Tải bản đầy đủ (.ppt) (34 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

phân tích bản tin bằng wiresharlk

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.35 MB, 34 trang )

Nội dung hôm nay

Thực hành Kỹ thuật nối mạng LAN đơn giản

Chọn cáp: CAT 5,5e,6 nối thẳng, nối chéo

Chọn IP: 192.168.220.0/24

Thiết lập IP tĩnh: IP, Netmask, DNS, Default gateway

Kiểm tra: Ipconfig /all, Ping, ARP, RARP, Tracert

Xử lý lỗi.

Trình bày kỹ thuật bắt gói tin

Thực hành bắt và phân tích gói tin
04/29/15
1
TÌM HIỂU CÁCH BẮT GÓI VÀ
PHÂN TÍCH BẰNG
WIRESHARK
04/29/15
2
04/29/15
3
Việc học và hiểu tốt về một công cụ sniffer là một
trong những yêu cầu tối cần thiết đối với những
người làm việc liên quan tới network. Việc sử dụng
tốt sniffer sẽ giúp chúng ta :


Capture được các gói tin từ nhiều nguồn khác
nhau

Phân tích các gói tin được capture để hiểu rõ hơn
về chức năng
của giao thức mạng

Giúp đỡ trong việc phân tích và khắc phục sự cố
mạng

Hiểu sâu hơn về bộ giao thức TCP/IP
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B

N
04/29/15
4
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N

G

C
Ă
N

B

N
1. GiỚI THIỆU
MỤC LỤC
MỤC LỤC
04/29/15
5
2. CÁC CÁCH THỨC NGHE GÓI TIN TRÊN
MẠNG
3. GiỚI THIỆU VỀ WIRESHARK
4. CÁC TÌNH HUỐNG VỚI WIRESHARK
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B


N
GIỚI THIỆU
GIỚI THIỆU

THẾ NÀO LÀ PHÂN TÍCH GÓI ?

CÁC BƯỚC ĐỂ NGHE GÓI TIN ?
04/29/15
6
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B

N
PHÂN TÍCH GÓI

Phân tích gói tin, thông thường được quy vào việc
nghe các gói tin và phân tích giao thức, mô tả quá
trình bắt và phiên dịch các dữ liệu sống như là các
luồng đang lưu chuyển trong mạng với mục tiêu
hiểu rõ hơn điều gì đang diễn ra trên mạng
04/29/15

7
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B

N

Quá trình nghe gói tin được chia làm 3 bước:

Thu thập dữ liệu: Chuyển giao diện mạng được lựa
chọn sang chế độ Promiscuous. Chương trình nghe gói sử
dụng chế độ này cùng với việc truy nhập ở mức thấp để
bắt các dữ liệu nhị phân trên đường truyền.

Chuyển đổi dữ liệu: Trong bước này, các gói tin nhị
phân trên được chuyển đổi thành các khuôn dạng có thể
đọc được.

Phân tích: Phân tích các gói tin đã được chuyển đổi.
8
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M


N
G

C
Ă
N

B

N
CÁCH THỨC NGHE GÓI TIN
TRÊN MẠNG
04/29/15
9
1. Living Promiscuously (chế độ
bắt tất cả các gói tin đi qua)
2. “NGHE” TRONG MẠNG CÓ HUB
3. “NGHE” TRONG MẠNG CÓ
SWICTH
4. “NGHE” TRONG MẠNG CÓ
ROUTER
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK

Chế độ Promiscuous cho phép card mạng nhìn
thấy tất cả các gói tin đi qua hệ thống dây mạng.
Khi một card mạng không ở chế độ này, nó nhìn
thấy một số lượng lớn các gói tin trên mạng
nhưng không gửi cho nó, nó sẽ huỷ (drop) các gói
tin này.

04/29/15
10
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B

N
NGHE TRONG MẠNG CÓ HUB

Cơ chế hoạt động của Hub cho phép gói tin được
gửi tất cả các cổng của hub. Hơn nữa,để phân tích
một máy tính trên một hub, tất cả các công việc
mà bạn cần làm là cắm máy nghe vào một cổng
còn trống trên hub
04/29/15
11
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G


C
Ă
N

B

N
NGHE TRONG MẠNG
CÓ SWITCH

Switch cung cấp một phương thức hiệu quả để vận chuyển dữ liệu
thông qua broadcast, unicast, multicast.Switch cho phép kết nối song
công (full-duplex), có nghĩa là máy trạm có thể truyền và nhận dữ
liệu đồng thời từ switch.
04/29/15
12
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B

N
Có 3 cách chính để bắt

được các gói tin từ một
thiết bị mục tiêu trên
mạng switch: port
mirroring, ARP cache
poisoning và hubbing out
PORT MIRRORING

Port mirroring hay còn gọi là port spanning có thể là cách đơn giản nhất để
bắt các lưu lượng từ thiết bị mục tiêu trên mạng switch. Với cách này, bạn
phải truy cập được giao diện dòng lệnh của switch mà máy mục tiêu cắm vào.
13
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B

N
HUB OUT
14
Hubbing out là kỹ thuật
mà trong đó bạn đặt thiết
bị mục tiêu và máy nghe
vào cùng một phân mạng

bằng cách đặt chúng trực
tiếp vào một hub.
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B

N
ARP Cache Poisoning
04/29/15
15
ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đường truyền trong
một mạng switch.
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
“NGHE” TRONG MẠNG SỬ DỤNG
ROUTER

Tất cả các kỹ thuật nghe trong mạng switch đều có
thể được sử dụng trong mạng router.
16
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M


N
G

C
Ă
N

B

N

WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển
phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành
năm 1998.

Các giao thực được hỗ trợ bởi WireShark: WireShark vượt trội về khả năng
hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP
đến những loại đặc biệt như là AppleTalk và Bit Torrent

Thân thiện với người dùng

Giá rẻ

Hỗ trợ

Hệ điều hành hỗ trợ Wireshark
04/29/15
17
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M


N
G

C
Ă
N

B

N
1. Name Resolution
2. Protocol Dissection
3. Following TCP Streams
4. Cửa sổ thống kê phân cấp giao thức
5. Xem các Endpoints
6. Cửa sổ đồ thị IO
04/29/15
18
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B


N
M

N
G

C
Ă
N

B

N
1. Một số tình huống cơ bản

A Lost TCP Connection (mất kết nối TCP)

Ví dụ: Một ví truyền file bị mất kết nối: Bắt đầu bằng việc gửi 4 gói TCP
ACK từ 10.3.71.7 đến 10.3.30.1.
04/29/15
19
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK

04/29/15
20
Lỗi bắt đầu từ gói thứ 5, chúng ta nhìn thấy xuất hiện việc gửi
lại gói của TCP
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M


N
G

C
Ă
N

B

N

04/29/15
21
Như ta thấy ở hình bên TCP
sẽ gửi lại 5 lần, nếu 5 lần
liên tiếp không nhận được
phản hồi thì kết nối được coi
là kết thúc.
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B


N
04/29/15
22

Hiện tượng này ta có thể thấy trong Wireshark như
sau:

Khả năng xác định gói tin bị lỗi đôi khi sẽ giúp chúng ta
có thể phát hiện ra mấu trốt mạng bị mất là do đâu
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B

N

Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối và các mã ICMP)

Một trong các công cụ khi kiểm tra kết nối mạng là công cụ ICMP ping.

04/29/15
23

CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B

N

Hình dưới đây cho thấy thông báo không thể ping tới 10.4.88.88 từ máy
10.2.99.99.

Như vậy so với ping thông thường thì ta có thể thấy kết nối bị đứt từ 10.2.99.99.
Ngoài ra còn có các mã lỗi của ICMP, ví dụ : code 1 (Host unreachable)
04/29/15
24
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N


B

N

Unreachable Port (không thể kết nối tới cổng)

Một trong các nhiệm vụ thông thường khác là kiểm tra kết nối
tới một cổng trên một máy đích.

Ví dụ, để kiểm tra dịch vụ FTP có chạy trên một
server hay không, mặc định FTP sẽ làm việc qua cổng
21 ở chế độ thông thường. Ta sẽ gửi gói tin ICMP đến
cổng 21 của máy đích, nếu máy đích trả lời lại gói
ICMP loại ô và mã lỗi 2 thì có nghĩa là không thể kết
nối tới cổng đó.
04/29/15
25
CÁCH BẮT GÓI TIN VÀ PHÂN TÍCH BẰNG WIRESHARK
M

N
G

C
Ă
N

B


N

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×