HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG






NGUYỄN XUÂN TRƯỜNG


NGHIÊN C
ỨU PH
ƯƠNG PHÁP GIÁM SÁT, PHÂN TÍCH THÔNG TIN VÀO RA
HỆ THỐNG MẠNG DOANH NGHIỆP
Chuyên ngành: Kỹ thuật Điện tử
Mã số: 60.52.70
TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NÔI - 2012


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG


Người hướng dẫn khoa học: TS. Trịnh Anh Tuấn


Phản biện 1: ……………………………………………

Phản biện 2: ……………………………………………



Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc
sĩ tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn
thông
1
MỞ ĐẦU
Xã hội hiện đại ngày nay, việc sử dụng mạng máy tính đã trở
nên quen thuộc đối với mọi người trong xã hội, như xã hội điện
tử (chính phủ điện tử, cổng thông tin điện tử, ngân hàng điện
tử, chợ điện tử ). Cùng với sự phát triển của công nghệ thông
tin và nhu cầu của con người, mạng máy tính cũng càng ngày
càng mở rộng và trở thành một phần không thể thiếu của đời
sống. Tuy nhiên, cùng với sự phát triển của mạng máy tính, rất
nhiều vấn đề liên quan cũng được đặt ra đối với người sử dụng
như lỗi đường truyền, virus, sự tấn công của các tin tặc hacker
làm rối loạn, gây hỏng hóc và trộm cắp thông tin quan trọng
Để góp phần giải quyết những vấn đề này thì việc kiểm soát
lượng thông tin vào ra trong 1 mạng cơ quan doanh nghiệp,
mang một ý nghĩa rất quan trọng. Chính vì vậy em lựa chọn
thực hiện đồ án tốt nghiệp là “Nghiên cứu phương pháp giám
sát, phân tích thông tin vào ra, hệ thống mạng doanh nghiệp
” nhằm mục đích cung cấp một công cụ hữu ích cho việc kiểm
soát lưu lượng thông tin vào ra cho doanh nghiệp của mình

được an toàn. Luận văn tập trung chủ yếu đến một số nội dung
cơ bản sau:
Chương I: Tổng quan đề tài
Chương này đề cập một cách tổng quan về nguy cơ đối với an
ninh mạng, các hình thức tấn công qua mạng hiện đại, các
phương pháp quản lý giám sát an ninh phòng chống, từ đó đặt
ra vấn đề nghiên cứu của luận văn.
Chương II: Kỹ thuật chặn bắt và phân tích gói tin
2
Chương này cho ta hiểu biết khái quát chung, thế nào là chặn
bắt và phân tích gói tin, các khái niệm liên quan, và cách thức
nguyên lý hoạt động, cũng như cấu tạo của chương trình
sniffer. Các phương pháp kỹ thuật được sử dụng trong chương
trình chặn bắt
Chương III: Ứng dụng của chương trình chặn bắt và phân
tích gói tin
Chương này ở phần 1 chúng ta tìm hiểu về giao thức TCP/IP và
khuôn dạng đóng gói dữ liệu của các gói tin theo giao thức
khác nhau. Phần 2 chúng ta tìm hiểu về chương trình chặn bắt
và phân tích gói tin wireshark.














3
CHƯƠNG I – TỔNG QUAN ĐỀ TÀI
PHN 1. GII THIU Đ TÀI
1.1 Nguy c đi vi an ninh mng
a) Mất an ninh mạng có thể xảy đến với toàn mạng và bất cứ
phần tử nào của mạng. Sự mất an toàn có thể xảy đến với thông
tin lưu trữ trong một host, một web server, một router, một
mail server, proxy server, … hay đối với các thông tin lưu
thông trong mạng và cả băng thông của mạng.
b) Mất an ninh mạng có thể đến từ ngoài và cả bên trong nội
bộ hệ thống mạng, trong đó Internet không phải là nguồn duy
nhất. Hacker có thể là người hoàn toàn xa lạ từ bên ngoài thâm
nhập vào mà cũng có thể là nhân viên ở phòng bên cạnh hay
chính là một trong những người sử dụng mạng nội bộ.
c) Mất an ninh mạng có thể đến từ người sử dụng hợp pháp
lẫn không hợp pháp. Người sử dụng hợp pháp thì thường có
sẵn những quyền nhất định đối với hệ thống mạng nên nếu họ
có ý định hack một phần tử nào đó của mạng thì tổn thất cũng
sẽ lớn hơn.
d) Mất an ninh mạng có thể do hành động cố ý hoặc chỉ là vô
tình. Ngoài những hành động cố ý phá hoại thì có thể chúng ta
sẽ vô tình để lộ những dấu vết, điểm yếu của hệ thống mạng
trong khi sử dụng, vô tình sử dụng một phần mềm có hại, từ đó
dẫn đến việc hacker có thể lợi dụng
4

Hình 1.2: Mô hình các loại tổ chức bị tin tặc hacker tấn công

1.2 Mc đích nghiên cu ca đ tài
Đánh giá phân tích lưu lượng thông tin đi vào và đi ra của
doanh nghiệp, qua đó giám sát được an ninh bảo mật về các
luồng thông tin vào ra này có bị dòm ngó bởi các cuộc tấn công
từ bên ngoài cũng như lỗ hổng bảo mật, điểm yếu phát sinh từ
bên trong, mà người quản trị sẽ lường trước được rủi ro sẽ xảy
ra, từ đó đưa ra các phương án chính sách phòng chống hợp lý,
tránh trường hợp xấu và đáng tiếc xảy ra như (mất dữ liệu, mất
thông tin password, nghẽn mạng, thông tin đưa lên bị sai lệch
nội dung, bị lợi dụng làm phần tử tham gia vào các cuộc tấn
công mà không hề biết , ảnh hưởng không nhỏ đến lợi ích của
doanh nghiệp cũng như lợi ích của từng cá nhân bên trong
doanh nghiệp.
1.3 Mc tiêu và mong mun kt qu đt đc ca đ tài
a) Mục tiêu của đề tài là nghiên cứu xây dựng được 1 hệ
thống giám sát thông tin cho cơ quan với số lượng người sử
dụng khoảng 500, đảm bảo được an ninh, an toàn cho người sử
5
dụng mạng trong cơ quan trao đổi thông tin với nhau bên trong,
cũng như đi ra bên ngoài internet.
b) Mong muốn kết quả đạt được của đề tài là đem lại sự hiểu
biết sâu sắc hơn cho người quản trị mạng, và người sử dụng
mạng về việc làm thế nào để biết được và phân tích được gói
tin đi vào và đi ra của mình trên mạng sao cho an toàn, đảm
bảo không bị mất mát dữ liệu, thông tin, hay bị dòm ngó bới
hacker và hướng cho người quản trị biết cách phát hiện và
phòng tránh cũng như sử dụng biện pháp ngăn chặn hữu ích
nhất cho hệ thống.
c) Tóm tắt các tiêu chí đặt ra cho mục tiêu như sau
- Phân tích hiệu năng làm việc hoặc sự cố mạng.

- Nhận biết sự xâm nhập mạng, rò rỉ thông tin
- Quản lý sử dụng mạng.
- Tập hợp thông tin báo cáo về trạng thái mạng.
- Sửa lỗi, bảo trì các hình thái, giao thức mạng.
- Lọc lấy thông tin cần thiết được lưu chuyển trên mạng, đưa
về dạng phù hợp để con người có thể đọc.
- Hiểu được cấu tạo mạng, biết được ai đang sử dụng băng
thông mạng, phát hiện các điểm yếu, các khả năng tấn công và
các hành vi phá hoại
- Chặn bắt, giải mã và phân tích nội dung phần header của gói
tin, nhằm phát hiện nguồn gốc của gói tin, cũng như mã độc ẩn
chứa bên trong gói tin
6

Hình 1.3: Mô hình hệ thống tường lửa, giám sát mạng
1.4 Đi tng và phm vi nghiên cu ca đ tài
Áp dụng đối với doanh nghiệp, công ty, đơn vị nhà nước vừa
và nhỏ. Trong phạm vi của đề tài sẽ được thực hiện trên hệ
điều hành Window và sử dụng bộ giao thức TCP/IP Ethernet
nên trong phần này, sẽ trình bày những vấn đề cơ bản nhất của
mạng Ethernet.
1.5 Phng pháp nghiên cu ca đ tài
Phân tích nội dung gói tin vào ra mạng bằng phương pháp sử
dụng phần mềm sniffer để bắt giữ gói tin lại, sau đó đưa vào
xử lý phân tích Packet Analyzer.
Cuối cùng đưa ra màn hình hiển thị thông báo cảnh báo cho
người quản trị hệ thống
PHN 2. GII THIU CÁC HÌNH THC TN CÔNG
1. Các hình thc tn công
1.1. Tn công t chi dch v DoS/DdoS

Đây là dạng tấn công phá hoại, làm lụt máy chủ bằng cách gửi
rất nhiều request đến (từ rất nhiều địa chỉ IP) làm cho máy chủ
7
không đủ khả năng xử lý (đo bằng số request/giây), thường
hacker giả mạo địa chỉ IP nguồn, giả mạo nhiều địa chỉ và dùng
các giao thức khác nhau (TCP, IP) để bước qua hệ thống an
ninh, nạn nhân khó phân biệt giữa hacker và người sử dụng
bình thường
1.2. Gi mo đa ch IP - IP Spoofing
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc
sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này,
kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa
chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc
một máy được coi là an toàn đối với mạng bên trong), đồng
thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.
1.3. Tn công trc tip
Những cuộc tấn công trực tiếp thông thường được sử dụng
trong giai đoạn đầu để chiếm quyền truy nhập bên trong. Một
phương pháp tấn công cổ điển là dò tìm tên người sử dụng và
mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không
đòi hỏi một điều kiện đặc biệt nào để bắt đầu.
1.4. Nghe trm
Việc nghe trộm thông tin trên mạng có thể để lại những thông
tin có ích như tên, mật khẩu của người sử dụng, các thông tin
mật chuyển qua mạng. Việc nghe trộm thường được tiến hành
ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập truy
cập hệ thống.
8
1.5. Vô hiu hóa các chc năng ca h thng mc tiêu
Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực

hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể
ngăn chặn được, do những phương tiện được tổ chức tấn công
cũng chính là các phương tiện để làm việc và truy nhập thông
tin trên mạng.
1.6. S dng li ca ngi qun tr h thng
Đây không phải là một kiểu tấn công của những kẻ đột nhập,
tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những
lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng
nội bộ.
2. Các k thut xâm nhp mng
2.1. RÌNH MÒ (SNOOPING)
Đa số người sử dụng đều nghĩ rằng dữ liệu truyền đi từ máy
tính của mình sẽ được bảo vệ và có thể chu du khắp Internet
mà không bị một kẻ nào đó chặn lại. Nhưng thực ra đây là một
quan niệm sai lầm. Sự kết hợp của các máy tính bị tấn công và
các lỗ hổng trong mạng không dây đã làm tăng đáng kể khả
năng xâm nhập vào luồng thông tin đang lưu chuyển của bạn.
2.2. ĐÁNH LỪA (SPOOFING), (ĐÁNH LỪA IP,…)
Đây là sự giả mạo địa chỉ IP hoặc khống chế tập lưu trữ thông
tin về địa chỉ này trong hệ thống mạng. Hacker thường dùng
cách này để mạo danh là máy tính hợp pháp nhằm chiếm quyền
điều khiển trình duyệt web trên máy tính bị tấn công.
9
2.3. ĐIỆP VIÊN( AGENT)
Hiện nay, việc sử dụng Keylogger khá phổ biến ở Việt Nam.
Các chương trình này được truyền nhau thông qua các diễn đàn
(forum) trên mạng

PHN 3. CÁC PHNG PHÁP QUN LÝ GIM SÁT AN NINH
PHÒNG CHNG

1. H thng tng la ISA
Hệ thống ISA là hệ thống đáp ứng nhu cầu bảo vệ và chia sẻ
băng thông trong các công ty có quy mô trung bình, hệ thống
này dùng để kiểm soát các luồng dữ liệu vào ra hệ thống mạng
nội bộ của công ty, kiểm soát quá trình truy cập của người
dùng theo giao thức, thời gian, và nội dung nhằm ngăn chặn
việc kết nối vào những trang web có nội dung không thích hợp.
2. H thng phát hin xâm nhp trái phép IDS và ngăn nga
xâm nhp trái phép IPS
Hệ thống IPS (intrusion prevention system) là một kỹ thuật an
ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ
thống phát hiện xâm nhập IDS (intrusion detection system), có
khả năng phát hiện sự xâm nhập các cuộc tấn công, và tự động
ngăn chặn các cuộc tấn công đó. IPS không đơn giản chỉ dò các
cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản
trở các cuộc tấn công đó.
10
3. H thng qun lý giám sát, bt gi và phân tích chuyên
sâu gói tin DPI (Deep packet inpection) wireshark
Wireshark là 1 trong những ứng dụng phân tích dữ liệu gói tin
lưu chuyển trên hệ thống mạng, với khả năng theo dõi, giám sát
các gói tin theo thời gian thực, hiển thị chính xác, báo cáo cho
người dùng qua giao diện khá đơn giản và thân thiện.
Wireshark dùng để phân tích các giao thức của mạng, cho phép
bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói
tin và phân tích offline chúng, phân tích hiệu năng làm việc
hoặc sự cố mạng, nhận biết sự xâm nhập mạng, rò rỉ thông tin.
4. Nhn xét đánh giá so sánh u nhc đim
Để đảm bảo bảo mật an toàn tuyệt đối hệ thống mạng doanh
nghiệp, thì phải kết hợp cả 3 loại phương pháp trên, bởi vì mỗi

phương pháp có một ưu điểm nổi trội mạnh mẽ riêng của nó,
cũng như nhược điểm của nó chưa có được mà phương pháp
khác lại có được, ví dụ như ISA nó có ưu điểm chia sẻ băng
thông, vpn, tăng tốc mạng, firewall, nhưng lại không phát hiện
ra được có sự xâm nhập trái phép của hacker nhanh như IDS và
nó cũng không thể nào biết được nội dung bên trong của gói tin
đi vào đi ra doanh nghiệp có chứa hay tiềm ẩn mã độc hay
không, mà phải nhờ vào sự phân tích chuyên sâu của hệ thống
DPI wireshark.
KẾT LUẬN CHƯƠNG: Chương này đưa ra cho chúng ta cái
nhìn khái quát mọi vấn đề về an ninh an toàn hệ thống mạng
hiện tại và các phương pháp phòng tránh nâng cao hiệu quả bảo
11
vệ thông tin, dữ liệu. Nhiệm vụ cấp thiết đề ra và mong muốn
kết quả đạt được của đề tài này.

CHNG II. K THUT CHN BT VÀ PHÂN TÍCH GÓI TIN
1. Tng Quan V Chn Bt Gói Tin (Sniffer)
1.1 Th nào là chn bt và phân tích gói tin
Phân tích gói tin, thông thường được quy vào việc nghe các gói
tin và phân tích giao thức, mô tả quá trình bắt và phiên dịch các
dữ liệu sống (thời gian thực) như là các luồng đang lưu chuyển
trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên
mạng. Phân tích gói tin thường được thực hiện bởi một packet
sniffer, một công cụ được sử dụng để bắt dữ liệu thô trên đang
lưu chuyển trên đường dây. Phân tích gói tin có thể giúp chung
ta hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái
gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử
dụng mạng đạt cao điểm, chỉ ra các khả năng tấn công và các
hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật.

1.2 Các khái nim liên quan
 Packet là một đơn vị dữ liệu được định dạng để lưu chuyển
trên mạng.
 Network Traffic là lưu lượng thông tin vào/ra hệ thống
mạng. Để có thể đo đạc, kiểm soát Network Traffic ta cần phải
chặn bắt các gói tin (Packet capture).
 Packet capture là hành động chặn bắt các packet dữ liệu
được lưu chuyển trên mạng. Packet capture gồm có:
12
o Deep Packet Capture (DPC): là hành động chặn bắt toàn bộ
các gói tin trên mạng (bao gồm cả phần header và payload).
Các gói tin chặn bắt được sẽ được lưu trữ lại trong bộ nhớ tạm
thời hoặc lâu dài.
o Deep Packet Inspection (DPI): là quá trình kiểm tra, đánh
giá để tìm ra nguyên nhân của những vấn đề của mạng, xác
định nguy cơ an toàn bảo mật, chắc chắn mạng hoạt động chính
xác về kỹ thuật và luật pháp.
1.3 ng dng ca sniffer
Bắt gói tin đối với mạng LAN có dây thì phụ thuộc vào cấu
trúc của mạng (sử dụng hub hay switch) ta có thể chặn bắt toàn
bộ hay một phần các thông tin trên mạng từ một nút duy nhất
nằm trong mạng. Đối với hub ta có thể chặn bắt tất cả các gói
tin truyền tải qua mạng, nhưng đối với switch cần phải có một
số phương thức đặc biệt như ARP snoofing. Đối với mạng
LAN không dây thì các gói tin được chặn bắt trên các kênh
riêng biệt.
2. Cách Thc Hot Đng
2.1. Theo dõi Network Traffic
Trong phạm vi của báo cáo thực tập tốt nghiệp chỉ xét tới môi
trường mạng có dây trong WindowXP, hay chính xác hơn là

trong phạm vi chuẩn Ethernet. Ethernet được xây dựng dựa
trên khái niệm chia sẻ. Tất cả các máy trong một mạng nội bộ
đều được chia sẻ chung một đường dây. Điều đó chỉ ra rằng tất
cả các máy trong mạng đều có thể “nhìn thấy” traffic trong
đường dây đó.
13
Do đó, phần cứng Ethernet sẽ có một bộ lọc “filter” bỏ qua tất
cả nhưng traffic không phải dành cho nó (bằng cách bỏ qua tất
cả các frame có địa chỉ MAC không phù hợp).
2.2. Phân tích Network Traffic
Khi dữ liệu được gửi trên đường dây, nó sẽ được chia nhỏ,
đóng gói thành nhiều packet và được gửi đi một cách riêng
biệt. Sniffer là chương trình sẽ chặn bắt các packet này. Sau khi
đã tiến hành chặn bắt thành công các gói tin, chúng ta sẽ có
được các packet mang thông tin. Tuy nhiên, để lấy được thông
tin cần thiết phục vụ cho các mục đích khác nhau, chúng ta
phải thực hiện việc phân tích các gói tin đó (Packet Analysis).
2.3. Các thành phn ca mt chng trình sniffer
Hardware: Phần cứng thỏa mãn các tiêu chuẩn của network
adapter. Ngoài ra có thể có các tính năng đặc biệt bổ sung để
kiểm tra lỗi CRC, lỗi điện thế, lỗi cáp
Capture driver : Là phần quan trọng nhất. Nó có nhiệm vụ bắt
lấy network traffic trên đường dây, lưu trữ dữ liệu vào buffer
và lọc lấy thông tin cần thiết.
Buffer : Dữ liệu sau khi được lấy về sẽ được lưu trữ tạm thời
tại buffer. Thường có 2 phương pháp sử dụng buffer: ghi vào
cho tới khi buffer đầy, hoặc ghi theo phương pháp vòng tròn
khi mà dữ liệu mới nhất sẽ thay thế dữ liệu cũ nhất.
Real-time analysis: Phân tích traffic về protocol, kiểm tra lỗi
khi capture packet.

Decode: Giải mã và hiển thị nội dung của network traffic dưới
dạng phù hợp tùy thuộc vào yêu cầu.
14
Packet editting/transmission: Một vài chương trình cho phép
chúng ta tự tạo cho mình những packet và đưa chúng lên mạng.
2.4. Phòng chng sniffer
Trước tiên, chắc chắn rằng không một máy riêng biệt nào có
thể lắng nghe hay chặn bắt toàn bộ mạng Internet. Thứ hai, để
có thể lắng nghe một liên kết, cần phải truy nhập được vào dây
nối vật lý của liên kết đó (hay có thể tham gia vào giữa đường
truyền vật lý của các gói tin). Vậy nên trước hết để phòng
chống sniffer là ngăn chặn không để sniffer được cài đặt hay
chạy trên bất kì máy nào trong mạng cũng như kiểm tra cẩn
thận dây nối trong mạng (đối với mạng có dây).
3. Các phng pháp s dng cho k thut chn bt
3.1. Raw Socket – mc h điu hành
Socket là một phương pháp để thiết lập kết nối truyền thông
giữa một chương trình yêu cầu dịch vụ ( client) và một chương
trình cung cấp dịch vụ (server) trên mạng LAN, WAN hay
Internet và đôi lúc là giữa những quá trình ngay bên trong máy
tính. Mỗi socket có thể được xem như một điểm cuối trong
một kết nối. Một socket trên máy yêu cầu dịch vụ có địa chỉ
mạng được cấp sẵn để “gọi” một socket trên máy cung cấp dịch
vụ. Một khi socket đã được thiết lập phù hợp, hai máy tính có
thể trao đổi dịch vụ và dữ liệu.
3.2. Pcap: Mc network adapter
Pcap (packet capture) bao gồm những giao diện lập trình ứng
dụng (API) dùng để chặn bắt network traffic. Đối với các hệ
15
thống thuộc họ Unix ta có thư viện libpcap, còn đối với

Window ta có thư viện được port từ libpcap là winpcap.
3.3. So sánh Raw Socket và Pcap
Raw socket và pcap đều có thể được sử dụng để viết chương
trình sniffer. Tuy nhiên socket chỉ có thể làm việc từ tầng thứ 4
trong mô hình OSI trở lên (transport layer trong TCP/IP) và
raw socket có thể làm việc được với tầng thứ 3 trong mô hình
OSI trở lên (network layer trong TCP/IP) còn pcap có thể làm
việc với tầng thứ 2 trở lên trong mô hình OSI (link layer trong
TCP/IP).
Kết luận: Để xây dựng một ứng dụng sniffer, ta hoàn toàn có
thể sử dụng bất kỳ một trong hai phương pháp trên. Tuy nhiên,
tùy vào nhiều yếu tố khác nhau mà ta có thể chọn một trong hai
phương pháp hay kết hợp cả hai phương pháp.
3.4. Winsock
Là viết tắt của từ Window Socket. Là một thư viện socket, nó
được dùng như là giao diện giữa TCP/IP và Windows.
Winsock là một thư viện liên kết động .DLL chạy trên nên hệ
điều hành Windows. WINSOCK.DLL liên hệ với TCP từ đó
giao tiếp ra ngoài mạng Internet. Winsock thực sự như một
tầng giữa các ứng dụng winsock và ngăn xếp TCP/IP.
3.5. NET Socket
.NET Socket tương tự như Winsock là một thư viện lập trình
socket cho window nhưng hoạt động trên nền .NET. Nói cách
khác, .NET Socket là một giao diện lập trình “managed code”
của Window Socket (Winsock), tức là nó hoạt động trên nền
16
Winsock. Do vậy, ta hầu như có thể coi lập trình với .NET
Socket giống như lập trình với Winsock. Trong .NET Socket.
3.6. Winpcap
Sử dụng Winpcap để xây dựng sniffer có nghĩa là thực hiện

chặn bắt ở mức network adapter. Winpcap là một thư viện mã
nguồn mở dành cho việc chặn bắt và phân tích gói tin trên nền
hệ thống Win32. Rất nhiều các ứng dụng mạng hiện nay dựa
trên Socket truy cập mạng dựa vào hệ điều hành do hệ điều
hành đã thực hiện hầu như các công việc ở mức thấp.
4. Các bc thc hin bt gi và phân tích tng hp gói tin
Trong phần này chúng ta sẽ phân tích phương hướng và giải
thuật thực hiện chương trình mà không quan tâm tới công nghệ
cụ thể. Để chặn bắt và phân tích gói tin, chương trình được cài
đặt trên một máy độc lập có thể là máy chủ (gateway).

Hình 2.1: Mô hình tổng quát xử lý của chương trình
KẾT LUẬN CHƯƠNG: Chương này đem lại cho chúng ta sự
hiểu biết về việc bắt giữ và phân tích gói tin như thế nào, dùng
giải thuật và phương pháp nào để bắt giữ, sau đó phân tích các
dữ liệu đó ra sao, các việc đó đem lại lợi ích gì, tư vấn cho
17
chúng ta biết cách nên lựa chọn giải thuật nào cho phù hợp, để
đem lại lợi ích cao nhất
CHNG III. NG DNG CHNG TRÌNH CHN BT, PHÂN
TÍCH GÓI TIN
1. Tìm hiu v giao thc TCP/IP và các khuôn dng d liu
Đóng gói d liu trong TCP/IP
Bộ giao thức TCP/IP dùng sự đóng gói dữ liệu nhằm trừu
tượng hóa các giao thức và dịch vụ, nói cách khác là các giao
thức ở tầng cao hơn sử dụng các giao thức ở tầng thấp hơn
nhằm đạt được mục đích của mình bằng cách đóng gói dữ liệu

Hình 3.1: Mô hình các tầng trong giao thức TCP/IP
Các giao thc chính và khuôn dng d liu

Ethernet: Là giao thc nm trong tng liên kt hay là mt
chun công ngh dành cho mng cc b (LAN) đc quy đnh
trong IEEE 802.
ARP (address resolution protocol)
Giao thức phân giải địa chỉ ARP là phương pháp tìm địa chỉ
tầng liên kết (hay địa chỉ vật lý) khi biết địa chỉ tầng Internet
(IP) hoặc một vài kiểu địa chỉ tầng mạng khác.
18
RARP (reserve address resolution protocol)
Là giao thức ngược lại so với ARP, tìm địa chỉ logic khi biết
địa chỉ vật lý.
IP (internet protocol): Giao thc liên mng IP ht nhân ca
b giao thc TCP/IP. IP là mt giao thc hng d liu đc s
dng trong mng chuyn mch gói. IP là mt giao thc hot
đng theo phng thc không liên kt và không đm bo
truyn (không có s trao đi thông tin điu khin).
ICMP (internet control message protocol)
Giao thức ICMP cung cấp cơ chế thông báo lỗi và các tình
huống không mong muốn cũng như điều khiển các thông báo
trong bộ giao thức TCP/IP. Giao thức này được tạo ra để thông
báo các lỗi dẫn đường cho trạm nguồn.
TCP (Transmission Control Protocol)
Giao thức điều khiển truyền TCP là một giao thức hoạt động
theo phương thức có liên kết. Trong bộ giao thức TCP/IP, nó là
giao thức trung gian giữa IP và một ứng dụng phía trên, đảm
bảo dữ liệu được trao đổi một cách tin cậy và đúng thứ tự.
UDP (User Datagram Protocol)
Đây là một giao thức “không liên kết” được sử dụng thay thế
trên IP theo yêu cầu của các ứng dụng. Khác với TCP, UDP
không có các chức năng thiết lập và giải phóng liên kết. Nó

cũng không cung cấp các cơ chế báo nhận, không sắp xếp tuần
tự các đơn vị dữ liệu đến và có thể dẫn tới tình trạng dữ liệu
mất hoặc trùng mà không hề có thông báo lỗi cho người gửi.
19
HTTP (Hypertext Transfer Protocol)
Là một giao thức tầng ứng dụng dựa trên giao thức TCP của
tầng giao vận trên cổng số 80 hỗ trợ Web.
2. Chng trình chn bt và phân tích gói tin wireshark
Wireshark là công cụ bắt và phân tích gói tin mạng. Wireshark
là một bộ công cụ phân tích gói tin mã nguồn mở. Nó cho phép
bắt và tương tác với lưu lượng chạy trên một mạng máy tính.
Nghe gói tin (listen packet)
Để thực hiện việc bắt các gói tin trên mạng, ta phải chỉ ra
những vị trí tương ứng để đặt “máy nghe” vào hệ thống đường
truyền của mạng. Quá trình này đơn giản là đặt “máy nghe”
vào đúng vị trí vật lý nào trong một mạng máy tính.
Bt gi gói tin (Capture Packet)
Chứa lệnh bắt đầu hoặc kết thúc việc thu thập các gói tin và
lệnh hiệu chỉnh bộ lọc
Các thao tác vi File, View, Edit
Phân tích gói tin (Analyze)
Chứa các lệnh thao tác trên bộ lọc hiển thị, cho phép hoặc
không cho phép phân tích chi tiết các giao thức, định cấu hình
bộ giải mã cho người dùng và lần theo vết của một luồng TCP.
Thng kê (Statistics)
Chứa các lệnh hiển thị các kết quả thống kê khác nhau
Giám sát băng thông mng
Mt s tính năng nâng cao ca wireshark
a. Name Resolution
b. Protocol Dissection

20
c. Following TCP Streams
Chc năng đo lu lng
Cửa số đồ thị IO, cách tốt nhất để hình dung hướng giải quyết
là xem chúng dưới dạng hình ảnh.
3. Đ xut trin khai gii pháp ng dng vào thc t
a) Mô tả giải pháp
01 máy chủ ISA firewall out, làm nhiệm vụ tường lửa firewall
cho toàn mạng và giám sát mạng, trên hệ điều hành có cài phần
mềm wireshark chuyên dùng để bắt giữ phân tích gói tin vào ra
của cả hệ thống. Người quản trị có thể remote vào máy chủ này
để có thể kiểm tra, phân tích tình hình hệ thống của mình. Dựa
vào việc phân tích gói tin của cả hệ thống truyền qua, bởi vì
máy này cũng là địa chỉ gateway đi ra của cả hệ thống. Hệ
thống mạng chia làm 3 vùng riêng biệt:
Vùng bên ngoài OUT: là nhà cung cấp dịch vụ internet như
viettel, VDC
Vùng bên trong IN: là vùng mạng LAN, hoạt động với dải IP
nội bộ, được chia VLAN trên các switch Cisco. Hai vùng bên
trong và bên ngoài chia tách nhau bởi Router Cisco
Vùng phi quân sự DMZ: Chuyên dùng để chứa các máy chủ
phục vụ cho công việc như email, eoffice phân vùng này
cũng được tách ra từ router. Vùng này sẽ được firewall đảm
bảo an toàn hơn vì nó chứa toàn bộ cơ sở dữ liệu của cả toàn bộ
hệ thống.
b) Mục tiêu
21
- Đảm bảo được an ninh, an toàn cho người sử dụng mạng
trong cơ quan trao đổi thông tin với nhau bên trong, cũng như
đi ra bên ngoài internet.

- Đảm bảo không bị mất mát dữ liệu, thông tin, hay bị dòm
ngó bới hacker
- Phục vụ cho người quản trị hệ thống được dễ dàng, tìm
hiểu phát hiện nguyên nhân, và cách phòng tránh.
- Chặn bắt, giải mã và phân tích nội dung phần header của
gói tin, nhằm phát hiện nguồn gốc của gói tin, cũng như mã
độc ẩn chứa bên trong gói tin
c) Phương pháp
Sử dụng chương trình bắt giữ và phân tích gói tin
WIRESHARK khá nổi tiếng trên thế giới để bắt giữ dữ liệu thô
phần header của các gói tin đi qua card mạng theo thời gian
thực, sau đó đưa chúng vào xử lý phân tích các dữ liệu thô đó,
rồi giải mã ra, cuối cùng cho hiển thị lên màn hình báo cáo
thống kê kết quả xử lý được.
d) Cách thức hoạt động
Máy chủ này bao gồm 2 card mạng, 1 card kết nối router có địa
chỉ ngoài dải 203.113.134.148 và 1 card trong với dải địa chỉ
trong 1.0.3.9 kết nối vào mạng LAN. Nó làm nhiệm vụ Proxy
cho mạng, cho nên mọi thông tin đi vào và thông tin đi ra đều
truyền qua nó, nếu chúng ta cài phần mềm bắt giữ gói tin trên
máy chủ này thì sẽ capture được toàn bộ thông tin của cả hệ
thống khi đi qua card mạng này. Khi ta quét card trong cắm
vào mạng LAN, thì ta đặt card này ở chế độ hỗn tạp
Promiscuous, thì khi dữ liệu đi qua card, nó sẽ được chương
22
trình wireshark giữ lại phần header đưa vào bộ nhớ tạm cache,
và sẽ được chương trình xử lý phân tích, rồi cho ra hiển thị.
e) Các điểm lưu ý khi áp dụng
- Lưu ý đề tài này chỉ nghiên cứu việc bắt giữ trong hệ thống
mạng LAN có dây kết nối, chứ không bắt giữ gói tin đi qua

card mạng không dây wireless.
- Chỉ áp dụng đối với các máy chủ chạy hệ điều hành
windown, chứ không cài trên máy chủ chạy hệ điều hành
nguồn mở LINUX, Felora
- Chú ý không được cài wireshark trên quá nhiều máy cùng
quét và phân tích gói tin, như vậy hệ thống sẽ tưởng nhầm là
hacker đang tấn công, vì có hành vi bắt giữ và can thiệp sâu
vào gói tin đang lưu chuyển trên mạng
- Không được cho chạy bắt giữ gói tin liên tục, chỉ start trong
vòng vài phút rồi stop lại ngay, tránh bị nghẽn mạng.
f) Cấu hình trang thiết bị phần cứng
 ISA OUT: OS: Windows Server 2003 R2 Enterprise
Edition; Service Pack 2, V.2825
Loại máy chủ: FUJITSU SIEMENS D1889
CPU: Intel Xeon 3.60 Ghz; Bộ nhớ RAM 2 Gb; 5 ổ cứng
FUJITSU MAT3300NP 300GB cài RAID 5
Full computer name: ISASERVEROUT
2 card mạng 1 card trong 192.168.1.9 và 1 card ngoài
203.113.134.148
 01 máy chủ ISA IN , làm nhiệm vụ chạy backup dự phòng
khi có sự cố
 01 thiết bị firewall cứng PIX firewall
23
 01 ROUTER CISCO 2620XM
 01 Switch CISCO 2950 - 24 port
05 máy chủ (mail, web, eoffice, data base, DNS)
KẾT LUẬN CHƯƠNG: Chương này nhằm giới thiệu cho
chúng ta biết việc ứng dụng bắt giữ và phân tích gói tin trên
thực tế làm và triển khai như thế nào, sử dụng công cụ gì để bắt
giữ, cách thức triển khai ra làm sao, và các điểm cần lưu ý khi

triển khai thực tế.
KT LUN VÀ KIN NGH
Nhận xét tổng quát: Đề tài này tuy phạm vi nghiên cứu còn nhỏ
hẹp, chưa rộng, nhưng nó có thể đem lại sự hiểu biết cho người
quản trị hệ thống một cái nhìn tổng thể, bao quát về các vấn đề
như các nguy cơ mất an ninh mạng, các phương pháp phòng
chống, cấu trúc của gói tin, đóng gói các giao thức khi lưu
chuyển trên mạng, các giải thuật để chặn bắt và phân tích gói
tin như thế nào cho phù hợp, theo dõi, phân tích, đảm bảo an
ninh, an toàn cho hệ thống mạng nội bộ của mình.
- Giảm thiểu rủi ro cho hệ thống theo phương pháp chủ động
- Bảo mật các thành phần quan trọng của cơ sở hạ tầng mạng
thông qua các biện pháp chủ động phát hiện
- Bảo vệ hệ thống trước nguy cơ tấn công ngày càng đa dạng
Hiện nay đề tài mới dừng lại việc nghiên cứu ở phạm vi nhỏ
như giao thức IP v4, công nghệ Ethernet trên nền windown