PHÂN TÍCH LƯU LƯỢNG MẠNG BẰNG WIRESHARK (ĐIỀU TRA, THEO DÕI , PHÂN TÍCH CÁC GÓI TIN)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.65 MB, 25 trang )
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Khoa Mạng máy tính và Truyền thông
BÁO CÁO THỰC HÀNH MÔN HỌC: PHÁP CHỨNG KỸ THUẬT SỐ
NT334.H11
BÀI THỰC HÀNH 2: PHÁP CHỨNG LƯU LƯỢNG MẠNG VỚI PHẦN MỀM
WIRESHARK
Mục tiêu: sinh viên hiểu rõ các tính năng của công cụ phần mềm Wireshark khi tiến hành
điều tra, theo dõi và phân tích các gói tin trên mạng.
Thời gian thực hành: 1 buổi
Wireshark là một phần mềm mã nguồn mở cho phép kiểm tra, theo dõi và phân tích thông
tin mạng. Phiên bản đầu tiên của Wireshark mang tên Ethereal được phát triển bởi
Gerald Combs và phát hành năm 1988. Đến nay, WireShark vượt trội về khả năng hỗ trợ
các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP ..
Nội dung thực hành:
Sinh viên khởi động Wireshark từ máy tính của mình để bắt đầu điều tra thông tin từ các
gói tin khi truy cập các địa chỉ Website thông dụng như Website cung cấp thông tin:
vnexpress.net/, www.tuoitre.vn/..., Website nghe nhạc, xem phim trực tuyến:
mp3.zing.vn, nhaccuatui.com/ …, Website bán hàng trực tuyến: />nguyenkim.com….
Với mỗi loại Website liệt kê ở trên (Website thông tin, Website nghe nhạc trực tuyến,
Website bán hàng online), hãy chọn một Website tương ứng để truy cập. Với mỗi lần truy
cập, sinh viên lọc các gói tin gửi đi và gửi tới máy tính của mình, quan sát các gói tin thu
được trong Wireshark, tìm hiểu và làm báo cáo về các thông tin sau đây:
Cho biết các địa chỉ IP của các máy tính từ xa mà máy tính của sinh viên có liên
lạc tới.
• Cho biết các địa chỉ IP và số TCP port sử dụng bởi máy tính của sinh viên đang
truyền tải file
• Cho biết có bao nhiêu giao thức được trao đổi thông qua các gói tin
•
1|Page
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Tìm hiểu xem máy tính có các chương trình thường trú liên kết với các địa chỉ IP
lạ không
• Kiểm tra nội dung các gói tin HTTP, liệt kê các object HTTP được trao đổi giữa
client và server
• Nhận xét về các thông tin tìm hiểu được.
•
Khởi động phần mềm wireshark phiên bản mới nhất.
Chọn card mạng muốn bắt các gói tin. Sau đó chọn Start.
Trường hợp 1: Đối với website thông tin
Click vào một tin báo bất kỳ.
2|Page
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
1.1.
Danh sách các địa chỉ IP ở xa mà máy tính sinh viên có thể liên lạc tới:
Trong giao diện bắt gói tin của wireshark, chọn Statistic | IPv4 | Destionation
Address. Tiếp tục, trích xuất những destination IP có source ip là ip hiện tại của
máy tính thì ta sẽ thu được danh sách IP ở xa mà máy tính sinh viên có thể liên lạc
tới.
1.2.
Nêu địa chỉ IP và port của máy tính sinh viên thực hiện kết nối:
3|Page
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
•
•
1.3.
IP hiện tại của máy tính: 192.168.65.128/24
Danh sách các TCP port được mở:
Trong menu Wireshark, chọn Statistic | Conversation. Phần mềm sẽ tự động liệt
kê danh sách các port được mở trên máy client:
Liệt kê các giao thức được trao đổi qua các gói tin:
Trong giao diện wireshark, chọn Statistic | Protocol Hierchy:
4|Page
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Các giao thức bao gồm:
•
•
•
•
•
•
•
•
1.4.
SSL : giao thức hỗ trợ mã hóa các lưu lượng HTTP
HTTP : giao thức duyệt web thông thường
OCSP: giao thức kiểm tra tính hợp lệ của certificate trong https
DNS: giao thức phân giải tên miền
DHCPv6 : giao thức cấp phát IP động trong IPV6
ARP: giao thức tìm địa chỉ MAC khi biết địa chỉ IP
TCP
UDP
Tìm hiểu xem máy tính có các chương trình thường trú liên kết với các địa chỉ IP
lạ không ?
Trước hết, thực hiện phân giải các Destination IP tương ứng thành các tên miền:
Vào menu statistic | Resolved Address.
5|Page
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
1.5.
Nhận xét : Ta chỉ thực hiện truy cập website , tuy nhiên trong
phần destination IP có chứa khá nhiều tên miền khác nhau => website này chứa
khá nhiều liên kết đến các website khác.
Kiểm tra nội dung các gói tin HTTP, liệt kê các object HTTP được trao đổi giữa
client và server
Nội dung của các gói HTTP:
Bao gồm 2 gói cơ bản: gói HTTP Request và HTTP Reply.
Phân tích nội dung của gói HTTP Request từ client đến server:
6|Page
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Các thông tin trong gói http request gồm có:
Phương thức dùng để gửi dữ liệu: GET
Phiên bản HTTP sử dụng: HTTP/1.1
Host đang thực hiện truy vấn: vnexpress.vn
Phiên bản trình duyệt web mà client đang sử dụng: Firefox 54.0.2840
Những định dạng mã hóa mà client có thể chấp nhận ( Accept-Encoding): gzip ,
deflate
• Ngôn ngữ mặc định phía client ( Accept -Language): en-US, , vi-VN, fr-FR
•
•
•
•
•
Phân tích nội dung của gói HTTP Reply trả lời từ server về client:
7|Page
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Các thông tin trong gói http request gồm có:
•
•
•
•
•
•
•
•
•
Phiên bản sử dụng: HTTP 1.1
Status Code : 200 OK: truy vấn thành công
Server: cho biết thông tin về web server.
Date : Thời gian phản hồi http response.
Content-type: text/html chứa thông tin về định dạng nội dung chứa trong
http header. Ở đây chỉ ra là một văn bản html
Last-Modified: chỉ ra thời gian lần cuối cùng văn bản được chỉnh sửa
ETag với giá trị là chuỗi số duy nhất cho tất cả các file trên server. Nó có thể
là một mã Hash hay Footprint: mỗi file đều có footprint (dấu chân) duy nhất,
nếu bạn thay đổi nội dung file (dù chỉ là 1 byte) thì footprint sẽ thay đổi.
Content-Encoding: Thông báo cho client hình thức mã hóa của dữ liệu
Connection: kiểu kết nối
Danh sách các http object trao đổi giữa client và server:
8|Page
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Http object gồm 2 phần quan trọng: content type và content length.
Kết luận: Các HTTP Object mà client thực hiện trao đổi với server bao gồm các
loại Object sau: application/ocsp-request, application/ocsp-response, text/css,
application/javascript, application/x-javascript, text/html, image/gif, image/png,...
1.6.
Nhận xét các thông tin thu thập được:
Công cụ mã nguồn mở wireshark cung cấp cho chúng ta những thông tin hữu ích
khi thực hiện pháp chứng lưu lượng mạng. Nhờ công cụ này, chúng ta có thể xác
định được rằng trang web có khá nhiều liên kết đến các
website khác. Các object trao đổi giữa client và server chủ yếu là dạng text/html
và các hình ảnh jpeg đã được tối ưu để tăng tốc độ load trang web. Không phát
hiện được những chương trình thường trú trên máy client đang thực hiện truy vấn
đến các IP lạ. Đây chỉ là một website thông tin thông thường, không hỗ trợ đăng
nhập nên toàn bộ được chạy dưới giao thức http, khi sniffing có thể giám sát thông
tin trao đổi giữa client và server.
Trường hợp 2: Đối với website nghe nhạc: nhaccuatui.com click vào một bài hát bất
kỳ
9|Page
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
1.1.
Danh sách các IP ở xa mà client có thể truy cập tới:
1.2.
Nêu địa chỉ IP và danh sách các port mà client thực hiện kết nối đến.
10 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
•
•
IP hiện tại của máy tính: 192.168.65.128/24
Danh sách các TCP port được mở:
1.3 Liệt kê danh sách các giao thức được trao đổi qua gói tin:
Các giao thức này là:
11 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
•
•
•
•
SSL
HTTP
QUIC
DNS
1.4 Tìm hiểu xem máy tính có các chương trình thường trú liên kết với các địa chỉ IP lạ
không
Nhận xét: Chúng ta chỉ thực hiện truy cập website mp3.zing.vn, tuy nhiên để load được
toàn bộ website này, có sự tham chiếu đến một số website khác.
1.5. Kiểm tra nội dung các gói tin HTTP, liệt kê các object HTTP được trao đổi giữa
client và server:
Nội dung của các gói HTTP:
Bao gồm 2 gói cơ bản: gói HTTP Request và HTTP Reply.
12 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Các thông tin trong gói http request gồm có:
Phương thức dùng để gửi dữ liệu: GET
Phiên bản HTTP sử dụng: HTTP/1.1
Host đang thực hiện truy vấn: nhaccuatui.com
Phiên bản trình duyệt web mà client đang sử dụng: Chrome 54.0.2840.99
Những định dạng mã hóa mà client có thể chấp nhận ( Accept-Encoding): gzip ,
deflate
• Ngôn ngữ mặc định phía client ( Accept -Language): en-US, en, vi, vi-VN, fr, frFR
•
•
•
•
•
Phân tích nội dung của gói HTTP Reply trả lời từ server về client:
•
•
•
•
Phiên bản HTTP sử dụng: HTTP/1.0
Mã trạng thái của request: 200 OK
Date: thời gian phản hồi response
Set-cookies: Các thông tin liên quan đến việc set cookies trong trình duyệt
13 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
•
•
Content-type: text/html: Nội dung chứa trong response là các đoạn mã HTML
Content-Encoding: gzip: hỗ trợ việc mã hóa nội dung bằng việc nén để đảm bảo
băng thông và hiệu suất đường truyền.
Danh sách các HTTP Object trao đổi giữa client và server:
1.6. Nhận xét các thông tin thu thập được
Công cụ mã nguồn mở wireshark cung cấp cho chúng ta những thông tin hữu ích khi thực
hiện pháp chứng lưu lượng mạng. Nhờ công cụ này, chúng ta có thể xác định được rằng
trang web có khá nhiều liên kết đến các website khác, các object
trao đổi giữa client và server chủ yếu là các dạng shockwave flash hay các hình ảnh png
chất lượng cao nên tốc độ load trang web có thể hơi chậm hơn một chút. Chúng ta phát
hiện được mp3 sử dụng CDN cho việc tối ưu hóa performance cũng như chất lượng bài
hát cho người dùng. Website chủ yếu chạy trên giao thức http, phân tích các gói http
request/response có thể giám sát được những nội dung trao đổi của client và server. Tuy
nhiên, khi thực hiện đăng nhập thì username/password vẫn được mã hóa dưới giao thức
QUIC, một điểm khá đặc biệt vẫn đảm bảo được tính bảo mật mà không cần toàn bộ
website chạy dưới giao thức https.
Trường hợp 3: Đối với website TMDT lazada.vn vào xem một sản phẩm bất kỳ.
14 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
1.1.
Danh sách các IP ở xa mà client có thể truy cập tới:
15 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
1.2.
Nêu địa chỉ IP và danh sách các port mà client thực hiện kết nối đến.
• IP hiện tại của máy tính: 192.168.65.128/24
• Danh sách các TCP port được mở:
1.3.Liệt kê danh sách các giao thức được trao đổi qua gói tin
16 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
•
•
•
•
•
•
•
OSCP
DNS
ICMP
ARP
QUIC
SSL
HTTP
1.4. Tìm hiểu xem máy tính có các chương trình thường trú liên kết với các địa chỉ IP lạ
không
17 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Website có chứa khá nhiều liên kết đến các website khác, nhưng chủ yếu là quảng cáo
1.5. Kiểm tra nội dung các gói tin HTTP, liệt kê các object HTTP được trao đổi giữa
client và server:
Nội dung của các gói HTTP:
Bao gồm 2 gói cơ bản: gói HTTP Request và HTTP Reply.
Phân tích nội dung của gói HTTP Request từ client đến server:
Ý nghĩa thông tin các trường trong gói http request:
18 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
•
•
•
•
•
•
•
•
Phương thức để lấy thông tin: phương thức GET
Phiên bản HTTP sử dụng: Phiên bản 1.1
Host: thông tin máy chủ được gửi yêu cầu đến ( bao gồm đủ cả hai phần
domain name và host name) : www.lazada.vn
User-Agent: Phiên bản trình duyệt web mà client sử dụng:
Accept: cho phép chấp nhận những thông tin như text/html,
application/xml, application/xhtm + xml
Accept-Language: cho phép chấp nhận những ngôn ngữ như en-US, en
Accept-Encoding: cho phép chấp nhận dạng mã hóa thông tin dưới dạng
gzip
Connection: Kiểu kết nối duy trì kết nối ( Keep-Alive)
Phân tích nội dung của gói HTTP Reply:
Ý nghĩa các thông tin trong gói http reply:
•
•
•
•
•
•
•
Phiên bản HTTP mà server sử dụng: HTTP/1.1
Mã trạng thái status code của server phản hồi về: 200 OK thành công.
Server: thông tin về ứng dụng web server mà server đang sử dụng:
QRATOR
Content-Type: Nội dung trả về trong response chủ yếu là các đoạn
javascripts ( application/javascript)
Cache-control: không có cache
Date: thời gian hiện tại phản hồi lại response: Tue, 29/11/2016
Connection: Kiểu kết nối sử dụng là duy trì kết nối ( Keep-Alive)
Danh sách các HTTP Object trao đổi giữa client và server:
19 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
1.6. Nhận xét các thông tin thu thập được
Công cụ mã nguồn mở wireshark cung cấp cho chúng ta những thông tin hữu ích khi thực
hiện pháp chứng lưu lượng mạng. Nhờ công cụ này, chúng ta có thể xác định được rằng
trang web có khá nhiều liên kết đến các website khác, đồng thời
có khá nhiều liên kết quảng cáo khiến người dùng khó chịu. Các object trao đổi giữa
client và server chủ yếu là các hình ảnh chất lượng cao, các đoạn javascript
( text/javascript), các đoạn mã css ( text/css). Website chủ yếu chạy trên giao thức http,
phân tích các gói http request/response có thể giám sát được những nội dung trao đổi của
client và server. Tuy nhiên, khi thực hiện đăng nhập thì username/password vẫn được mã
hóa dưới giao thức QUIC, một điểm khá đặc biệt đảm bảo tính bảo mật thông tin mà
không cần toàn bộ website chạy dưới giao thức https
3.Sử dụng Wireshark để xác định truy cập của người dùng
Dùng Wireshark mở file http.pcapng
Yêu cầu:
3.1.Xác định IP của client, IP của các HTTP server.
Trả lời: Do các HTTP Server sử dụng các destionation port 80 nên chúng ta search theo
từ khóa tcp.port eq 80 trên trường Filter của phần mềm wireshark. Tuy nhiên, với cách
tìm kiếm này, chúng ta chỉ có được những gói tin có port 80 trong trường port, không biết
20 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
đó là source port hay destination port. Vì thế, để xác định rõ ip của client hay ip của http
server, chúng ta dựa thêm vào thông tin port 80 đó là source port hay destination port, có
nghĩa là nếu như ip mà có source port là 80 thì chắc chắn src ip là http client, còn dest
port là 80 thì dest ip là http server.
Để thống kê từng kết nối, chúng ta chọn Statistic | Conversations
Client IP : 192.168.201.110
Http Server IP : 91.228.167.93 ; 192.168.201.101 ; 192.168.20.100
3.2.Người dùng truy cập những server gì?
Trả lời: dựa vào destination port, chúng ta có thể thấy người dùng chủ yếu truy cập vào
http server ( port 80) và một server có port 8080 ( có thể đây là server tự dựng lên)
3.3.Với mỗi server, liệt kê các object HTTP mà người dùng đã truy cập
Để liệt kê danh sách các object mà người dùng truy cập, trên giao diện wireshark, chọn
File | Export Object | HTTP.
21 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Danh sách các object tương ứng với từng server:
Server IP
ts.eset.com
192.168.20.100
192.168.201.101
Size
2192 bytes
2850 bytes
55 bytes
….
515 bytes
1219 bytes
1873 bytes
131 kbyte
63 kb
1537 kb
Object
Chsquery.php
SimpleAuth.asmx
SimpleAuth.asmx
Client.asmx
Client.asmx
Client.asmx
huy
3.4.Khôi phục object HTTP có dung lượng lớn nhất.
Trả lời: Dựa vào danh sách http object, ta thấy object có tên là huy có dung lượng lớn
nhất 1537 kb)
Để khôi phục lại, chọn object tương ứng và chọn Save
22 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Tiếp tục, xem xét các gói tin có liên quan, chú ý đến phần User Agent:
Từ đó suy ra object này được truyền tải không phải bởi trình duyệt web mà bởi phần
mềm VLC => Sau khi khôi phục lại object này không có phần mở rộng.
23 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Ta thấy file này ở định dạng FLV.
Thử mở file vừa lưu bằng Phần mền VLC
24 | P a g e
GVHD: Ths Trần Thị Dung
Báo cáo thực hành môn Pháp Chứng Kỹ Thuật Số
Đây là một clip quảng cáo!
25 | P a g e
GVHD: Ths Trần Thị Dung
