CHƯƠNG 4 PHÂN TÍCH DỮ LIỆU
4.1. PHÂN TÍCH GÓI TIN 1 Xâm nhập vào gói tin
4.1.1 Xâm nhập vào gói tin
Gói tin là một minh họa của giao thức trong thực tế vì chúng được tạo ra phù hợp với tiêu chuẩn mô tả trong giao thức. Gói tin là một đơn vị dữ liệu được định dạng và truyền qua mạng từ thiết bị này tới thiết bị khác. Các gói tin là những đơn vị cơ bản nhất để tạo ra kết nối giữa các máy tính và do đó chúng cũng chính là bản chất của giám sát an toàn mạng.
Để tạo ra được gói tin cần kết hợp các dữ liệu từ nhiều giao thức. Ví dụ: một yêu cầu HTTP GET thông thường trong thực tế cần dùng ít nhất bốn giao thức để đảm bảo yêu cầu được truyền từ trình duyệt tới máy chủ web (HTTP, TCP, IP và Ethernet). Khi nhìn vào các gói tin trước đó sử dụng phần mềm Wireshark, có thể thấy các gói tin được hiển thị trong định dạng giống như mô tả trong Hình 4.1.
Hình 4.1 Một gói tin yêu cầu HTTP GET đơn giản hiển thị trong Wireshark
Wireshark là một công cụ tốt để giúp người dùng tương tác với gói tin và phân tích chúng. Nhưng nếu muốn hiểu được các gói tin ở mức cơ bản nhất, cần làm việc với một công cụ nền tảng
là tcpdump (hay Windump trong Windows). Khác với Wireshark, tcpdump không cung cấp giao diện đồ họa người dùng và các tiện ích kèm theo khi phân tích gói tin mà nó phải dựa vào người dùng để thực hiện phân tích cho từng gói dữ liệu riêng lẻ. Để làm việc được với tcpdump, người dùng phải nghĩ nhiều hơn về các gói tin đang phân tích, hiểu được và áp dụng được các tri thức của mình về gói tin. Khi đó, việc phân tích sẽ mang lại kết quả tốt hơn nhiều so với khi sử dụng bất kỳ công cụ phân tích tốt nhất nào.
Với tcpdump, có thể xem gói tin yêu cầu HTTP GET ở hình trên dưới dạng hệ cơ số 16 bằng lệnh sau:
tcpdump –nnxr ansm-13-httpget.pcapng
Hình 4.2 Một gói tin yêu cầu HTTP GET đơn giản hiển thị trong tcpdump
Nếu chỉ nhìn vào dữ liệu dạng cơ số 16 (hex) trong Hình 4.2, có thể thấy khó hiểu. Tuy nhiên, nếu áp dụng các giao thức để phân tích thì việc này sẽ không khó. Để bổ sung thông tin, phần sau sẽ mô tả một số khái niệm toán học cần dùng để bổ trợ cho việc phân tích gói tin.