1.1 Các khái niệm liên quan
• Packet là một đơn vị dữ liệu được định dạng để lưu chuyển trên mạng.
• Network Traffic là lưu lượng thông tin vào/ra hệ thống mạng. Để có thể đo đạc, kiểm soát Network Traffic ta cần phải chặn bắt các gói tin (Packet capture).
• Packet capture là hành động chặn bắt các packet dữ liệu được lưu chuyển trên mạng. Packet capture gồm có:
o Deep Packet Capture (DPC): là hành động chặn bắt toàn bộ các gói tin trên mạng (bao gồm cả phần header và payload). Các gói tin chặn bắt được sẽ được lưu trữ lại trong bộ nhớ tạm thời hoặc lâu dài.
o Deep Packet Inspection (DPI): là quá trình kiểm tra, đánh giá để tìm ra nguyên nhân của những vấn đề của mạng, xác định nguy cơ an toàn bảo mật, chắc chắn mạng hoạt động chính xác về kỹ thuật và luật pháp. o DPC và DPI được kết hợp với nhau nhằm quản lý, đánh giá, phân tích
sự luân chuyển các gói tin trên mạng đồng thời lưu giữ lại những thông tin đó cho các mục đích khác sau này.
• Trong thực tế packet capture có thể ghi lại được header mà không cần lưu giữ toàn bộ phần nội dung payload. Nhờ vậy, ta có thể giảm được yêu cầu bộ nhớ dùng để lưu trữ, tránh các vấn đề pháp luật trong khi vẫn có đầy đủ những thông tin cần thiết nhất.
• Packet Analyzer (Sniffer) là phần mềm hoặc phần cứng máy tính được gắn vào trong 1 mạng máy tính để có thể theo dõi thông tin lưu chuyển (network traffic) trên 1 mạng hay một phần của mạng. Sniffer sẽ có nhiệm vụ chặn bắt các gói tin (packet), sau đó giải mã, phân tích nội dung của nó nhằm thực hiện các mục đích khác nhau.
1.2 Ứng dụng của sniffer
1.2.1 Khả năng
• Đối với mạng LAN có dây thì phụ thuộc vào cấu trúc của mạng (sử dụng hub hay switch) ta có thể chặn bắt toàn bộ hay một phần các thông tin trên mạng từ một nút duy nhất nằm trong mạng. Đối với hub ta có thể chặn bắt tất cả các gói tin truyền tải qua mạng, nhưng đối với switch cần phải có một số phương thức đặc biệt như ARP snoofing.
• Đối với mạng LAN không dây thì các gói tin được chặn bắt trên các kênh riêng biệt.
• Để một máy có thể chặn bắt thông tin trong mạng của nó, network adapter phải được đặt ở promiscuous mode.
1.2.2 Mục đích
Thường có 2 dạng chính: dùng để kiểm tra bảo trì mạng và dạng kia dùng để xâm nhập mạng. Chúng được sử dụng cho các mục đích:
• Phân tích hiệu năng làm việc hoặc sự cố mạng.
• Nhận biết sự xâm nhập mạng, rò rỉ thông tin, ... lấy về thông tin liên quan tới quá trình xâm nhập.
• Quản lý sử dụng mạng.
• Tập hợp thông tin báo cáo về trạng thái mạng.
• Sửa lỗi, bảo trì các hình thái, giao thức mạng.
• Lọc lấy thông tin cần thiết được lưu chuyển trên mạng, đưa về dạng phù hợp để con người có thể đọc.
• Chặn bắt các thông tin nhạy cảm như mật khẩu, username của người dùng khác trên mạng nhằm xâm nhập hệ thống của họ.
1.3 Các chương trình sniffer hiện có
Hiện nay có rất nhiều chương trình miễn phí cũng như thương mại thực hiện việc chặn bắt và phân tích gói tin. Một số chương trình trong đó như:
• Tcpdump (http://www.tcpdump.org/) đối với Unix và Windump (http://www.winpcap.org/windump/default.htm) đối với Window.
• Wireshark (http://www.wireshark.org/).
• Etherpeek (http://www.aggroup.com/).
• Triticom LANdecoder32
(http://www.triticom.com/TRITICOM/LANdecoder32/).
• Snort (http://en.wikipedia.org/wiki/Snort_(software)). (adsbygoogle = window.adsbygoogle || []).push({});
• Kismet (http://en.wikipedia.org/wiki/Kismet_(software)) dành cho 802.11 wireless LANs.
• Cain & Anbel (http://www.oxid.it/)