TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
---------------------------------------------------

ĐỀ BÀI: Áp dụng những kỹ thuật về an tồn bảo mật
thơng tin trên mơi trường mạng, hãy thực hiện mơ tả, phân
tích gói tin bằng phần mềm Wireshark để làm rõ các bước
các như: giao thức TCP/IP - UDP, gói tin, địa chỉ nguồn,
địa chỉ đích, thời gian luân chuyển của gói tin.
Họ Và Tên Sinh Viên:

Nguyễn Văn Tùng

Mã Sinh Viên:

1911060858

Lớp:

ĐH9C5

Học phần:
Giảng Viên Hướng Dẫn:

Hà Nội, Năm 2022


LỜI CẢM ƠN

PHẦN 1: GIỚI THIỆU
1. Mục đích

Sử dụng phần mềm Wireshark để thực hiện mơ tả, phân tích gói tin
thơng

qua

đó

ta

có thể làm rõ các vấn đề về: TCP/IP, gói tin, địa chỉ nguồn, địa chỉ
đích,

thời

gian

ln

chuyển giữa các gói tin.
2. Môi trường sử dụng:
Hệ điều hành: Microsoft Windows 7, 8, 10
Các công cụ sử dụng: Wireshark
3. Tổng quan về Wireshark
Wireshark là một ứng dụng dùng để bắt (capture), phân tích và xác
định

các

vấn


đề

liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy
cập

bất

thường.

Phần

mềm này cho phép quản trị viên hiểu sâu hơn các Network Packets
đang chạy trên hệ thống, qua đó dễ dàng xác định các ngun nhân
chính xác gây ra lỗi.
Thân thiện với người dùng: Giao diện của Wireshark là một trong
những

giao

diện

phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ
với hệ thống menu rât rõ ràng và được bố trí dễ hiểu.


Đây là một phần mềm mã nguồn mở, được cấp phép GPL, và do đó
miễn

phí


sử

dụng, tự do chia sẻ và sửa đổi.
Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt
và

năng

động

nhất của các dự án mã nguồn mở.
Đa nền tảng: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện
nay.

4. Một số tính năng nâng cao của wireshark
-Name Resolution
Dữ liệu truyền trong mạng thông qua một vài hệ thống địa chỉ, các
địa

chỉ

này

thường dài và khó nhớ (Ví dụ: MAC). Phân giải điạch chỉ là q trình
mà một giao thức sử dụng để chuyển đổi một địa chỉ loại này thành
một

địa

chỉ


loại

khác

đơn

giản

hơn.

Chúng

ta

có thể tiết kiệm thời gian bằng cách sử dụng một vài công cụ phân
giải địa chỉ để file dữ liệu ta bắt được dễ đọc hơn. Ví dụ như là chúng
ta

có

thể

sử

dụng

phân

giải


tên

DNS

để

giúp

định danh tên của một máy tính mà ta đang có gắng xác định như là
nguồn của các gói cụ thể.


-Các kiểu cơng cụ phân giải tên trong Wireshark: có 3 loại
MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP
tầng

3.

Nếu việc phân giải này lỗi, Wireshark sẽ chuyển 3 byte đầu tiên của
địa chỉ MAC sang tên hãng sản xuất đã được IEEE đặc tả, ví dụ:
Netgear_01:02:03.
Network Name Resolution: chuyển đổi địa chỉ tầng 3 sang một tên
DNS

dễ

đọc như là MarketingPC1.
Transport Name Resolution: chuyển đổi một cổng sang một tên
dịch


vụ

tương ứng với nó, ví dụ: cổng 80 là http.

Protocol Dissection
Một protocol dissector cho phép Wireshark phân chia một giao thức
thành

một

số

thành phần để phân tích. ICMP protocol dissector cho phép Wireshark
phân

chia

dữ

liệu

bắt

được và định dạng chúng như là một gói tin ICMP. Bạn có thể nghĩ
rằng

một

dissector


như

là một bộ phiên dịch giữa dòng dữ liệu trên đường truyền và chương
trình

Wireshark.

Với


mục đích để hỗ trợ một giao thức nào đó, một dessector cho giao
thức

đó

phải

được

tích

hợp

trong Wireshark. Wireshark sử dụng đồng thời vài dissector để phiên
dịch

mỗi

gói


tin.

Nó

quyết định dissector nào được sử dụng bằng cách sử dụng phân tích
lơgic

đã

được

cài

đặt

sẵn và thực hiện việc dự đốn. Thật khơng may là Wireshark khơng
phải

lúc

nào

cũng

đúng

trong việc lựa chọn dissector phù hợp cho một gói tin. Tuy nhiên, ta
có


thể

thay

đổi

việc

lựa

chọn này trong từng trường hợp cụ thể.

Following TCP Streams
Một trong những tính năng hữu ích nhất của Wireshark là khả năng
xem

các

dịng

TCP như là ở tầng ứng dụng. Tính năng này cho phép bạn phối hợp
tất

cả

các

thơng

tin


liên

quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm
chứa

giống

như

là

người

dùng cuối nhìn thấy trong ứng dụng. Cịn hơn cả việc xem các dữ liệu
đang

được

truyền

giữa máy trạm và máy chủ trong một mớ hỗn độn, tính năng này sắp
xếp

dữ

liệu

để


có

thể

xem một cách đơn giản. Bạn có thể sử dụng cơng cụ này để bắt và
giải

mã

một

phiên

instant

messages được gửi bởi một người làm thuê (người này đang bị ghi


ngờ

phát

tán

các

thơng

tin tài chính của cơng ty).
Cửa sổ thống kê phân cấp giao thức

Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân
bố

các

giao

thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm
là

IP

và

DHCP

là

bao

nhiêu phần trăm,... Thay vì phải đếm từng gói tin để thu được kết
quả,

chúng

ta

có

thể


sử

dụng cửa sổ thống kê phân cấp giao thức của Wireshark. Đây là cách
tuyệt

với

để

kiểm

thử

mạng của bạn. Ví dụ, nếu bạn biết rằng 10% lưu lượng mạng của bạn
được

sử

dụng

bởi

các

lưu lượng ARP, và một ngày nào đó, bạn thấy lưu lượng ARP lên tới
50%,

bạn


hồn

tồn

có

thể hiểu rằng đang có một cái gì đó khơng ổn xảy ra.
Xem các Endpoints
Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể. Ví
dụ,

có

hai

endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và
nhận

dữ

liệu,

192.168.1.5 và 192.168.0.8. Một ví dụ ở tầng 2 có thể là kết nối giữa
hai

NIC

vật

lý


và

địa

chỉ MAC của chúng. Các NIC gửi và nhận dữ liệu, các MAC đó tạo nên
các
kết nối.

endpoint

trong


Hàng ngày, có hàng triệu vấn đề lỗi trong một mạng máy tính, từ
việc

đơn

giản

là

nhiễm Spyware cho đến việc phức tạp như lỗi cấu hình router, và các
vấn

đề

này


khơng

thể

được xử lý tất cả lập tức. Tốt nhất là chúng ta có thể hi vọng thực
hiện

cơng

việc

đó

bằng

cách chuẩn bị đầy đủ các kiến thức và các công cụ tương ứng với các
vấn đề.
Tất cả các vấn đề trên mạng đều xuất phát ở mức gói, nơi mà khơng
có

gì

được

che

dấu đối với chúng ta, nơi mà khơng có thứ gì bị ẩn đi bởi các cấu trúc
menu,

các


hình

ảnh

bắt mắt hoặc là các nhân viên khơng đáng tin cậy. Khơng có gì bí
mật ở đây, và chúng ta có thể điều khiển được mạng và giải quyết
các

vấn

đề.

Đây

chính

là

thế

giới

của

phân

tích

gói


tin.
5. Thế nào là phân tích gói tin?
Phân tích gói tin, thơng thường được quy vào việc nghe các gói tin và
phân

tích

giao

thức, mơ tả q trình bắt và phiên dịch các dữ liệu sống như là các
luồng

đang

lưu

chuyển

trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng.
Phân

tích

gói

tin

thường được thực hiện bởi một packet sniffer, một công cụ được sử
dụng


để

bắt

dữ

liệu

thơ

trên đang lưu chuyển trên đường dây. Phân tích gói tin có thể giúp
chung

ta

hiểu

cấu

tạo


mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng
băng

thơng,

chỉ


ra

những

thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng
tấn

công

và

các

hành

vi

phá hoại, và tìm ra các ứng dụng khơng được bảo mật. Có một vài
kiểu

chương

trình

nghe

gói tin, bao gồm cả miễn phí và sản phẩm thương mại. Mỗi chương
trình

được


thiết

kế

với

các mục tiêu khác nhau. Một vài chương trình nghe gói tin phổ biến
như

là

tcpdump

(a

command-line program), OmniPeek, và Wireshark (cả hai đều là
chương

trình

có

giao

diện

đồ hoạ). Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm
đến


một

số

vấn

đề:

các giao thức mà chương trình cần hỗ trợ, tính dễ sử dụng, chi phí, hỗ
trợ

kỹ

thuật

chương trình hỗ trợ cho hệ điều hành nào.

PHẦN 2: SỬ DỤNG WIRESHARK ĐỂ PHÂN TÍCH GĨI TIN
1. Phân tích q trình PING:
Khởi động phần mềm Wireshark:

và


Tìm và chọn đến card mạng đang có luồng dữ liệu đang chạy (Ở đây
là WIFI)

Phân tích PING



Để bắt đầu quá trình PING thì chúng ta sẽ stop wireshark và start lại
nó

Sau đó thực hiện lệnh ping đến địa chỉ ip “Default Gateway”:
192.168.1.1


Lọc dữ liệu “ icmp ”:
Bằng từ khóa “ icmp”

-Sau khi lọc dữ liệu xong thì chúng ta đã có thể đọc được 1 số thông
tin như sau:
No: số thứ tự tập tin trong tập file capture hiện tại.
Time: Thời gian tương đối mà gói tin này được bắt, tính từ lúc bắt đầu
q
trình bắt gói tin.
Source: Địa chỉ ip nguồn của kết nối
Destination: Địa chỉ đích của kết nối
Protocal: giao thức kết nối của gói tin
Length: Chiều dài của gói tin
Info: Các thơng tin liên quan đến gói tin
-Chúng ta có thể xem thơng tin chi tiết loại gói tin của mình thì chúng
ta

double


click vào 1 gói tin mà chúng ta muốn xem và ta sẽ xem được thêm
những không tin khác về:
Frame

Ethernet II
Internet Protocal Version 4
Internet Control Message Protocal


2. Phân tích q trình kết nối HTTP:
Kết nối tới trang web : />
Phân tích kết nối DNS
Lọc ra dữ liệu tương ứng UDP/53 từ địa chỉ Ip máy tính 192.168.1.4
với

từ

“DNS” hoặc “ ip.addr == 192.162.1.75 && dns”

khóa


-Thơng tin chi tiết của gói tin như:
Frame
Enthernet II
Internet Protocal Version 4
User Datagram Protocal
Domain Name System


Phân tích kết nối HTTP, tạo kết nối TCP đến máy chủ của
website

Lọc luồng dữ liệu web bằng từ khóa “http”



Nhưng ở bước trên chúng ta chỉ có thể nhìn thấy luồng dữ liệu web
nên

Chúng

ta

sẽ phải thay thế bằng từ khóa “ip.addr == 192.168.1.4 &&
ip.addr

==

118.70.128.93” để có thể thấy được gói bắt tay 3 bước với các file:
[SYN],

[SYN,

ACK], [ACK]

Địa chỉ ip 192.168.1.75: Là địa chỉ ip local
Địa chỉ ip 118.70.128.93: Là địa chỉ ip đích đến
Sau đó chúng ta muốn xem thơng tin resquest và reponse cụ thể hơn
thì

ta

click


chuột phải vào protocol có giá trị là “HTTP” sau đó chọn phần
“Follow”

và

stream” hoặc “HTTP stream”

chọn

“TCP


Phần chữ màu đỏ là phần request từ máy windows của mình gửi
lên máy chủ
Phần chữ màu xanh chính là phần reponse được trả về cho chúng
ta từ server
Tài liệu tham khảo
[1] Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống

mạng
Quantrimang.

-


[2] Huong dan thi nghiem wireshark – slideshare.
[3] />
bang-wiresharkicmp-ip-tcp-udp-arp-enthernet.htm.