mềm Wireshark http://asecuritysite.com/log/webpage.zip Khi phân tích gói tin trên, ta thấy gói tin số gói tin số đánh dấu với giao thức ARP Phân tích gói tin số 1, ta thấy gói tin số gói tin quảng bá (Broadcast) địa MAC là: ff:ff:ff:ff:ff:ff với mục đích hỏi tồn mạng rằng, địa MAC có địa IP 192.168.75.132 phản hồi tới địa MAC 00:50:56:c0:00:08 ứng với địa IP 192.168.75.1 Vì thơng qua gói tin số 1, ta dễ dàng có thơng tin sau: Gói tin số gói tin ARP request  Địa IP host: 192.168.75.1  Địa MAC host: 00:50:56:c0:00:08  Địa IP server: 192.168.75.132 Trong gói tin số ta thấy gói tin ARP reply để trả lời gói tin ARP request trên, địa nguồn địa MAC ứng với địa IP server 192.168.75.132 địa đích địa MAC host Vì ta có thơng tin:  Địa MAC server: MAC address: 00:0c:29:0f:71:a3 Với thơng tin ba gói tin số 3, ta dễ dàng nhận trình bắt tay ba bước giao thức TCP hai địa IP host IP server với dấu hiệu cờ như:  [SYN] gói tin số  [SYN,ACK] gói tin số  [ACK] gói tin số Qua ta xác định thông tin cổng hoạt động host server:  Giá trị Port host: địa cổng nguồn gói tin số 2427  Giá trị Port server: địa cổng đích gói tin số 80 Để giải thích cho câu hỏi: gói tin khơng cần qua default gateway mạng, ta thấy địa ip host: 192.168.75.1 địa ip server: 192.168.75.132 nằm chung mạng với subnetmask 255.255.255.0, vậy, gói tin trao đổi host server trao đổi trực tiếp mà khơng cần qua default gateway Tiến hành tải xuống gói tin, sau mở tiến hành phân tích với Wireshark địa chỉ: http://asecuritysite.com/log/googleWeb.zip Tương tự với gói tin webpage.pcap, câu hỏi với gói tin googleWeb.pcap: Trong trường hợp host kết nối tới máy chủ google, xác định địa IP địa MAC host, địa IP địa MAC Gateway, liệu ta xác định đia MAC máy chủ google hay không? Ta thấy trường hợp này, host muốn liên lạc trao đổi thơng tin với máy chủ google, vậy, gói tin host cần gửi đến google thơng qua default gateway Gói tin số số hai gói tin ARP request ARP reply, với thông tin host gateway sau:  Địa IP host: 192.168.0.20  Địa MAC host: 00:1f:3c:4f:30:1d  Địa IP gateway: 192.168.0.1  Địa MAC gateway: 00:18:4d:b0:d6:8c Chúng ta xác định địa MAC google gói tin hay khơng? Đáp án khơng thể Như gói tin trên, ta thu địa MAC host gateway, host máy chủ google làm việc trực tiếp với nhau, chúng làm việc thông qua giao thức TCP, DNS, HTTP Ngoài ra, sau gói tin gửi qua gateway ngồi mạng nội bộ, gói tin thiết bị định tuyến gửi qua nhiều nút mạng khác trước đến địa đích, vậy, gói tin không đủ thông tin để ta xác định địa MAC máy chủ google Tải tập tin mở gói tin với cơng cụ Wireshark, http://asecuritysite.com/log/arp_scan.zip Xác định mục đích việc ARP scan, vị trí địa IP kẻ xâm nhập, địa IP hoạt động mạng kẻ xâm nhập phát ra? ARP scan kiểu cơng dị qt mạng với giao thức ARP,để kẻ cơng xác định host hoạt động mạng Cụ thể, ta thấy thiết bị có địa MAC 00:0c:29:1d:b3:b1 địa IP là: 192.168.47.171 liên tục gửi gói tin ARP request với địa cần xác định dải 192.168.47.0/24 Với host hoạt động có địa ứng với địa dải phản hồi lại địa IP 192.168.47.171 từ kẻ cơng xác định host hoạt động Ta xác định Địa IP kẻ công : 192.168.47.171 Địa MAC kẻ công : 00:0c:29:1d:b3:b1 Những địa IP hoạt động mạng kẻ xâm nhập phát , để xác định IP hoạt động kẻ cơng cần thu thập gói tin ARP reply lấy địa từ gói tin đó: Xác định ARP máy cửa sổ dòng lệnh Hỏi địa IP máy mạng, sau tiến hành ping tới địa IP Kiểm tra lại bảng ARP thay đổi Thêm địa câu lệnh arp -s, thay đổi? Từ cửa sổ dòng lệnh windows, gõ “arp -a” để kiểm tra bảng ARP cache: Ta có địa 192.168.1.215 mạng,tiến hành ping tới địa 192.168.1.215 kiểm tra lại bảng ARP cache 10 Địa MAC ứng với địa IP 192.168.1.215 04:b1:67:b2:b4:6f lưu lại window Từ cửa sổ dòng lệnh, sử dụng câu lệnh ping tới địa chỉ: actvn.edu.vn hocvienact.edu.vn Xác định loại gói tin ICMP sử dụng ping request reply với Wireshark Xác định phần liệu hai gói tin ICMP request reply liên tiếp? Tiến hành ping tới actvn.edu.vn hocvienact.edu.vn, đồng thời Wireshark lắng nghe gói tin Các gói tin ICMP request reply: 11 Nhiệm vụ 2: Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức SMTP, IMAP & POP3 Địa IP cổng TCP máy Host sử dụng để gửi email, địa IP cổng TCP máy Server sử dụng, địa email người gửi, địa email người nhận, thời gian gửi email, ứng dụng email khách sử dụng để gửi email gì, nội dung tin nhắn chủ đề email, giao thức SMTP, chuỗi ký tự sử dụng để kết thúc tin nhắn? Với file smtp.pcap Ta thấy gói tin 1,2,3 gói tin q trình bắt tay bước giao thức TCP ,từ gói tin ta co thể xác định được: + Địa IP máy Host sử dụng để gửi email : 192.168.0.12 + Cổng TCP máy Host sử dụng để gửi email : 1713 + Địa IP máy Server sử dụng : 192.168.0.13 + Cổng TCP máy Server sử dụng :25 Sử dụng lọc để lọc gói tin sử dụng giao thức SMTP, sau tiến hành follow TCP stream, ta trả lời câu hỏi lại sau: + Địa email người gửi: martin.tor@4salet.com + Địa email người nhận: bert.manly@five8nine.com + Thời gian gửi email : Date: Mon, 11 Mar 2013 22:10:34 + Ứng dụng email khách sử dụng để gửi email: X-Mailer: Microsoft Outlook Express 6.00.3790.3959 + Nội dung : Subject: T2theS4gSSB0aGluayBpdCBpcyBhbGwgc2V0dXAgZm9yIHlvdS4gSnVzdCBjb25 uZWN0IHRvIHRoZSBsaW5rLCBhbmQgaXQgc2hvdWxkIGJlIGZpbmUu 12 Đối với giao thức SMTP, chuỗi ký tự sử dụng để kết thúc tin nhắn là: end with . Địa IP cổng TCP máy host gửi email, địa IP cổng TCP máy chủ POP-3 sử dụng, hộp thư truy cập, có tin nhắn hộp thư đến, số bytes tin nhắn Đối với tin nhắn thứ nhất, thứ hai thứ ba, người gửi tin nhắn chủ đề phác thảo nội dung tin nhắn Lệnh POP-3 sử dụng để lấy nội dung tin nhắn? Với file pop3.pcap Ta thấy gói tin 13,14,15 gói tin trình bắt tay bước giao thức TCP Từ gói tin 13 ta có thơng tin : + Địa IP host sử dụng: 192.168.0.4 13 + Cổng TCP host sử dụng: 26272 + Địa IP server sử dụng: 212.227.15.166 + Cổng TCP server sử dụng: 110 Sử dụng lọc để lấy gói pop3 request Ở ta thấy số câu lệnh người dùng sử dụng sau: + Lệnh CAPA trả khả hỗ trợ POP-3 server + Lệnh AUTH PLAIN yêu cầu máy chủ sử dụng giao thức xác thực với chế mã hóa (Encoding) base64 + Lệnh STAT hiển thị số lượng tin nhắn có hộp thư kích thước tính theo byte + Sử dụng LIST để nhận tóm tắt tin nhắn số tin nhắn hiển thị với kích thước tính theo byte bên cạnh 14 + Sử dụng lệnh RETR để lấy thông tin tin nhắn cụ thể ví dụ RETR 1, RETR 2, RETR 3,… + Khi sử dụng câu lệnh CAPA, server trả lời UIDL nghĩa tùy chọn UIDL hỗ trợ Máy chủ POP3 gán số cho thư đến Điều cho phép thư để lại máy chủ sau thư tải xuống cho người dùng + QUIT để thoát khỏi đoạn hội thoại Tiếp theo ta dùng lọc để lấy gói tin response: Sử dụng follow TCP stream ta thu thông tin + Email người dùng : digitalinvestigator@networksims.com + Số tin nhắn hộp thư + Số byte tin nhắn 1,2,3 : 5565 byte, 8412 byte, 5214 byte 15 Để xem nội dung tin nhắn ta sử dụng lọc với tập luật “imf” IMF viết tắt Internet Message Format, định dạng tin nhắn văn truyền qua môi trường internet 16 Sau tiến hành follow TCP Stream gói tin số 95 Để lấy nội dung tin nhắn người dùng sử dụng lệnh RETR Kết là: 17 Ta có thơng tin thu sau : + Email người gửi tin : 1&1 Internet Ltd + Ngày gửi : Thu, 22 Aug 2013 21:14:44 +0200 18 + Nội dung : Tương tự tin nhắn Địa IP cổng TCP máy host gửi email, địa IP cổng TCP máy chủ sử dụng, hộp thư truy cập Theo dõi email gửi, chi tiết Có tin nhắn hộp thư đến, nêu chi tiết email có hộp thư đến? Với file imap.pcap 19 Ta thấy gói tin 1,2,3 gói tin q trình bắt tay bước giao thức TCP,từ gói tin ta thu thông tin : + Địa IP máy host dùng để gửi email : 192.168.0.4 + Cổng TCP máy host dùng để gửi email :23463 + Địa IP máy server dùng: 212.227.15.167 + Cổng TCP máy server dùng: 25 Sử dụng follow TCP stream với gói tin ta có : 20 + Email người dùng : digitalinvestigator@networksims.com Tiếp tục sử dụng follow TCP stream với gói tin imap + Có tin nhắn hộp thu : + Các thông tin tin nhắn số + Với nội dung : 21 Nhiệm vụ : Thực phân tích gói tin trả lời câu hỏi để hiểu giao thức SSL/TLS Hãy xác định địa IP port host, địa IP port server, kết nối sử dụng giao thức mạng nào, trang web truy cập, xác định tổ chức ký chứng số cho dịch vụ web server, ta đọc liệu trao đổi host server hay không? 22 Ta thấy ba gói tin 1,2,3 gói tin trình bắt tay ba bước giao thức TCP,do từ gói tin ta có thông tin sau : + Địa IP host: 192.168.0.20 + Cổng host: 2099 + Địa IP server: 66.211.169.66 + Cổng server: 443 Kết nối sử dụng giao thức mạng TLSv1 Đối với giao thức TLSv1, ta sử dụng tập luật: “ssl.handshake.certificate” để tiến hành đọc thông tin chứng số máy chủ - nơi trả lời cho câu hỏi trang web truy cập tổ chức ký chứng số 23 Ta nhận gói tin số chứa thông tin chứng số server, tiến hành đọc gói tin, thu kết sau: + Website truy cập : paypal.com + Tổ chức ký chứng số cho dịch vụ web server : VeriSign Class Secure Server CA-G2 / https://www.verisi,id-at-organizationalUnitName= Để đọc liệu trao đổi host server ta sử dụng follow TCP stream với gói liệu sử dụng giao thức TSLv1 Dữ liệu trao đổi mã hóa : 24 10 Arp_scan.pcap chứa gói tin sau tiến hành ARP scan, với gói tin này, ta có câu hỏi cần giải sau: Xác định mục đích việc ARP scan, vị trí địa IP kẻ xâm nhập, địa IP hoạt động mạng kẻ xâm nhập phát ra? 11 Tấn công ARP scan hay cịn gọi cơng dị qt mạng với giao thức ARP, kẻ xâm nhập dùng để xác định xem host hoạt động mạng Ở ta thấy rằng, địa MAC: 00:0c:29:1d:b3:b1 với IP: 192.168.47.171 tiến hành gửi liên tục gói tin ARP request tới địa broadcast: ff:ff:ff:ff:ff:ff nhằm xác định địa IP dải mạng 192.168.47.0/24 Vì ta xác định rằng:  Kẻ công thực công ARP scan bên mạng LAN  Địa IP kẻ công là: 192.168.47.171 25 ... gói tin trả lời câu hỏi để hiểu giao thức ARP ICMP Tiến hành tải gói tin sau mở gói tin với phần mềm Wireshark http://asecuritysite.com/log/webpage.zip Khi phân tích gói tin trên, ta thấy gói tin. .. bộ, gói tin thiết bị định tuyến gửi qua nhiều nút mạng khác trước đến địa đích, vậy, gói tin khơng đủ thông tin để ta xác định địa MAC máy chủ google Tải tập tin mở gói tin với cơng cụ Wireshark, ... người gửi tin nhắn chủ đề phác thảo nội dung tin nhắn Lệnh POP-3 sử dụng để lấy nội dung tin nhắn? Với file pop3.pcap Ta thấy gói tin 13,14,15 gói tin trình bắt tay bước giao thức TCP Từ gói tin 13