Tải bản đầy đủ (.ppt) (37 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Bài thuyết trình đồ án nghiên cứu công cụ phân tích lưu lượng thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.47 MB, 37 trang )

LOGO
Đờ Án Quản Trị Mạng
Đề tài

NGHIÊN CỨU CƠNG CỤ PHÂN TÍCH LƯU LƯỢNG THÔNG TIN
NHẰM NÂNG CAO TÍNH BẢO MẬT CHO HỆ THỐNG MẠNG LAN

Nhóm 1:

1


LOGO

NỢI DUNG

1

Tởng quan

2
3

Cơng cụ phân tích lưu lượng thơng tin

Nghiên cứu công cụ Wireshark
2


1. Tởng quan
1.1. Giới thiệu



LOGO

• Ngày nay, hầu hết các cơ quan, tổ chức, doanh nghiệp
đều đã xây dựng cho mình một hệ thống mạng nội bộ
riêng. Điều này đã giúp cho việc quản lý, sản xuất,
kinh doanh trở nên dễ dàng hơn.
• Những mạng này ln là mục tiêu tấn công của tin
tặc. Do vậy, vấn đề bảo mật cho hệ thớng mạng LAN
trở nên rất quan trọng.
• Có nhiều cách để nâng cao tính bảo mật cho hệ thống
mạng LAN như đặt tường lửa, VLAN, mã hóa dữ
liệu,… trong đó có việc nghiên cứu công cụ phân tích
lưu lượng thông tin trong mạng.
3


1. Tởng quan
1.2. Định nghĩa

LOGO

• Phân tích lưu lượng thơng tin là việc bắt hay còn gọi
là “nghe” các gói tin đang lưu thông trên mạng và
phân tích nó phục vụ cho mục đích của người quản
trị.
• Phân tích gói tin thường được thực hiện bởi một
packet sniffer, một công cụ được sử dụng để bắt dữ
liệu thô đang truyền trên đường dây.


4


1. Tổng quan
1.3. Các bước phân tích gói tin

LOGO

1

2

3

Thu thập dữ liệu
Chương trình thu thập
gói tin chuyển card
mạng sang chế độ
Promiscuous, cho
phép card mạng có
thể “nghe” được tất
cả các gói tin đang
lưu chuyển trên phân
mạng của nó.

Chuyển đổi dữ
liệu
Các gói tin ở dạng
nhị phân được
chuyển đổi thành các

khuôn dạng có thể
đọc được.

Phân tích
Phân tích gói tin đã
chuyển đổi ở bước 2

5


2. Cơng cụ phân tích lưu lượng thơng tin LOGO

• Công cụ phân tích lưu lượng thông tin hay còn được
gọi là sniffer, là một chương trình thu thập các gói dữ
liệu trên một mạng nhất định nhằm phân tích nó để
phục vụ cho mục đích của người phân tích.

6


2. Công cụ phân tích lưu lượng thông tin LOGO
2.1. Mục đích sử dụng sniffer

Việc sử dụng sniffer thường có 2 mục đích chính: kiểm
tra bảo trì mạng và xâm nhập mạng.
- Phân tích và chẩn đoán các vấn đề của mạng.
-Theo dõi lưu lượng sử dụng mạng.
-Thu thập và lập báo cáo thống kê mạng.
- Lọc các nội dung đáng ngờ ra khỏi mạng.
- Phát hiện các cố gắng xâm nhập mạng.

- Do thám những người sử dụng mạng khác và thu thập
thông tin nhạy cảm như mật khẩu, thông tin cá nhân.
- Thu thập thông tin để tăng hiệu quả một cuộc xâm
nhập mạng.
7


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

• Để thực hiện việc nghe các gói tin trên mạng, ta phải
đặt “máy nghe” vào vị trí vật lý nào đó trong một
mạng máy tính.
• Có ba loại thiết bị chính (Hub, Switch và Router) có
nguyên lý hoạt động khác nhau đòi hỏi ta phải nắm rõ
được cấu trúc vật lý của mạng mà ta phân tích.
• Trước khi “nghe” các gói tin trên mạng ta cần một
card mạng có hỗ trợ chế độ Promiscuous. Chế độ
Promiscuous cho phép card mạng nhìn thấy tất cả các
gói tin đi qua hệ thống dây mạng.
8


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

3 cách “nghe” gói tin trong mạng
1

“Nghe” trong mạng sử dụng Hub


2

“Nghe” trong mạng sử dụng Switch

3

“Nghe” trong mạng sử dụng Router
4
9


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

“Nghe” trong mạng sử dụng Hub
•Cơ chế hoạt đợng của Hub cho phép gói tin được gửi
trong tất cả các cởng của Hub.
•Việc cần làm là cắm “máy nghe” và một cổng còn
trống trên Hub.
•Ta có thể nhìn thất tất cả các thơng tin truyền và nhận
từ tất cả các máy đang kết nối với Hub

10


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

“Nghe” trong mạng sử dụng Hub


11


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

“Nghe” trong mạng sử dụng Switch
• Mạng dùng Switch là kiểu mạng phở biến thường
thấy.
• Switch cung cấp mợt phương thức hiệu quả để vận
chủn dữ liệu thơng qua broadcast, unicast,
mutilcast.
• Switch cho phép kết nối song công, máy trạm có thể
truyền và nhận dữ liệu đồng thời từ Switch.

12


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

“Nghe” trong mạng sử dụng Switch
• Khi cắm mợt máy nghe vào mợt cởng của Switch, ta
chỉ có thể nhìn thấy các broadcast trafic và những gói
tin gửi - nhận của máy tính mà ta đang sử dụng.

13



2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

“Nghe” trong mạng sử dụng Switch
 Có 3 cách chính để bắt được các gói tin từ một thiết
bị mục tiêu trên mạng Switch: port mirroring, ARP
cache poisoning và hubbing out.

14


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

“Nghe” trong mạng sử dụng Switch
 Port mirroring
• Với cách này, ta phải truy cập được giao diện dòng
lệnh của Switch mà máy mục tiêu cắm vào, với điều
kiện Switch này phải hỗ trợ tính năng port mirroring
và có một port trống để ta có thể cắm “máy nghe”
vào.
• Khi ánh xạ cởng, ta đã copy toàn bộ lưu lượng đi qua
cổng này sang một cổng khác.

15


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng


“Nghe” trong mạng sử dụng Switch
 Port mirroring

16


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

“Nghe” trong mạng sử dụng Switch
 ARP cache poisoning
• ARP cache poisoning là quá trình gửi thông điệp ARP
với địa chỉ MAC giả mạo tới switch, router hoặc máy
tính khác trong cùng subnet nhằm mục đích “nghe”
lưu lượng của thiết bị mục tiêu.

17


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

“Nghe” trong mạng sử dụng Switch
 ARP cache poisoning

18


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng


“Nghe” trong mạng sử dụng Switch
 Hubbing Out
• Hubbing Out là kỹ thuật mà trong đó ta đặt thiết bị
mục tiêu và “máy nghe” vào cùng một phân mạng
bằng cách đặt chúng trực tiếp vào mợt hub.
• Khi gói tin được gửi đến máy mục tiêu thì cũng đồng
thời được gửi đến “máy nghe”, vì vậy ta có thể dễ
dàng bắt được nó.

19


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

“Nghe” trong mạng sử dụng Switch
 Hubbing Out

20


2. Công cụ phân tích lưu lượng thông tin LOGO
2.2. Cách sniffer “nghe” gói tin trên mạng

“Nghe” trong mạng sử dụng Router
• Tất cả các kỹ thuật nghe trong mạng switch đều có
thể được sử dụng trong mạng router: port mirroring,
ARP cache poisoning và hubbing out.


21


2. Công cụ phân tích lưu lượng thông tin LOGO
2.3. Mợt sớ sniffer phở biến

1. Wireshark
• Wireshark là mợt cơng cụ kiểm tra, theo dõi và phân
tích thông tin mạng được phát triển bởi Gerald
Combs (người Mỹ).
• WireShark vượt trợi về khả năng hỗ trợ các giao thức
(khoảng 850 loại).

22


2. Công cụ phân tích lưu lượng thông tin LOGO
2.3. Một số sniffer phổ biến

1. Wireshark

Giao diện của Wireshark
23


2. Công cụ phân tích lưu lượng thông tin LOGO
2.3. Mợt sớ sniffer phở biến

2. NetworkMiner
• NetworkMiner là mợt cơng cụ phân tích điều tra

mạng dành cho hệ điều hành Windows.
• NetworkMiner có thể được sử dụng như mợt cơng cụ
chặn bắt gói tin thụ động nhằm nhận biết các hệ điều
hành, các phiên làm việc, tên host, các port mở... mà
không cần đặt bất cứ luồng dữ liệu nào lên mạng.

24


2. Công cụ phân tích lưu lượng thông tin LOGO
2.3. Một số sniffer phổ biến

2. NetworkMiner

Giao diện của NetworkMiner
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×