CHƯƠNG 3. ÁP DỤNG KĨ THUẬT ĐIỀU TRA SỐ ĐỂ GIÁM SÁT
3.4. Thực hiện điều tra số dựa trên hệ thống đã mô tả
3.4.4. Công cụ phân tích gói tin Wireshark
Công cụ phân tích Wireshark còn đƣợc gọi là Ethereal – một trong những ứng dụng đƣợc dùng để phân tích dữ liệu hệ thống mạng, theo dõi và giám sát gói tin theo thời gian thực, hiển thị chính xác và báo cáo người dùng qua một giao diện đơn giản và thân thiện.
Nếu bạn là một quản trị viên hệ thống, hoặc là người thường xuyên tiếp xúc với hệ thống máy chủ, thì chắc chắn bạn không thể không biết đến Wireshark – công cụ phân tích gói dữ liệu hệ thống mạng hàng đầu hiện nay.
Với gói giao diện trực quan, sử dụng đơn giản và báo cáo chính xác là những nguyên nhân chính khiến chúng đƣợc đƣa vào phần lớn các hệ thống máy chủ.
Phần mềm này cung cấp cho người dùng những thông tin hữu ích về giao thức mạng, thu thập gói tin cùng khả năng đọc và ghi dữ liệu theo nhiều dạng khác nhau. Phần mềm này còn đƣợc sủ dụng để làm nhiệm vụ xử lý sự cố mạng, hỗ trợ trên nhiều hệ điều hành khác nhau nhƣ Windows, Ubuntu, Linux,… Khi đã làm quen với Wireshark, bạn sẽ dễ dàng phân tích dữ liệu trong hệ thống mạng của mình.
Chức năng Wireshark mang lại cho người dùng
Wireshark đƣợc sử dụng rộng rãi tại nhiều doanh nghiệp, đơn vị khác nhau nhƣ các cơ sở giáo dục, cơ quan chính phủ,… bởi chúng có nhiều tính năng hữu ích với người dùng như:
- Phân tích chuyên sâu các giao thức mạng đã và đang đƣợc bổ sung hàng ngày.
- Là công cụ tạo đường dẫn gói tin.
- Thu thập dữ liệu từ nhiều gói tin.
- Hỗ trợ bộ lọc mạnh mẽ hiển thị các gói dữ liệu.
- Cung cấp các phương pháp phân tích trực quan và nhanh chóng
- Giải nén nhiều giao thức mạng nhƣ Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB,….
- Đọc và xuất dữ liệu từ nhiều giao thức
- Xuất dữ liệu theo nhiều định dạng khác nhau Lý do chọn phần mềm Wireshark
Công cụ giám sát an toàn mạng là các ứng dụng đƣợc phát triển để theo dõi tình trạng của hệ thống, hiện nay trên thế giới có nhiều bộ công cụ chia làm nhiều nhóm có những chức năng riêng.
Tuy nhiên, những công cụ giám sát phải đƣợc toàn diện, tình trạng của hệ thống phải được cập nhật thường xuyên 24/7. Phải hỗ trợ nhiều giao thức, dễ dàng phát triển, dễ sử dụng, cài đặt đơn giản…
Hiện nay, có rất nhiều giải pháp mã nguồn mở tự do cho phép triển khai giám sát, phát hiện và chống xâm nhập mạng rất hiệu quả nhƣ Wireshark, NetworkMiner, Snort, Foremost… Trong đó Wireshark là giải pháp chặn bắt và phân tích gói tin dễ dùng nhất, ứng dụng đồ họa với hệ thống menu rõ ràng. Nhiều tính năng trên Wireshark còn đƣợc đánh giá cao hơn trong các sản phẩm thương mại.
Nhƣ đã đề cập ở trên Wireshark là một công cụ phân tích các gói tin trên hệ thống mạng. Nó sẽ capture các gói dữ liệu trên hệ thống mạng và hiển thị chúng lên giao diện của phần mềm này một cách chi tiết. Bạn có thể hiểu nó như một thiết bị đo lường nhằm khảo sát những thứ đang diễn ra bên trong hệ thống mạng. Phần dưới đây sẽ giới thiệu một số kỹ thuật được sử dụng nhiều trên Wireshark hỗ trợ đắc lực trong việc đọc hiểu những gì đang diễn ra trong hệ thống mạng cũng nhƣ giải quyết các vấn đề trong Network Forensics.
3.4.4.1.Filter
Filter là một công cụ rất hữu ích để lọc và tìm những gói tin mong muốn trong số rất nhiều các gọi tin mà Wireshark bắt đƣợc.
Hình 14: Công cụ Filter.
Có thể thấy trường Filter được hiển thị ngay trên giao diện chính. Bạn nhập thông tin ngay ở đây và và nhấn enter để tiến hành quá trình lọc lấy gói tin mà mình muốn khảo sát. Hoặc bạn cũng có thể sử dụng Filter trong mục:
Analyze ->Display filter. Thông tin nhập vào ô filter này có cấu trúc giống như một câu truy vấn và bạn cũng có thể sử dụng những toán tử thông thường nhƣ: ==, !=, >, <, >=, <=.
3.4.4.2. Lọc theo protocol
Đƣợc sử dụng nếu muốn tìm tất cả những gói tin có cùng kiểu protocol, ta chỉ cần nhập kiểu protocol vào ô filter hoặc một tạo filter mạnh hơn nữa:
tcp.port == 80 và nó sẽ trả về các packet có protocol là TCP và chạy qua cổng 80 (ở địa chỉ nguồn hoặc đích ).
3.4.4.3. Lọc các gói tin HTTP GET/POST
Đây là một filter rất hay vì khi điều tra về một vấn đề xảy ra trong mạng thì việc tìm những gói tin GET/POST thường ẩn chứa rất nhiều thông tin hữu
ích. Ta nhập vào ô filter theo cấu trúc: http.request or http.response hoặc sử dụng các mệnh đề mạnh hơn: http.request.method == POST ( GET ).
tcp.flags.reset==1
Filter này thì ít dùng hơn nhƣng cũng là một thủ thuật hay vì nó cho ta biết về trạng thái của các connection trong mạng. Đây cũng là một điểm mà hacker sử dụng để thực hiện các cuộc tấn công “forged TCP resets”.
CTRL+F
Đây là một kỹ thuật mà ai cũng biết nhƣng đôi khi rất hay quên. Đặc biệt là trong Wireshark thì nó là một công cụ quyền lực, nó thay thế hay hỗ trợ rất nhiều cho filter. Hộp tùy chọn khi sử dụng tổ hợp phím này nhƣ sau:
Hình 15: CTRL+F.
Display Filter: có vai trò tương đương với ô filter ở giao diện chính Hex value: Tìm những gói tin có các giá trị hexa tương ứng (khung dưới cùng ở giao diện)
String: Tìm những gói tin chứa string tương ứng
Còn các tùy chọn trong mục search in: Cho biết bạn muốn tìm những giá trị trên trong khung nào ( có 3 khung tương ứng từ trên xuống dưới ). Đây thực sự là một công cụ hữu ích nhất là khi bạn đã có chút manh mối nào đó về gói tin mà mình cần quan tâm ( một cái tên hay là một mã hex gì đó để nhận diện chả hạn).
Follow TCP Stream
Đây là một tùy chọn trong mục Analyze mà chắc hẳn bất kì ai sử dụng Wireshark đều đã từng dùng qua: ( hoặc nhanh hơn bạn có thể click chuột phải vào gói tin cần khảo sát và chọn Follow TCP Stream). Để thực hiên một giao tiếp giữa client và server thì không chỉ một mà có nhiều các gói tin đƣợc chuyển qua lại. Vì vây tùy chọn này rất có ích trong việc cho bạn một cái nhìn toàn thể và dễ hiểu về toàn bộ sự tương tác giữa 2 máy tính.
Export HTTP Object
Đây là một tính năng rất đƣợc ƣa thích. Bạn bắt đƣợc hàng trăm gói tin.
Nhƣng trong số đó chỉ có một số ít gói có chứa các đối tƣợng thông tin hữu ich, dễ nhận biết nhƣ một file ảnh hay một file text hay một đoạn html chả hạn. Vậy làm cách nào để bạn có thể tìm đƣợc những thứ đó trong một đống hỗn độn các gói tin nhƣ thế này. Câu trả lời chính là đây: File->object->http và bạn sẽ thu đƣợc một list các đối tƣợng đã đƣợc chiết xuất từ tất các gói tin mà Wireshark bắt đƣợc.