PHÂN TÍCH GĨI TIN
2.2 Phân tích chi tiết nội dung gói tin
Để phân tích chi tiết nội dung gói tin, có ba kỹ thuật cơ bản để người phân tích phân tích nội dung gói tin như sau
- Lọc chọn gói tin – Packet Filtering 2.2.1 Khớp mẫu – Pattern Matching
Khớp mẫu là phương pháp xác định các gói tin “đáng quan tâm”, bằng cách kết hợp các giá trị cụ thể trong các tập gói tin cần được phân tích. Người phân tích có thể tận dụng các danh sách gói tin “cần quan tâm” từ trước để phân tích các hoạt động anh ninh của hệ thống. Việc cần nhanh chóng tìm ra các gói tin “cần quan tâm” này dựa trên các chuỗi hoặc các mẫu (từ khóa tìm kiếm) liên quan đến các hoạt động an ninh mạng cần phân tích
Có nhiều cơng cụ khác nhau để tiến hành khớp mẫu cho quá trình thu thập và phân tích gói tin. Một trong số các cơng cụ thường được các nhà phân tích sử dụng đó là ngrep. Người phân tích sẽ thấy được kết quả về một số thơng tin hữu ích cho việc phân tích như: Địa chỉ nguồn của gói tin chứa đọa giao dịch, địa chỉ đích, tệp dữ liệu được truyền đi, chuỗi tìm kiếm.
2.2.2 Trích xuất các trường của giao thức – Parsing Protocol Fields.
Người phân tích sẽ trích xuất các nội dung của các trường của giao thức bên trong các gói tin quan tâm. Người phân tích sẽ sử dụng tshark để trích xuất tất cả dữ liệu AIM từ tệp thu thập được. Kết quả hiển thị sẽ cho người phân tích biết được nội dung trao đổi giữa hai bên và những thơng tin này sẽ có ích cho việc phân tích về sau.
2.2.3 Lọc chọn gói tin – Packet Filtering
Lọc chọn gói tin thực hiện tách các gói tin dựa trên các giá trị của các trường trong giao thức.
Lọc chọn gói tin thường được sử dụng bằng bộ lọc BPF hoặc bộ lọc hiển trị Wireshark
Bộ lọc BPF: Libpcap đã cung cấp một ngôn ngữ lọc gói tin rất mạnh là Berkeley (BPF). Lọc gói tin BPF cho phép người phân tích quyết định luồng giữ liệu nào sẽ được chặn bắt, phân tích, và luồng dữ liệu nào sẽ được bỏ qua. BPF cho phép lọc luồng dữ liệu dựa trên việc so sánh giá trị trong các trường ở giao thức tầng liên kết, tầng mạng và tầng vận chuyển. BPF có sẵn các hàm “nguyên thủy” cho phần lớn các giao thức phổ biến. BPF được xây dựng rất đơn giản từ các hàm “host” và “post” “nguyên thủy”. BPF cũng có thể sử dụng các chuỗi điều kiện và sử dụng các hàm logi như AND và OR. BPF cũng được sử dụng rộng rãi và hỗ trợ cho các công cụ thu thập và phân tích.