3. Kỹ thuật bắt gói tin
3.1. Tổng quan về bắt gói tin
3.1.1. Các khái niệm liên quan
Gói tin (Packet) là một đơn vị dữ liệu định dạng để lưu thông trên mạng.
Lưu lượng thông tin trên mạng( Network traffic) lưu lượng thông tin vào ra trên cổng mạng. Để có thể đo lường và kiểm soát lưu lượng mạng chúng ta cần phải bắt gói tin(packet capture)
Bắt gói tin là hành vi chặn bắt hoặc sao chép các gói dữ liệu được lưu chuyển trên mạng. Bắt gói bao gồm:
Deep Packet Capture (DPC): là hành động chặn bắt toàn bộ các gói tin trên mạng (bao gồm cả phần header và payload). Các gói tin chặn bắt được sẽ được lưu trữ lại trong bộ nhớ tạm thời hoặc lâu dài.
Deep packet Inspection (DPI): là quá trình kiểm tra, đánh giá để tìm ra nguyên nhân của những vấn đề của mạng, xác định nguy cơ an toàn bảo mật, chắc chắn mạng hoạt động chính xác về kỹ thuật.
DPC và DPI được kết hợp với nhau nhằm quản lý, đánh giá, phân tích sự luân chuyển các gói tin trên mạng đồng thời lưu giữ lại những thông tin đó cho các mục đích khác sau này.
Trong thực tế packet capture có thể ghi lại được các tiêu đề gói tin mà không cần lưu giữ toàn bộ phần nội dung gói tin. Nhờ vậy, ta có thể giảm được yêu cầu bộ nhớ dùng để lưu trữ, tránh các vấn đề pháp lý trong khi vẫn có đầy đủ những thông tin cần thiết nhất.
Packet Analyzer (Sniffer) là một phần mềm hoặc phần cứng gắn vào máy tính cụ thể trong một mạng máy tính để có thể theo dõi các luồng thông tin (lưu lượng truy cập mạng) trên một phần của mạng hoặc toàn bộ mạng.
Sniffer sẽ có nhiệm vụ chặn và chụp lại các gói tin (packet), sau đó giải mã và phân tích nội dung của nó để thực hiện mục đích khác nhau.
3.1.2. Áp dụng sniffer
Phạm vi áp dụng
Đối với mạng LAN có dây thì phụ thuộc vào cấu trúc của mạng (sử dụng hub hay switch) ta có thể chặn bắt toàn bộ hay một phần các thông tin trên mạng từ một nút duy nhất nằm trong mạng. Đối với hub ta có thể chặn bắt tất cả các gói tin truyền tải qua mạng, nhưng đối với switch cần phải có một số phương thức đặc biệt như ARP snoofing.
Đối với mạng LAN không dây thì các gói tin được chặn bắt trên các kênh riêng biệt.
Để có thể chặn bắt một gói tin trong mạng, card mạng phải được đặt ở chế độ promiscuous.
Mục đích
Thường có hai mục đích chính: được sử dụng để kiểm tra bảo trì mạng và các định dạng khác để xâm nhập mạng. Chúng được sử dụng cho các mục đích sau đây:
Phân tích hiệu suất làm việc hoặc các sự cố mạng.
Xác định xâm nhập mạng, rò rỉ thông tin,. .. lấy thông tin liên quan đến việc xâm nhập.
Quản lý sử dụng mạng.
Thu thập thông tin báo cáo tình trạng mạng.
Sửa lỗi, bảo trì, kiểm tra các giao thức mạng.
Lọc những thông tin cần thiết lưu chuyển trên mạng, đặt ở định dạng thích hợp để có thể đọc được.
Chặn bắt các thông tin như mật khẩu, tên đăng nhập của người dùng khác trên mạng để thâm nhập vào hệ thống của họ .
3.1.3. Các chương trình sniffer
Hiện nay có rất nhiều chương trình miễn phí cũng như thương mại phục vụ việc chặn bắt và phân tích gói tin. Một trong số đó là:
Winpcap(http://www.winpcap.org/windump/default.htm)cho windows.
Colasoft capsa (http://www.colasoft.com/capsa/)
Wireshark (http: //www.wireshark.org/).
Etherpeek (http: //www.aggroup.com/).
Snort (http: //en.wikipedia.org/wiki/Snort).
Kismet (http: //en.wikipedia.org/wiki/Kismet) cho mạng LAN không dây chuẩn 802.11.
Cain & Anbel (http://www.oxid.it/)