TÊN ĐỀ TÀI:

Sử dụng Polar Proxy để giải mã gói tin HTTPS và
xây dựng rule cho Suricata


MỤC LỤC
LỜI NÓI ĐẦU..........................................................................................................4
A. Cơ sở lý thuyết....................................................................................................5
1. Tổng quan về Suricata....................................................................................5
2. Giới thiệu về HTTPS........................................................................................6
2.1. Tổng quan...................................................................................................6
2.2. SSL / TLS....................................................................................................7
3. Tổng quan về công cụ Polar Proxy...............................................................9
3.1. Giới thiệu....................................................................................................9
3.2. Khả năng của PolarProxy.........................................................................9
3.3 Các cách hoạt động của PolarProxy........................................................9
4. Sử dụng Suricata để phân tích gói tin pcap...............................................17
B. Thực hiện Demo................................................................................................20
1. Mục đích thực hiện.........................................................................................20
2. Sơ đồ mạng.....................................................................................................20
3. Các bước thực hiện.......................................................................................21
3.1 Xây dựng máy ảo......................................................................................21
3.2 Cấu hình Gateway....................................................................................22
3.3 Thiết lập rule để phát hiện mã độc.........................................................23
3.4 Phân tích file PCAP..................................................................................24
3.5 Sử dụng công cụ ELK để hiển thị cảnh báo.........................................26
KẾT LUẬN............................................................................................................28
DANH MỤC HÌNH ẢNH.....................................................................................29
TÀI LIỆU THAM KHẢO.....................................................................................30

2
NHĨM 9


LỜI NÓI ĐẦU
Hiện nay, Internet và các dịch vụ số đang ngày càng bùng nổ và có những
bước phát triển vượt bậc. Tính đến tháng 1 năm 2021, có khoảng 4,66 tỷ người trên
thế giới đang sử dụng Internet cũng như các dịch vụ được cung cấp trực tuyến
thông qua Internet nhờ vào sự thân thiện khi sử dụng và khả năng tiếp cận dễ dàng
mọi lúc, mọi nơi. Vì vậy, hầu hết các tổ chức hay các đơn vị cung cấp dịch vụ như
các công ty, doanh nghiệp, ngân hàng, chính phủ, giáo dục, y tế, … đều muốn cung
cấp dịch vụ của mình cho các bên liên quan thông qua các hệ thống trực tuyến.
Tuy nhiên, bên cạnh sự tiện lợi, các hệ thống trực tuyến cũng phải đối mặt
với mối nguy rất lớn từ các cuộc tấn công mạng. Trong thế giới hiện đại ngày nay,
việc bảo vệ thông tin là vô cùng quan trọng. HTTPS (Hypertext Transfer Protocol
Secure) là một giao thức mạng an toàn được sử dụng để bảo vệ thơng tin giữa trình
duyệt web của người dùng và máy chủ web. Trong những năm gần đây, HTTPS đã
trở thành tiêu chuẩn bảo mật trên web, đặc biệt là trong thời đại của các cuộc tấn
công mạng ngày càng phổ biến.
Với sự gia tăng của các cuộc tấn công mạng và việc tấn công các trang web,
việc sử dụng HTTPS là một yêu cầu tối thiểu để đảm bảo an tồn thơng tin của
người dùng trên mạng. Tuy nhiên, việc triển khai HTTPS có thể đôi khi gây ra một
số bất tiện, như tốc độ tải trang chậm hơn hoặc chi phí phát sinh cho việc mua
chứng chỉ SSL.
Trong báo cáo này, em sẽ trình bày kết quả tìm hiểu về Sử dụng Polar
Proxy để giải mã gói tin HTTPS và xây dựng rule cho Suricata. Báo cáo của em
được chia làm 3 phần. Trong đó:
-

Phần 1: Tổng quan về Suricata.

Phần 2: Giới thiệu về HTTPS.
Phần 3: Tổng quan về công cụ Polar Proxy.
Phần 4: Xây dựng rule cho Suricata để phân tích gói tin pcap.

Trong q trình tìm hiểu khơng thể tránh khỏi những thiếu sót. Mong thầy
góp ý để em có thể hồn thiện bài báo cáo một cách tốt nhất. Em xin chân thành
cảm ơn thầy!
3
NHÓM 9


A. CƠ SỞ LÝ THUYẾT
1. TỔNG QUAN VỀ SURICATA
Suricata là một công cụ phát hiện và ngăn chặn xâm nhập (Intrusion
Detection and Prevention System - IDS/IPS) mã nguồn mở được sử dụng rộng rãi
trong lĩnh vực bảo mật mạng. Suricata có khả năng phát hiện các tấn cơng mạng và
chặn chúng trước khi chúng gây ra hậu quả nghiêm trọng cho hệ thống.
Suricata được phát triển bởi một nhóm các chuyên gia về bảo mật mạng
(Open Information Security Foundation), đặc biệt là về phát hiện và ngăn chặn các
cuộc tấn công mạng. Công cụ này được viết bằng ngôn ngữ lập trình C và hỗ trợ
trên nhiều nền tảng, bao gồm Linux, FreeBSD, MacOS, Windows.
Dựa trên các tính năng phát hiện và ngăn chặn xâm nhập mạnh mẽ, Suricata
đã được sử dụng rộng rãi trong nhiều lĩnh vực khác nhau, bao gồm bảo mật mạng,
giám sát mạng, nghiên cứu an ninh và nhiều lĩnh vực khác. Một trong những đặc
tính quan trọng của Suricata là khả năng xử lý lưu lượng mạng lớn và tăng tốc
phân tích với việc sử dụng nhiều luồng. Với khả năng này, Suricata có thể xử lý
các lưu lượng mạng đa dạng và phát hiện các tấn công mạng ngay khi chúng bắt
đầu xảy ra.
Suricata có nhiều tính năng tiên tiến để phát hiện các cuộc tấn công mạng
như phát hiện tấn công mạng zero-day, phát hiện và chặn tấn công từ các mạng

lưới botnet, phát hiện tấn công từ các máy chủ Command and Control, và hỗ trợ
nhiều chuẩn giao thức như HTTP, SMTP, DNS, FTP. Cơng cụ này cũng có khả
năng tích hợp với các phần mềm và các hệ thống khác như snort, ossec và syslog,
để thu thập dữ liệu và phân tích các sự kiện an ninh trong hệ thống.
Ngồi ra, Suricata cũng hỗ trợ các chức năng tiên tiến như chế độ thích ứng,
giúp tự động thích nghi với các mơi trường mạng phức tạp và các cuộc tấn cơng
4
NHĨM 9


mạng mới nhất. Điều này giúp người dùng tăng cường khả năng phát hiện và ngăn
chặn các cuộc tấn công mạng độc hại. Suricata còn cho phép tùy chỉnh các luật để
phát hiện và ngăn chặn các tấn công mạng theo nhu cầu của người sử dụng.
2. GIỚI THIỆU VỀ HTTPS
2.1. Tổng quan
HTTPS (Hypertext Transfer Protocol Security) là một phần mở rộng của
Hypertext Transfer Protocol (HTTP), nó được sử dụng để giao tiếp qua mạng máy
tính và được sử dụng rộng rãi trên internet. Trong HTTPS, giao thức truyền thông
được mã hóa bằng Transport Layer Security (TLS) hay trước đây là Secure
Sockets Layer (SSL).
HTTPS được sử dụng để xác thực trang web được truy cập và bảo vệ quyền
riêng tư và tính tồn vẹn của dữ liệu được trao đổi trong khi truyền. HTTPS sử
dụng cổng 443 theo mặc định, trong khi HTTP sử dụng cổng 80 theo mặc định.
HTTPS khác với HTTP là HTTP khơng được mã hóa và do đó dễ bị tấn cơng Man
in the middle để nghe trộm, truy cập trái phép tài nguyên nhạy cảm, đồng thời sửa
đổi gói tin để đưa phần mềm mã độc và quảng cáo, còn HTTPS được thiết kế để
chống lại các cuộc tấn công như vậy và được coi là an toàn trước chúng.
Bảo mật của HTTPS là TLS, thường sử dụng khóa cơng khai và khóa riêng
dài hạn để tạo khóa phiên ngắn hạn, khóa này sau đó được sử dụng để mã hóa
luồng dữ liệu giữa máy khách mà máy chủ.

Để chuẩn bị máy chủ web chấp nhận kết nối HTTPS, quản trị viên phải tạo
chứng chỉ khóa cơng khai cho máy chủ web. Chứng chỉ này phải được ký bởi tổ
chức phát hành chứng chỉ đáng tin cậy để trình duyệt web chấp nhận nó mà không
cần cảnh báo.
- Root Certificates là các chứng chỉ gốc (cao nhất) được tạo ra bởi các
cơ quan chứng nhận Certificate Authority (CA) và được nhúng vào
các ứng dụng phần mềm.
5
NHÓM 9


- Chứng chỉ SSL (SSL Certificate) là một loại Chứng chỉ số phổ biến.
Chúng liên kết chi tiết quyền sở hữu của máy chủ web (và web) với
các khóa mật mã (cryto key). Các khóa này được sử dụng trong giao
thức SSL/TLS. Chúng có tác dụng kích hoạt phiên bảo mật giữa trình
duyệt và máy chủ web SSL. Để trình duyệt có thể tin cậy SSL và thiết
lập SSL/TLS session mà không bị cảnh báo bảo mật, SSL phải chứa
domain name của trang web sử dụng nó (được cấp bởi CA và còn
hạn).
2.2. SSL / TLS
SSL là viết tắt của từ Secure Sockets Layer. SSL là tiêu chuẩn của công
nghệ bảo mật, truyền thơng mã hóa giữa máy chủ Web server và trình duyệt. Tiêu
chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình
duyệt của người dùng đều riêng tư và tồn vẹn.
TLS (Bảo vệ tầng vận chuyển) là một giao thức mật mã cung cấp bảo mật
đầu cuối cho dữ liệu được gửi giữa các ứng dụng qua internet. TLS được biết chủ
yếu thông qua việc sử dụng trong duyệt web an toàn với chuẩn HTTPS và đặc biệt
là biểu tượng ổ khóa xuất hiện trong trình duyệt web khi một phiên truy cập bảo
mật được thiết lập.
TLS bảo mật thông tin liên lạc bằng cách sử dụng cơ sở hạ tầng khóa cơng

khai bất đối xứng để khởi tạo kết nối giữa client – server và sau đó sử dụng khóa
đối xứng để mã hóa phần cịn lại của phiên truyền dữ liệu.

Cơ chế hoạt động của TLS:
 Khởi tạo kết nối: Trong quá trình khởi tạo kết nối, hai bên kết nối sẽ
trao đổi các thông tin cơ bản như phiên bản của TLS, các thuật tốn
mã hóa và các chứng chỉ bảo mật.
6
NHÓM 9


 Xác thực chứng chỉ: Sau khi hai bên đã trao đổi các thông tin cơ bản,
máy chủ sẽ gửi một chứng chỉ bảo mật đến máy tính của người dùng.
Máy tính của người dùng sẽ kiểm tra chứng chỉ này bằng cách sử
dụng các chứng chỉ của tổ chức xác thực đã được lưu trữ trong hệ
thống của mình. Nếu chứng chỉ được xác thực, kết nối sẽ được tiếp
tục. Nếu khơng, kết nối sẽ bị ngắt.
 Mã hóa dữ liệu: Sau khi chứng chỉ đã được xác thực, hai bên sẽ sử
dụng các private key để mã hóa dữ liệu trước khi gửi đi. Những khóa
này được tạo ra từ q trình trao đổi thơng tin cơ bản ban đầu và sẽ
khác nhau giữa hai bên. Khi dữ liệu được gửi đi, nó sẽ được mã hóa
bằng các khóa này và chỉ người nhận dữ liệu mới có thể giải mã nó
bằng các khóa bí mật của họ. Nhờ việc mã hóa dữ liệu, người dùng có
thể yên tâm rằng dữ liệu của họ sẽ không bị truy cập bởi bất kỳ ai
khác ngoài người nhận dữ liệu.
 Gửi dữ liệu: Sau khi dữ liệu đã được mã hóa, nó có thể được gửi đi an
tồn qua mạng. Nếu có bất kỳ ai khác cố gắng truy cập dữ liệu này, họ
sẽ không thể đọc được nội dung của nó vì nó đã được mã hóa bằng
các khóa bí mật khác.
 Giải mã dữ liệu: Khi dữ liệu đến tại người nhận, nó sẽ được giải mã

bằng các khóa bí mật của người nhận để trở thành dữ liệu đọc được.
Sau đó, người nhận có thể sử dụng dữ liệu này để thực hiện các thao
tác cần thiết.

7
NHÓM 9


3. TỔNG QUAN VỀ CÔNG CỤ POLAR PROXY
3.1. Giới thiệu
PolarProxy là một proxy SSL/TLS trong suốt được tạo cho những người ứng
phó sự cố, nhà phân tích phần mềm độc hại và nhà nghiên cứu bảo mật. PolarProxy
giải mã và mã hóa lại lưu lượng TLS, đồng thời lưu lưu lượng đã giải mã trong tệp
PCAP có thể được tải vào Wireshark hoặc hệ thống phát hiện xâm nhập (IDS).
3.2. Khả năng của PolarProxy
1. Tạo và quản lý proxy server SOCKS5: PolarProxy cho phép người dùng
tạo và quản lý các proxy server ở các vị trí địa lý khác nhau trên toàn cầu để
truy cập các trang web và dịch vụ trực tuyến mà không bị giới hạn địa lý
hoặc kiểm duyệt nội dung.
2. Proxy SSL/TLS trong suốt: PolarProxy giải mã và mã hóa lại lưu lượng
TLS, cho phép người dùng xem nội dung của các gói dữ liệu đã giải mã để
phát hiện và phân tích các hoạt động độc hại trên mạng.
3. Hỗ trợ tệp PCAP: PolarProxy cho phép lưu lượng đã giải mã được lưu trữ
trong các tệp PCAP, có thể được tải vào các cơng cụ phân tích mạng phổ
biến như Wireshark hoặc hệ thống phát hiện xâm nhập (IDS) để phân tích
và phát hiện các hoạt động độc hại.
4. Bảo mật: PolarProxy cung cấp các tính năng bảo mật như mã hóa dữ liệu
và chặn các kết nối khơng an tồn, giúp người dùng truy cập các tài nguyên
trên mạng một cách an toàn và riêng tư.
5. Hỗ trợ nhiều nền tảng: PolarProxy có thể chạy trên nhiều nền tảng, bao

gồm Windows, macOS và Linux, cung cấp cho người dùng sự linh hoạt
trong việc triển khai và sử dụng công cụ này trên các hệ thống khác nhau.
3.3 Các cách hoạt động của PolarProxy
3.3.1 Transparent Forward Proxy
8
NHÓM 9


PolarProxy kết nối với các máy chủ TLS bên ngoài thay mặt cho các máy
khách trên mạng. Chế độ này thường được sử dụng để chặn và giám sát lưu lượng
HTTPS được mã hóa khác từ máy khách

Hình 1 Chế độ Transparent Forward Proxy

Khi client gửi yêu cầu truy cập trang web bảo mật (HTTPS), yêu cầu sẽ
được chuyển đến PolarProxy thay vì trực tiếp đến máy chủ. Sau đó, PolarProxy sẽ
thực hiện các bước sau:
1. PolarProxy tiếp nhận yêu cầu từ client và thực hiện kết nối đến máy chủ
TLS bên ngoài.
2. PolarProxy giả vờ là client và yêu cầu kết nối đến máy chủ bảo mật. Sau khi
kết nối thành cơng, thơng tin được mã hóa sẽ được giải mã bởi PolarProxy.
3. PolarProxy sẽ thực hiện việc giải mã, phân tích và theo dõi lưu lượng dữ liệu
giữa client và máy chủ bảo mật ngồi mạng. Nếu có u cầu từ client,
PolarProxy sẽ mã hóa thơng tin và chuyển tiếp yêu cầu đến máy chủ bảo
mật.
4. Máy chủ bảo mật sẽ trả lại thông tin cho PolarProxy, và PolarProxy sẽ tiếp
tục mã hóa dữ liệu và chuyển tiếp kết quả đến client.

9
NHÓM 9



Hình 2 Sơ đồ mạng trong mơ hình Transparent Forward Proxy

5. Quá trình này tiếp diễn cho đến khi client nhận được tất cả dữ liệu được yêu
cầu, hoặc PolarProxy ngừng giám sát và chuyển tiếp dữ liệu đến client.
PolarProxy là proxy TLS chuyển tiếp giải mã lưu lượng truy cập TLS đến từ
máy khách, mã hóa lại và chuyển tiếp đến máy chủ. Một trong những tính năng
chính trong PolarProxy là khả năng xuất lưu lượng được ủy quyền ở dạng đã giải
mã bằng định dạng PCAP (còn gọi là định dạng libpcap/tcpdump). Điều này cho
phép đọc lưu lượng được giải mã bằng các cơng cụ bên ngồi mà khơng cần phải
thực hiện lại q trình giải mã. Nó cũng cho phép phân tích gói bằng các cơng cụ
khơng hỗ trợ giải mã TLS tích hợp.
3.3.2 Reverse Proxy
PolarProxy được thiết kế để hoạt động như một Reverse TLS Proxy, điều
này có nghĩa là nó hoạt động như một máy chủ trung gian giữa client và máy chủ
bên trong, và nó sử dụng kết nối TLS để giữ liên lạc an toàn giữa các bên. Trong
chế độ này, PolarProxy sẽ chuyển tiếp các yêu cầu TLS từ client đến máy chủ bên
trong và giải mã các gói tin TLS được gửi và nhận bởi cả hai bên.
10
NHÓM 9


Khi client gửi yêu cầu đến PolarProxy, PolarProxy sẽ trích xuất các thông
tin quan trọng từ yêu cầu, chẳng hạn như SNI (Server Name Indication) và ALPN
(Application-Layer Protocol Negotiation), và sử dụng chúng để thiết lập một kết
nối TLS an tồn với máy chủ bên trong. Sau đó, PolarProxy sẽ chuyển tiếp yêu cầu
từ client cho máy chủ bên trong thông qua kết nối TLS đã thiết lập.
Khi máy chủ bên trong phản hồi yêu cầu, PolarProxy sẽ giải mã các gói tin
TLS và gửi nội dung của phản hồi cho client qua kết nối TLS. PolarProxy sử dụng

các thông tin SNI và ALPN để đảm bảo rằng phản hồi được mã hóa bằng cùng một
khóa TLS như yêu cầu tương ứng.
Với chức năng Reverse TLS Proxy, PolarProxy cho phép các chuyên gia bảo
mật kiểm tra và giám sát các kết nối TLS một cách hiệu quả, giúp tìm ra các lỗ
hổng bảo mật và đưa ra các giải pháp để cải thiện an ninh hệ thống.

Hình 3 Mơ hình mạng trong mơ hình Reverse Proxy

Khi một gói tin HTTPS đi qua PolarProxy ở chế độ Reverse Proxy,
PolarProxy sẽ giải mã gói tin HTTPS đó, trích xuất dữ liệu bên trong gói tin, và
gửi các yêu cầu tương ứng đến máy chủ bên trong mạng nội bộ. Sau đó,
PolarProxy sẽ mã hóa lại gói tin trả về từ máy chủ bên trong và gửi nó đến client
ban đầu. Vì vậy, dù gói tin đã được giải mã và mã hóa lại, tuy nhiên, dữ liệu bên

11
NHÓM 9


trong gói tin vẫn giữ ngun, vì vậy định dạng gói tin HTTPS vẫn được duy trì và
gói tin sẽ vẫn được gửi qua mạng với định dạng HTTPS.
3.3.3 TLS Termination Proxy
Chế độ TLS Termination Proxy trong PolarProxy có tác dụng chấm dứt
(terminate) kết nối TLS giữa máy khách và máy chủ, và giải mã các gói tin HTTPS
thành HTTP để giúp PolarProxy phân tích các yêu cầu và phản hồi một cách dễ
dàng hơn.

Hình 4 Mơ hình mạng trong mơ hình TLS Termination Proxy

Khi các u cầu được gửi đến một trang web bảo mật sử dụng HTTPS,
thông tin trong các yêu cầu sẽ được mã hóa để đảm bảo tính riêng tư và an tồn.

Khi sử dụng PolarProxy như một TLS Termination Proxy, PolarProxy sẽ giải mã
các gói tin HTTPS và chấm dứt kết nối TLS giữa máy khách và máy chủ. Sau đó,
các yêu cầu và phản hồi sẽ được phân tích dưới dạng HTTP bởi PolarProxy.

12
NHĨM 9


Hình 5 Cách hoạt động của mơ hình TLS Termination Proxy

Dưới đây là q trình gửi gói tin HTTPS từ client đến server đi qua TLS
Termination Proxy:
 Client khởi tạo kết nối HTTPS với server. Client sẽ gửi yêu cầu kết
nối HTTPS đến server.
 TLS Termination Proxy nhận được yêu cầu kết nối từ client và tạo
một kết nối HTTPS mới với client. Trong quá trình tạo kết nối, TLS
Termination Proxy sẽ yêu cầu chứng chỉ SSL/TLS từ client để xác
thực và giải mã các gói tin HTTPS.
 Sau khi xác thực và giải mã các gói tin HTTPS, TLS Termination
Proxy sẽ chuyển tiếp yêu cầu của client đến server dưới dạng HTTP
thông qua một kết nối HTTP mới.
 Server nhận được yêu cầu HTTP từ TLS Termination Proxy và trả về
phản hồi dưới dạng HTTP.
 TLS Termination Proxy nhận được phản hồi HTTP từ server và mã
hóa nó thành HTTPS trước khi chuyển tiếp nó đến client.
 Client nhận được phản hồi HTTPS từ TLS Termination Proxy và tiếp
tục truyền dữ liệu qua kết nối HTTPS.
Quá trình này cho phép TLS Termination Proxy giám sát và phân tích lưu
lượng mạng HTTPS một cách an toàn và bảo mật mà khơng làm giảm tính bảo mật
của kết nối HTTPS giữa client và server.

13
NHÓM 9


TLS Termination Proxy trong PolarProxy đóng vai trị như một server tạm
thời khi nhận các yêu cầu HTTPS từ client. Khi nhận được yêu cầu HTTPS, nó sẽ
yêu cầu chứng chỉ SSL/TLS từ client để xác thực và giải mã các gói tin HTTPS
trước khi chuyển tiếp yêu cầu đến server dưới dạng HTTP.
Vì vậy, khi sử dụng TLS Termination Proxy trong PolarProxy, client sẽ
không giao tiếp trực tiếp với server thơng qua HTTPS mà thay vào đó, client gửi
u cầu HTTPS đến PolarProxy và PolarProxy sẽ chuyển tiếp yêu cầu đó đến
server dưới dạng HTTP.
Sau khi server phản hồi, PolarProxy sẽ mã hóa lại các gói tin HTTP thành
HTTPS trước khi trả về cho client. Vì vậy, client sẽ nhận được phản hồi HTTPS từ
PolarProxy và không biết rằng phía sau PolarProxy là một server HTTP thực sự.
3.3.4 Transparent In-Line Proxy
Ở chế độ này, PolarProxy giải mã, mã hóa lại và chuyển tiếp tất cả các kết
nối TLS tới một proxy cụ thể, cổng bảo mật hoặc một số dạng khác của “NG-

Hình 6 Chế độ Transparent In-Line Proxy

Firewall”.
3.3.5 mTLS Proxy
PolarProxy thực hiện bắt tay mTLS với chứng chỉ ứng dụng khách thay mặt
cho khách hàng. Tính năng này có thể được sử dụng để cho phép các ứng dụng
14
NHÓM 9


thiếu hỗ trợ xác thực lẫn nhau giao tiếp với các ứng dụng web hoặc dịch vụ siêu

nhỏ mà không cần phải tự xác thực.
3.3.6 SOCKS Proxy
PolarProxy chạy như một máy chủ proxy SOCKS cục bộ, mà máy khách có
thể sử dụng để truy cập Internet. Tất cả lưu lượng TLS đi qua máy chủ SOCKS của
PolarProxy sẽ được giải mã và mã hóa lại bất kể cổng.

Hình 8 Chế độ SOCKS Proxy

3.3.7 HAProxy
PolarProxy chạy dưới dạng máy chủ HAProxy cục bộ, sử dụng giao thức
PROXY v1 (send-proxy).

Hình 9 Chế độ HAProxy
15
NHÓM 9


3.3.8 HTTP CONNECT Proxy
PolarProxy chạy dưới dạng máy chủ proxy HTTP cục bộ, chỉ hỗ trợ phương
thức yêu cầu CONNECT. Lưu lượng TLS đi qua proxy HTTP CONNECT của
PolarProxy sẽ được giải mã và mã hóa lại bất kể cổng.

Hình 10 Chế độ HTTP CONNECT Proxy

4. SỬ DỤNG SURICATA ĐỂ PHÂN TÍCH GĨI TIN PCAP
Phân tích pcap (Packet Capture) là q trình phân tích các gói tin mạng đã
được lưu trữ trong tệp pcap. Việc phân tích pcap có nhiều ưu điểm so với cách
capture đường truyền, bao gồm:
- Không ảnh hưởng đến đường truyền: Khi thực hiện phân tích pcap,
khơng có gói tin nào bị mất hoặc ảnh hưởng đến đường truyền, do đó

khơng ảnh hưởng đến hoạt động của mạng. Điều này rất quan trọng
trong các môi trường sản xuất, nơi một sự cố trong q trình capture
có thể dẫn đến tình trạng gián đoạn hoặc mất kết nối. Khi sử dụng
phân tích pcap, nhà quản trị mạng có thể thu thập dữ liệu mạng một
cách an tồn và khơng ảnh hưởng đến hoạt động của mạng.
- Có thể xử lý các tệp pcap lớn: Với các công cụ phân tích pcap hiện
đại, có thể xử lý các tệp pcap lớn, chứa hàng triệu gói tin mạng, để
phân tích các dấu vết, hành vi hoặc tấn cơng mạng. Điều này rất hữu
ích khi phải phân tích dữ liệu mạng trong mơi trường lớn hoặc trong
16
NHĨM 9


trường hợp cần phân tích chi tiết các tình huống xảy ra trên mạng. Các
cơng cụ phân tích pcap cũng cung cấp các tính năng lọc dữ liệu, giúp
nhà phân tích mạng tìm kiếm và phân tích các dữ liệu quan trọng một
cách nhanh chóng và hiệu quả.
- Khả năng lưu trữ và chia sẻ: Các tệp pcap có thể được lưu trữ và chia
sẻ giữa các nhà phân tích mạng, giúp họ nghiên cứu, so sánh hoặc tìm
kiếm các dấu vết mạng. Các tệp pcap cũng có thể được sử dụng như là
bằng chứng trong trường hợp pháp lý, giúp các nhà điều tra hoặc các
chuyên gia pháp y chứng minh được các hành vi mạng và tấn công.
- Chính xác và chi tiết: Với các cơng cụ phân tích pcap, các nhà phân
tích có thể xem chi tiết từng gói tin mạng, bao gồm các trường dữ
liệu, giao thức, địa chỉ nguồn và đích, và phân tích chính xác các dấu
vết mạng. Điều này giúp các nhà phân tích mạng hiểu rõ hơn về cách
mạng hoạt động, phát hiện được các hành vi lạ hoặc tấn công mạng.
- Dễ dàng lưu trữ và quản lý: Các tệp pcap có thể được lưu trữ và quản
lý trên nhiều nền tảng và dễ dàng tìm kiếm khi cần thiết. Điều này
giúp các nhà phân tích mạng có thể dễ dàng truy cập và tìm kiếm các

tệp pcap để phân tích hoặc làm việc với các dữ liệu mạng.

17
NHĨM 9

Hình 11 Đọc gói tin pcap bằng cơng cụ Wireshark


Tóm lại, phân tích pcap có nhiều ưu điểm so với cách capture đường truyền,
vì nó khơng ảnh hưởng đến hoạt động của mạng, có thể xử lý các tệp pcap lớn, lưu
trữ và chia sẻ dữ liệu dễ dàng, cung cấp các tính năng lọc dữ liệu và phân tích
chính xác các dấu vết mạng. Các nhà phân tích mạng có thể sử dụng phân tích pcap
để giám sát, phát hiện và ngăn chặn các tấn công mạng, tăng cường bảo mật và
tăng hiệu quả của hoạt động mạng.
B. THỰC HIỆN DEMO
1. MỤC ĐÍCH THỰC HIỆN
Sử dụng cơng cụ Polar Proxy để giải mã gói tin HTTPS, xuất ra gói tin
PCAP để chuyển tiếp cho cơng cụ Suricata phân tích. Nếu phát hiện thấy file độc
hại được truyền trên đường truyền, Suricata đưa ra cảnh báo và hiển thị cảnh báo
trên Kibana của bộ cơng cụ ELK.

18
NHĨM 9


2. SƠ ĐỒ MẠNG

Hình 12 Sơ đồ mạng của bài lab

- Máy client (192.168.0.2): dùng để truy cập Internet, tải file độc hại từ Internet về.

- Gateway (192.168.0.1, 10.0.0.1): Gateway dùng để NAT từ mạng nội bộ ra mạng
ngoài, cùng với đó là cơng cụ PolarProxy được cài đặt lên Gateway để có thể
capture mọi gói tin HTTPS đi qua đó. Sau đó là xuất kết quả ra file PCAP và gửi
tới Suricata.
- Suricata (10.0.0.2): Công cụ IDS, dùng để phát hiện gói tin chứa payload độc hại
mà máy Client tải về từ Internet.
- ELK (10.0.0.3): Bộ công cụ SIEM gồm 3 thành phần: ElasticSearch, Logstash và
Kibana. Dùng để lưu trữ các cảnh báo của Suricata, hiển thị giao diện, đồ thị để dễ
dàng cho việc quản lý.
19
NHÓM 9


3. CÁC BƯỚC THỰC HIỆN
3.1 Xây dựng máy ảo
Máy Client:
- Sử dụng Ubuntu 20.04.
- NIC enp0s3, dải mạng 192.168.0.0, IP 192.168.0.2.

Hình 13 Địa chỉ máy Client

Máy Gateway:
- Sử dụng Ubuntu 20.04.
- Mạng nội bộ Client: NIC enp0s3, dải mạng 192.168.0.0, IP 192.168.0.1.
- Mạng nội bộ Suricata: NIC enp0s8, dải mạng 10.0.0.0, IP 10.0.0.1.

20
NHÓM 9