4. Bây giờ, hai máy thành công việc thiết lập một phiên.
2.6.4.3 Một số tính năng nâng cao của Wireshark
• Name Resolution:
Dữ liệu truyền trong mạng thơng qua một vài hệ thống địa chỉ, các địa chỉ này thường dài và khó nhớ (Ví dụ: MAC). Phân giải điạchỉ là quá trình mà một giao thức sử dụng để chuyển đổi một địa chỉ loại này thành một địa chỉ loại khác đơn giản hơn. Chúng ta có thể tiết kiệm thời gian bằng cách sử dụng một vài công cụ phân giải địa chỉ để file dữ liệu ta bắt được dễ đọc hơn. Ví dụ như là chúng ta có thể sử dụng phân giải tên DNS để giúp định danh tên của một máy tính mà ta đang có gắng xác định như là nguồn của các gói cụ thể.
- MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP tầng 3. Nếu việc phân giải này lỗi, Wireshark sẽ chuyển 3 byte đầu tiên của địa chỉ MAC sang tên hãng sản xuất đã được IEEE đặc tả, ví dụ: Netgear_01:02:03.
- Network Name Resolution: chuyển đổi địa chỉ tầng 3 sang một tên DNS dễ đọc như là MarketingPC1.
- Transport Name Resolution: chuyển đổi một cổng sang một tên dịch vụ tương ứng với nó, ví dụ: cổng 80 là http.
• Protocol Dissection:
Một protocol dissector cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích. ICMP protocol dissector cho phép Wireshark phân chia dữ liệu bắt được và định dạng chúng như là một gói tin ICMP. Ta có thể nghĩ rằng một dissector như là một bộ phiên dịch giữa dòng dữ liệu trên đường truyền và chương trình Wireshark. Với mục đích để hỗ trợ một giao thức nào đó, một dessector cho giao thức đó phải được tích hợp trong Wireshark. Wireshark sử dụng đồng thời vài dissector để phiên dịch mỗi gói tin. Nó quyết định dissector nào được sử dụng bằng cách sử dụng phân tích lơgic đã được cài đặt sẵn và thực hiện việc dự đốn. Thật khơng may là Wireshark không phải lúc nào cũng đúng trong việc lựa chọn dissector phù hợp cho một gói tin. Tuy nhiên, ta có thể thay đổi việc lựa chọn này trong từng trường hợp cụ thể
• Following TCP Streams:
Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP như là ở tầng ứng dụng. Tính năng này cho phép ta phối hợp tất cả các thơng tin liên quan đến các gói tin và chỉ cho ta dữ liệu mà các gói tin này hàm chứa giống như là người dùng cuối nhìn thấy trong ứng dụng. Còn hơn cả việc xem các dữ liệu đang được truyền giữa máy trạm và máy chủ trong một mớ hỗn độn, tính năng này sắp xếp dữ liệu để có thể xem một cách đơn giản.
Tìm hiểu về an ninh mạng và kỹ thuật tấn cơng Session Haijacking
• Cửa sổ thống kê phân cấp giao thức
Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân bố các giao thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và DHCP là bao nhiêu phần trăm,... Thay vì phải đếm từng gói tin để thu được kết quả, chúng ta có thể sử dụng cửa sổ thống kê phân cấp giao thức của Wireshark.
• Xem các Endpoints:
Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể. Ví dụ, có hai endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và nhận dữ liệu, 192.168.1.5 và 192.168.0.8. Một ví dụ ở tầng 2 có thể là kết nối giữa hai NIC vật lý và địa chỉ MAC của chúng. Các NIC gửi và nhận dữ liệu, các MAC đó tạo nên các endpoint trong kết nối.
Hình 2.14 – Minh họa kết nối Endpoint
Khi thực hiện phân tích gói tin, ta có thể nhận ra rằng ta đã khoanh vùng vấn đề chỉ còn là một enpoint cụ thể trong mạng. Hộp thoại Wireshark endpoints chỉ ra một vài thống kê hữu ích cho mỗi endpoint, bao gồm các địa chỉ của từng máy cũng như là số lượng các gói tin và dung lượng đã được truyền nhận của từng máy.
Hình 2.15 – Hình minh họa hộp thoại Wireshark endpoints • Cửa sổ đồ thị IO:
Cửa sổ đồ thị IO của Wireshark cho phép ta vẽ đồ thị lưu lượng dữ liệu trên mạng. Ta có thể sử dụng tính năng này để tìm kiếm các đột biến hoặc những thời điểm khơng có dữ liệu truyền của các giao thức cụ thể mà ta đang quan tâm. Ta có thể vẽ đồng thời 5 đường trên cùng một đồ thị cho từng giao thức mà ta quan tâm bằng các màu khác nhau. Điều này giúp ta dễ dàng hơn để thấy sự khác nhau của các đồ thị.
Hình 2.16 – Cửa sổ đồ thị IO của Wireshark
Tìm hiểu về an ninh mạng và kỹ thuật tấn công Session Haijacking
BackTrack là một hệ điều hành mà hầu như hacker hay quản trị mạng nào cũng đã và đang sử dụng. Bên trong nó đã được tích hợp rất nhiều cơng cụ phục vụ cho việc kiểm tra và khai thác lỗ hổng bảo mật.
Backtrack là một bản phân phối dạng Live DVD của Linux, được phát triển để thử nghiệm thâm nhập. Trong các định dạng Live DVD,chúng ta có thể sử dụng Backtrack trực tiếp từ đĩa DVD mà khơng cần cài nó vào máy của chúng ta. Backtrack cũng có thể được cài đặt vào ổ cứng và sử dụng như một hệ điều hành.
Backtrack là sự hợp nhất giữa 3 bản phân phối khác nhau của Linux về thâm nhập thử nghiệm -IWHAX, WHOPPIX, và Auditor.