BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

HỌC PHẦN

THU THẬP & PHÂN TÍCH THƠNG TIN AN NINH MẠNG

BÀI THỰC HÀNH

PHÂN TÍCH GĨI TIN SỬ DỤNG WIRESHARK
(Phiên bản: 1.0)

Hà Nội, 2019

TIEU LUAN MOI download : moi nhat


MỤC LỤC
Phần 1. Điều kiện tiên quyết................................................................................... 2
Phần 2. Giới thiệu .................................................................................................... 2
Phần 3. Kịch bản thực hành ................................................................................... 2
Phần 4. Mục tiêu bài thực hành ............................................................................. 2
Phần 5. Tổ chức thực hành..................................................................................... 2
Phần 6. Môi trường thực hành............................................................................... 2
6.1. Phần cứng, phần mềm ........................................................................................ 2
6.2. Máy ảo và công cụ ............................................................................................. 3
Phần 7. Sơ đồ thực hành ......................................................................................... 3
Phần 8. Các nhiệm vụ cần thực hiện ..................................................................... 3
Nhiệm vụ 1: Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về giao
thức ARP và ICMP ................................................................................................... 3

Nhiệm vụ 2. Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về giao
thức SMTP, IMAP & POP3 .................................................................................... 12
Nhiệm vụ 3. Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về giao
thức SSL/TLS .......................................................................................................... 20
Phần 2. Đánh giá bài thực hành ........................................................................... 26

i

TIEU LUAN MOI download : moi nhat


Thông tin phiên bản bài thực hành
Phiên
bản

Ngày tháng

Mô tả

Thực hiện

1

TIEU LUAN MOI download : moi nhat


Phần 1. Điều kiện tiên quyết
Không
Phần 2. Giới thiệu
Wireshark là một công cụ kiểm tra, theo dõi và phân tish thông tin mạng

được phát triển bởi Gerald Combs. Phiên bản đầu tiên của Wireshark mang tên
Ethereal được phát hành năm 1988. Wireshark giúp bắt gói tin, sau đó phân tích để
hiển thị khn dạng dữ liệu của từng gói tin dưới dạng tường minh nhất có thể.
Wireshark sử dụng Winpcap - phần mềm dùng để thu nhập tức thì các luồng dữ
liệu trong mạng - để bắt các gói tin, vì vậy nó chỉ hoạt động trên máy tính đã cài
đặt phần mềm wincap (Khi cài đặt Wireshark sẽ yêu cầu cài đặt phần mềm này).
Trong bài thực hành này, chúng ta sẽ bước đầu tiếp cận với công việc phân
tích gói tin thơng qua việc phân tích một số giao thức mạng phổ biến như: ARP,
ICMP, SMTP, SSL bằng phần mềm Wireshark.
Phần 3. Kịch bản thực hành
Đóng vai một người quản trị hệ thống hay một chuyên gia phân tích gói tin,
sinh viên sẽ tìm phương thức hoạt động của các giao thức mạng như: ARP, ICMP,
SMTP, SSL, TLS,… và tiến hành phân tích một số gói tin liên quan trực tiếp đến
các giao thức nói trên và trả lời hoặc đưa ra các giải thích, kết luận cho mỗi câu hỏi
được đưa ra.
Phần 4. Mục tiêu bài thực hành
Bài thực hành này nhằm giúp sinh viên học và hiểu về:
- Các giao thức mạng phổ biến: ARP, ICMP, SMTP, SSL, TLS,…
- Sử dụng phần mềm Wireshark để phân tích các gói tin
Phần 5. Tổ chức thực hành
u cầu thực hành: thực hành độc lập
Thời gian: 135 phút
Phần 6. Môi trường thực hành
6.1. Phần cứng, phần mềm
 Yêu cầu phần cứng:
 01 máy tính
 Cấu hình tối thiểu: Intel Core i3, 4GB RAM, 10 GB ổ cứng
 Yêu cầu phần mềm trên máy:
 Hệ điều hành trên máy tính: Windows 7 64bit trở lên
 Phần mềm Wireshark

2

TIEU LUAN MOI download : moi nhat


 Yêu cầu kết nối mạng Internet: có
6.2. Máy ảo và công cụ
Không
Phần 7. Sơ đồ thực hành
Không
Phần 8. Các nhiệm vụ cần thực hiện
Nhiệm vụ 1: Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về
giao thức ARP và ICMP
1. Tiến hành tải về gói tin và sau đó mở gói tin với phần mềm Wireshark
/>
2. Với gói tin webpage.pcap, câu hỏi đầu tiên cần trả lời là: Thông qua việc kiểm
tra ARP request và ARP reply, xác định địa chỉ IP host và IP server và địa chỉ
MAC host và MAC server?
Khi phân tích gói tin trên, ta thấy gói tin số 1 và gói tin số 2 đều được đánh dấu với
giao thức ARP. Phân tích gói tin số 1, ta thấy gói tin số 1 là gói tin quảng bá
(Broadcast) vì địa chỉ MAC là: ff:ff:ff:ff:ff:ff, với mục đích hỏi tồn mạng rằng,
địa chỉ MAC nào đang có địa chỉ IP là 192.168.75.32 hãy phản hồi tới địa chỉ
MAC 00:50:56:c0:00:08 ứng với địa chỉ IP 192.168.75.1 . Vì vậy thơng qua gói tin
số 1, ta dễ dàng có được các thông tin như sau:
3

TIEU LUAN MOI download : moi nhat








Gói tin số 1 là gói tin ARP request
Địa chỉ IP host: 192.168.75.1
Địa chỉ MAC host: 00:50:56:c0:00:08
Địa chỉ IP server: 192.168.75.32

3. Trong gói tin số 2, ta thấy đây chính là gói tin ARP reply để trả lời gói tin ARP
request ở trên, địa chỉ nguồn chính là địa chỉ MAC ứng với địa chỉ IP server
192.168.75.132, địa chỉ đích là địa chỉ MAC host. Vì vậy ta có được thông tin:

Địa chỉ MAC server: MAC address: 00:0c:29:0f:71:a3

4. Trong các gói tin tiếp theo, xác định Port host và Port server. Giải thích tại sao
các gói tin lại khơng cần di chuyển thông qua default gateway của mạng?
Với thông tin của ba gói tin số 3, 4 và 5, ta dễ dàng nhận ra được đây là quá trình
bắt tay ba bước của giao thức TCP giữa hai địa chỉ IP host và IP server với dấu
hiệu là các cờ như:

[SYN] gói tin số 3

[SYN,ACK] gói tin số 4

[ACK] gói tin số 5
Qua đây ta cũng xác định được thông tin các cổng đang hoạt động tại host và
server:

Giá trị Port host: địa chỉ cổng nguồn trong gói tin số 3 là 2427


Giá trị Port server: địa chỉ cổng đích trong gói tin số 3 là 80
4

TIEU LUAN MOI download : moi nhat


5. Để giải thích cho câu hỏi: vì sao các gói tin khơng cần đi qua default gateway
của mạng, ta thấy địa chỉ ip host: 192.168.75.1 và địa chỉ ip server: 192.168.75.132
đều nằm chung trên một mạng với subnetmask là 255.255.255.0, chính vì vậy, mọi
gói tin trao đổi giữa host và server có thể được trao đổi trực tiếp mà khơng cần đi
qua default gateway.
6. Tiến hành tải xuống gói tin, sau đó mở và tiến hành phân tích với Wireshark tại
địa chỉ: />
7. Tương tự với gói tin webpage.pcap, câu hỏi đầu tiên với gói tin
googleWeb.pcap: Trong trường hợp host kết nối tới máy chủ của google, xác định
địa chỉ IP và địa chỉ MAC của host, địa chỉ IP và địa chỉ MAC của Gateway, liệu
ta có thể xác định được đia chỉ MAC của máy chủ google hay không?
Ta thấy trong trường hợp này, host muốn liên lạc và trao đổi thông tin với máy chủ
của google, chính vì vậy, mọi gói tin của host cần gửi đến google thơng qua default
gateway. Gói tin số 3 và số 4 lần lượt là hai gói tin ARP request và ARP reply, với
các thông tin của host và gateway như sau:

Địa chỉ IP host: 192.168.0.20
5

TIEU LUAN MOI download : moi nhat







Địa chỉ MAC host: 00:1f:3c:4f:30:1d
Địa chỉ IP gateway: 192.168.0.1
Địa chỉ MAC gateway: 00:18:4d:b0:d6:8c

8. Chúng ta có thể xác định địa chỉ MAC của google trong các gói tin này hay
khơng? Đáp án là khơng thể. Như trong các gói tin ở trên, ta chỉ có thể thu được
địa chỉ MAC của host và gateway, mặc dù host và máy chủ của google làm việc
trực tiếp với nhau, nhưng chúng làm việc thơng qua các giao thức như TCP, DNS,
HTTP. Ngồi ra, sau khi các gói tin được gửi qua gateway ra ngồi mạng nội bộ,
gói tin sẽ được các thiết bị định tuyến gửi qua rất nhiều các nút mạng khác trước
khi đến địa chỉ đích, vì vậy, các gói tin không đủ thông tin để ta xác định được địa
chỉ MAC của máy chủ google.
9. Tải về tập tin dưới đây và mở gói tin với cơng cụ Wireshark,
/>
10. Arp_scan.pcap chứa các gói tin sau khi tiến hành ARP scan, với gói tin này, ta
có các câu hỏi cần giải quyết như sau: Xác định mục đích của việc ARP scan, vị trí
6

TIEU LUAN MOI download : moi nhat


và địa chỉ IP của kẻ xâm nhập, và những địa chỉ IP nào đang hoạt động trong
mạng đã được kẻ xâm nhập đã phát hiện ra?
11. Tấn công ARP scan hay cịn gọi là tấn cơng dị qt mạng với giao thức ARP,
được những kẻ xâm nhập dùng để xác định xem những host nào đang hoạt động
trong mạng. Ở đây ta thấy rằng, địa chỉ MAC: 00:0c:29:1d:b3:b1 với IP:
192.168.47.171 tiến hành gửi liên tục các gói tin ARP request tới địa chỉ broadcast:

ff:ff:ff:ff:ff:ff nhằm xác định các địa chỉ IP trong dải mạng 192.168.47.0/24. Vì
vậy ta có thể xác định rằng:

Kẻ tấn công thực hiện tấn công ARP scan bên trong mạng LAN

Địa chỉ IP của kẻ tấn công là: 192.168.47.171

12. Để xác định được các host nào đã bị phát hiện sau quá trình ARP scan của kẻ
xâm nhập, ta cần đi sâu hơn vào các gói tin ARP và thiết lập một luật để tiến hành
lọc với bộ lọc. Đầu tiên, ta phân tích một gói tin ARP request, ta thấy trường
opcode có giá trị request (1). Tiến hành xây dựng luật như sau: arp.opcode = = 1,
và tiến hành sử dụng bộ lọc để theo dõi kết quả. Ta thu được tất cả các gói ARP
request.

13. Để xác định các host đang hoạt động, kẻ xâm nhập cần phải thống kê các địa
chỉ IP phản hồi lại gói ARP response. Vì vậy ta tiếp tục sử dụng bộ lọc với luật:

7

TIEU LUAN MOI download : moi nhat


arp.opcode = = 2 – với giá trị 2 là giá trị reply! Ta thu được các host đang hoạt
động trong mạng.

14. Thực hiện bắt các gói tin qua card mạng của máy tính với Wireshark. Thực
hiện ping tới actvn.edu.vn . Dừng thu thập gói tin, xác định địa chỉ IP và địa chỉ
MAC của gateway.
15. Mở phần mềm Wireshark, sau đó chọn card mạng phù hợp để tiến hành bắt
các gói tin.


16. Từ cửa sổ dịng lện Windows, tiến hành ping tới actvn.edu.vn . Sau đó chọn
“Stop Capturing packets” để dừng việc bắt gói tin từ Wireshark.

8

TIEU LUAN MOI download : moi nhat


17. Sau đó, sử dụng luật: arp, để tiến hành lọc các gói tin sử dụng giao thức arp và
hiển thị ra màn hình. Ở đây, ta xác định được thông tin địa chỉ IP và địa chỉ MAC
của gateway, như sau:

Địa chỉ IP gateway: 192.168.1.2

Địa chỉ MAC gateway: 00:50:56:e0:8e:14

18. Xác định ARP trên máy bằng cửa sổ dòng lệnh. Hỏi địa chỉ IP của một máy
cùng mạng, sau đó tiến hành ping tới địa chỉ IP đó. Kiểm tra lại bảng ARP và chỉ
ra sự thay đổi. Thêm một địa chỉ bằng câu lệnh arp -s, chỉ ra sự thay đổi?
19. Từ cửa sổ dòng lệnh của windows, gõ “arp -a” để kiểm tra bảng ARP cache.

9

TIEU LUAN MOI download : moi nhat


20. Sau đó hỏi địa chỉ IP cùng mạng, tiến hành ping tới địa chỉ đó, trong trường
hợp này, ta giả sử địa chỉ IP hỏi được là 192.168.1.1, tiến hành ping tới
192.168.1.1 và kiểm tra lại bảng ARP cache.


21. Thực hiện định tuyến tĩnh bằng câu lệnh arp -s, kiểm tra lại bảng ARP sau đó,
ta có kết quả sau khi định tuyến tĩnh.

22. Từ cửa sổ dòng lệnh, sử dụng câu lệnh ping tới địa chỉ: actvn.edu.vn và
hocvienact.edu.vn. Xác định loại gói tin ICMP được sử dụng trong ping request và
reply với Wireshark. Xác định phần dữ liệu trong hai gói tin ICMP request và
reply liên tiếp?
10

TIEU LUAN MOI download : moi nhat


23. Tiến hành ping tới actvn.edu.vn và hocvienact.edu.vn, đồng thời trên
Wireshark lắng nghe các gói tin.

24. Qua phân tích ta có thể xác định được các gói tin ICMP request có type với giá
trị 8 và ICMP reply có type giá trị 0. Với bộ lọc, sử dụng luật “icmp.type = = 8” để
lọc các gói tin ICMP request và “icmp.type = = 0” để lọc các gói tin ICMP reply.

25. Phân tích hai gói tin ICMP request và reply tương ứng, ta dễ dàng thấy dữ liệu
từ hai gói tin là một giá trị giống nhau.

11

TIEU LUAN MOI download : moi nhat


Nhiệm vụ 2. Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về
giao thức SMTP, IMAP & POP3

1. Tải xuống tập tin tại đường dẫn phía dưới và mở với Wireshark, hãy xác định:
Địa chỉ IP và cổng TCP được máy Host sử dụng để gửi email, địa chỉ IP và cổng
TCP được máy Server sử dụng, địa chỉ email người gửi, địa chỉ email người nhận,
thời gian gửi email, ứng dụng email khách được sử dụng để gửi email là gì, nội
dung tin nhắn chủ đề của email, đối với giao thức SMTP, chuỗi ký tự nào được sử
dụng để kết thúc tin nhắn? />
12

TIEU LUAN MOI download : moi nhat


2. Từ quá trình bắt tay ba bước của giao thức TCP, ta xác định được:
 Địa chỉ IP được máy Host sử dụng để gửi email: 192.168.0.12
 Địa chỉ cổng TCP được máy Host sử dụng để gửi email: 1713
 Địa chỉ IP được máy Server sử dụng: 192.168.0.13
 Địa chỉ cổng TCP được máy Server sử dụng: 25

3. Sử dụng bộ lọc với luật “smtp” để lọc các gói tin sử dụng giao thức SMTP, sau
đó tiến hành follow TCP stream, ta trả lời được các câu hỏi còn lại như sau:
 Địa chỉ email người gửi:
 Địa chỉ email người nhận:
 Thời gian gửi email: Mon, 11 Mar 2013 22:10:34
 Ứng dụng email khách được sử dụng để gửi email là: Microsoft Outlook Express
6.00.3790.3959
 Nội dung tin nhắn chủ đề của email:
Subject:
T2theS4gSSB0aGluayBpdCBpcyBhbGwgc2V0dXAgZm9yIHlvdS4gSnVzdCBjb2
5uZWN0IHRvIHRoZSBsaW5rLCBhbmQgaXQgc2hvdWxkIGJlIGZpbmUu
 Đối với giao thức SMTP, chuỗi ký tự được sử dụng để kết thúc tin nhắn là:
<CRLF>.<CRLF>


13

TIEU LUAN MOI download : moi nhat


4. Tải xuống tập tin và mở với phần mềm Wireshark, trả lời các câu hỏi sau đây:
Địa chỉ IP và cổng TCP của máy host đang gửi email, địa chỉ IP và cổng TCP
được máy chủ POP-3 sử dụng, hộp thư của ai đang được truy cập, có bao nhiêu
tin nhắn trong hộp thư đến, số bytes của các tin nhắn. Đối với tin nhắn thứ nhất,
thứ hai và thứ ba, người đã gửi tin nhắn và chủ đề là gì và phác thảo nội dung của
các tin nhắn đó. Lệnh POP-3 nào được sử dụng để lấy nội dung tin nhắn?
/>
5. Tại các gói tin 13, 14, 15, ta xác định được đây là quá trình bắt tay ba bước giữa
host và server. Ta có các thơng tin như sau:
 Địa chỉ IP được host sử dụng: 192.168.0.4
 Địa chỉ cổng TCP được host sử dụng: 26272
14

TIEU LUAN MOI download : moi nhat


 Địa chỉ IP được server sử dụng: 212.227.15.166
 Địa chỉ cổng TCP được server sử dụng: 110

6. Để xem được các yêu cầu và quá trình giao tiếp từ host tới server, ta sử dụng bộ
lọc với luật “pop.request”, ở đây ta thấy được một số câu lệnh người dùng đã sử
dụng như sau:

Lệnh CAPA trả về một các khả năng được hỗ trợ bởi POP-3 server


Lệnh AUTH PLAIN yêu cầu máy chủ sử dụng giao thức xác thực với cơ chế
mã hóa (Encoding) base64

Lệnh STAT hiển thị số lượng tin nhắn hiện có trong hộp thư và kích thước
tính theo byte

Sử dụng LIST để nhận bản tóm tắt các tin nhắn trong đó mỗi số tin nhắn
được hiển thị với kích thước tính theo byte bên cạnh nó

Sử dụng lệnh RETR để lấy thông tin của một tin nhắn cụ thể ví dụ RETR 1,
RETR 2, RETR 3,…

Khi sử dụng câu lệnh CAPA, nếu server trả lời UIDL nghĩa là tùy chọn
UIDL được hỗ trợ. Máy chủ POP3 có thể gán một số duy nhất cho mỗi thư đến.
Điều này cho phép thư được để lại trên máy chủ sau khi thư đã được tải xuống cho
người dùng.

QUIT để thoát khỏi đoạn hội thoại

7. Tương ứng với các gói yêu cầu là các gói phản hồi, sau khi xác thực thành công,
người
dùng
sẽ
nhận
được
thông
tin
email
cá

nhân:
và số lượng tin nhắn trong hộp thư là 3 tin
nhắn.

15

TIEU LUAN MOI download : moi nhat


8. Để xem được nội dung các tin nhắn ta sử dụng bộ lọc với tập luật “imf”. IMF ở
đây viết tắt của Internet Message Format, là định dạng tin nhắn văn bản được
truyền qua mơi trường internet.

9. Sau đó tiến hành follow > TCP Stream tại gói tin số 95.

10. Sau khi người dùng sử dụng LIST để liệt kê số tin nhắn và các byte của mỗi
tin nhắn ta thu được kết quả:

Tin nhắn số 1 - 5565 bytes

Tin nhắn số 2 - 8412 bytes

Tin nhắn số 3 - 5214 bytes

16

TIEU LUAN MOI download : moi nhat


11. Để đọc thông tin của tin nhắn 1, người dùng sử dụng câu lệnh RETR 1, ta thấy

được các thông tin nhứ sau:

Người gửi tin 1:

Tiêu đề tin 1: A message from 1&1 Internet

Nội dung tin 1: Email chào mừng sau khi đăng ký tài khoản email mới

17

TIEU LUAN MOI download : moi nhat


12. Tương tự với tin số 2 và 3, ta có đáp án:

Người gửi tin 2: “Buchanan, Bill" <>

Tiêu đề tin 2: Testing

Nội dung tin 2: Email giới thiệu Đại học Edinburgh Napier

Người gửi tin 3: "Buchanan, Bill" <>

Chủ đề tin 3: Testing

Nội dung tin 3: Email cảm ơn
13. Tải xuống tập tin và mở trong Wireshark, xác định: Địa chỉ IP và cổng TCP
được máy host đang gửi email, địa chỉ IP và cổng TCP được máy chủ sử dụng, hộp
thư của ai đang được truy cập. Theo dõi email đã được gửi, các chi tiết cơ bản của
nó. Có bao nhiêu tin nhắn trong hộp thư đến, nêu chi tiết của email có trong hộp

thư đến?
/>
18

TIEU LUAN MOI download : moi nhat


14. Ta thấy ba gói tin đầu tiên mơ tả về quá trình bắt tay ba bước TCP, vì vậy ta
có được thơng tin:

Địa chỉ IP được host sử dụng: 192.168.0.4

Địa chỉ cổng TCP được host sử dụng: 23463

Địa chỉ IP được server sử dụng: 212.227.15.167

Địa chỉ cổng TCP được server sử dụng: 25
15. Tiến hành follow TCP stream của giao thức SMTP, ta có được thơng tin email
đang truy cập: và thông tin cơ bản của email
đã được gửi đi.

19

TIEU LUAN MOI download : moi nhat


16. Để xem được số lượng và nội dung các tin nhắn trong hộp thư đến, sử dụng bộ
lọc với luật “imap” để lọc các gói tin với giao thức IMAP, sau đó tiến hành follow
TCP stream, ta thấy có 4 tin nhắn trong hộp thư đến. Chi tiết của email có trong
Hộp thư đến như sau: Email dùng để thử nghiệm, có nội dung chào hỏi và giới

thiệu về trường Đại học Edinburgh Napier.

Nhiệm vụ 3. Thực hiện phân tích các gói tin và trả lời các câu hỏi để hiểu về giao
thức SSL/TLS
20

TIEU LUAN MOI download : moi nhat


1. Tải gói tin tại đường dẫn và mở gói tin với phần mềm Wireshark
/>
2. Hãy xác định địa chỉ IP và port của host, địa chỉ IP và port của server, kết nối
sử dụng giao thức mạng nào, trang web nào được truy cập, xác định tổ chức đã ký
chứng chỉ số cho dịch vụ web của server, ta có thể đọc được dữ liệu trao đổi giữa
host và server hay khơng?
3. Với ba gói tin đầu tiên, ta xác định được đây là quá trình bắt tay ba bước giữa
host và server, vì vậy, ta có thể dễ dàng xác định được các thông tin như sau:

Địa chỉ IP và port của host: 192.168.0.20 & 2099,

địa chỉ IP và port của server: 66.211.169.66 & 443.

4. Khi có được thông tin host kết nối tới server tại cổng dịch vụ 443, ta xác định
được giao thức sử dụng có thể là SSL hoặc TLS, dựa vào thông tin của cột
“Protocol”, ta biết được kết nối sử dụng giao thức mạng TLS v1.
5. Trong các kết nối tới web server thơng thường, ta có thể dễ dàng trả lời được
website nào đang được truy cập tới với luật filter: “http.host”, tuy hiên với trường
hợp này, ta không thể làm theo cách trên vì gói tin chỉ chứa thơng tin của giao thức
TCP và TLSv1. Đối với giao thức TLSv1, ta có thể sử dụng tập luật:
“ssl.handshake.certificate” để tiến hành đọc thông tin chứng chỉ số của máy chủ -


21

TIEU LUAN MOI download : moi nhat


nơi sẽ trả lời cho câu hỏi trang web nào được truy cập và tổ chức đã ký chứng chỉ
số. Trên bộ lọc filter, gõ “ssl.handshake.certificate”.

6. Sau khi tiến hành filter, ta nhận được gói tin số 8 chứa thơng tin về chứng chỉ số
của server, tiến hành đọc gói tin, thu được kết quả như sau:

Website: paypal.com

Tổ chức đã ký chứng chỉ số: VeriSign Trust Network

7. Để đọc nội dung các thông điệp đã được trao đổi giữa host và server, ta chọn gói
tin sử dụng giao thức TLSv1 và sau đó chuột trái, nhấn chọn “Follow > TCP
Stream”. Như kết quả, ta không thể đọc được nội dung của dữ liệu này.

8. Tiếp theo, thực hiện kết nối tới trang web: , với wireshark,
tiến hành bắt các luồng lưu lượng mạng và trả lời các câu hỏi sau: Địa chỉ IP và
22

TIEU LUAN MOI download : moi nhat


port của host, địa chỉ IP và port của server, giao thức mạng nào đang được sử
dụng, xác định tổ chức đã ký chứng chỉ số cho dịch vụ web của server?
9. Ta khởi động wireshark, tiến hành chọn card mạng để tiến hành bắt các luồng

lưu lượng mạng.

10. Từ trình duyệt, tiến hành truy cập , sau đó, ta phân tích theo
các bước như các bước phân tích gói tin ssl.pcap, ta thu được thông tin như sau:

IP và port host: 192.168.1.131 & 49365

IP và port server: 172.217.24.36 & 443

Giao thức mạng đang được sử dụng: TLSv1.2

Thông tin của nhà cung cấp chứng thư số: Google Trust Services –
GlobalSign Root CA –R2

23

TIEU LUAN MOI download : moi nhat