Tải bản đầy đủ (.pdf) (45 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Năng Mềm
    3. >>
  3. Kỹ năng lãnh đạo

Bài tập lớn môn an toàn mạng (67)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.21 MB, 45 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN
---------------------------------

BÁO CÁO
Mơn: An Tồn Mạng
Đề tài: Tìm hiểu về Wireshark công cụ hỗ trợ bảo mật mạng

Họ tên

: Tô Thiên Long

Mã SV

: B18DCAT148

Nhóm mơn học: 02
Giảng viên

: TS.Đặng Minh Tuấn

Hà Nội,12/2021


MỤC LỤC
MỤC LỤC .............................................................................................................. 1
LỜI CẢM ƠN ........................................................................................................ 2
DANH MỤC CÁC TỪ VIẾT TẮT ...................................................................... 3
LỜI MỞ ĐẦU ........................................................................................................ 3
I.CÁC CÁCH THỨC NGHE GÓI TIN TRÊN MẠNG .................................... 4
1.1 Living Promiscuously (chế độ bắt tất cả các gói tin đi qua) ....................... 5


1.2 “Nghe” trong mạng có Hub............................................................................ 5
1.3 “Nghe” trong mạng Switched. ....................................................................... 6
1.4 Nghe trong mạng sử dụng Router. ............................................................... 7
II.GIỚI THIỆU VỀ WIRESHARK .................................................................... 8
2.1 Mục đích sử dụng .......................................................................................... 10
2.2 Một số tính năng nâng cao của Wireshark ................................................. 10
III.CÀI ĐẶT VÀ HƯỚNG DẪN SỬ DỤNG WIRESHARK .......................... 14
3.1.Cài đặt ............................................................................................................ 14
3.1.1 Cài đặt trên Window .................................................................................. 14
3.1.2 Cài đặt trên Kali linux ............................................................................... 26
3.1.2 Cài đặt trên Ubuntu ................................................................................... 26
3.2.Hướng dẫn sử dụng ....................................................................................... 28
IV.CÁC BÀI LAB DEMO .................................................................................. 31
4.1 Bắt và phân tích gói tin ................................................................................. 31
4.2 Session Hijacking sử dụng Wireshark ........................................................ 36
4.3 Sniffing attack ................................................................................................ 40
V. ĐÁNH GIÁ, KẾT LUẬN ............................................................................... 43
5.1 Đánh giá ......................................................................................................... 43
5.2 Kết luận .......................................................................................................... 43
VI. TÀI LIỆU THAM KHẢO ............................................................................ 44

1


LỜI CẢM ƠN
Lời đầu tiên em xin được gửi lời cảm ơn tới thầy TS. Đặng Minh Tuấn đã đồng
hành giảng dạy cho em trong suốt bộ mơn An Tồn Mạng khơng chỉ về chun
mơn mà thầy cịn chia sẻ những câu chuyện thú vị về trong ngành cùng những kinh
nghiệm đóng góp của thầy cho nền CNTT nước nhà.Dưới đây là bài báo cáo kết
thúc mơn học An Tồn Mạng với đề tài “Tìm hiểu về WireShark cơng cụ hỗ trợ

bảo mật mạng ”
Bài báo cáo có thể khơng tránh nổi những sai sót mong nhận được sự góp ý của
thầy để em có thể hồn thiện hơn trong những bài báo cáo sau.
Em xin chân thành cảm ơn!

2


DANH MỤC CÁC TỪ VIẾT TẮT
CPU

Central Processing Unit (Bộ xử lý trung tâm )

ARP

Address Resolution Protocol hay ARP(Giao thức phân giải địa chỉ)

MAC

Media Access Control( Điều khiển truy nhập môi trường)

IP

Internet Protocol(Giao thức Internet)

ACK

Acknowledgement( Xác nhận)

TCP


Transmission Control Protocol( giao thức điều khiển truyền nhận)

DNS

Domain Name System(Hệ thống tên miền )

ICMP

Internet Control Message Protocol(Giao thức Thơng báo Kiểm sốt Internet)

NIC

Network Interface Card(Card giao tiếp mạng )

DHCP

Dynamic Host Configuration Protocol(Giao thức cấu hình động máy chủ )

LỜI MỞ ĐẦU
Hằng ngày, có hàng triệu vấn đề lỗi trong một mạng máy tính, từ việc đơn giản là
nhiễm Spyware cho đến việc phức tạp như lỗi cấu hình router, và các vấn đề này
khơng thể được xử lý tất cả lập tức. Tốt nhất là chúng ta có thể hi vọng thực hiện
cơng việc đó bằng cách chuẩn bị đầy đủ các kiến thức và các công cụ tương ứng
với các vấn đề. Tất cả các vấn đề trên mạng đều xuất phát ở mức gói, nơi mà
khơng có gì được che dấu đối với chúng ta, nơi mà khơng có thứ gì bị ẩn đi bới các
cấu trúc menum các hình ảnh bắt mắt hoặc là các nhân viên không đáng tin cậy.
Không có gì bí mật ở đây ,và chúng ta có thể điều khiển được mạng và giải quyết
các vấn đề. Đây chính là thế giới của phân tích gói tin.
Phân tích gói tin, thơng thường quy vào việc nghe các gói tin và phân tích giao

thức, mơ tả q trình bắt và phiên dịch các dữ liệu sống như là các luồng đang lưu
chuyển trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mang. Phân
3


tíc gói tin thường được thực hiện bởi một packet sniffer, một công cụ được sử dụng
để bắt dữ liệu thơ trên đang lưu chuyển trên đường dây. Phân tích gói tin có thể
giúp chúng ta hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang
sử dụng băng thơng, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm,
chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng
khơng được bảo mật. Có một vài kiểu chương trình nghe gói tin, bao gồm cả miễn
phó và sản phẩm thương mại. Mỗi chương trình được thiết kế với các mục tiêu
khác nhau. Một vài chương trình nghe gói tin phổ biến như là Tcpdump (a
command-line program), OmniPeek, và Wireshark (cả hai đều là chương trình có
giao diện đồ họa). Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm
đến một số vấn đề: các giao thức mà chương trình hỗ trợ, tính dễ sử dụng, chi phí,
hỗ trợ kỹ thuật và chương trình hỗ trợ cho hệ điều hành nào, và Wireshark chính là
phần mềm đáp ứng được những mong muốn đó. Vì vậy em nghiên cứu và tìm hiểu
về phần mềm Wireshark, với mong muốn giới thiệu một chương trình điển hình
với nhiều tính năng mạnh hỗ trợ việc bắt và phân tích gói tin cho tất cả mọi người.

I.CÁC CÁCH THỨC NGHE GÓI TIN TRÊN MẠNG
Các bước để nghe gói tin:
Q trình nghe gói tin được chia làm 3 bước: thu thập dữ liệu, chuyển đổi dữ liệu
và phân tích.
Thu thập dữ liệu: đây là bước đầu tiên, chương trình nghe gói tin chuyển giao diện
mạng được lựa chọn sang chế độ Promiscuous. Chế độ này cho phép card mạng có
thể nghe tất cả các gói tin đang lưu chuyển trên phân mạng của nó. Chương trình
nghe gói sử dụng chế độ này cùng với việc truy nhập ở mức thấp để bắt các dữ liệu
nhị phân trên đường truyền.

Chuyển đổi dữ liệu: trong bước này, các gói tin nhị phân trên được chuyển đổi
thành các khn dạng có thể đọc được.
Phân tích: phân tích các gói tin đã được chuyển đổi.

4


Để thực hiện việc bắt các gói tin trên mạng, ta phải chỉ ra những vị trí tương ứng
để đặt “máy nghe” vào hệ thống đường truyền của mạng. Quá trình này đơn giản
là đặt “máy nghe” vào đúng vị trí vật lý nào trong một mạng máy tính. Việc nghe
các gói tin khơng đơn giản chỉ là cắm một máy xách tay vào mạng và bắt gói.
Thực tế, nhiều khi việc đặt máy nghe vào mạng khó hơn việc phân tích các gói tin.
Thách thức của việc này là ở chỗ là có một số lượng lớn các thiết bị mạng phần
cứng được sử dụng để kết nối các thiết bị với nhau. Lý do là vì 3 loại thiết bị chính
(hub, switch, router) có ngun lý hoạt động rất khác nhau. Và điều này đòi hỏi ta
phải nắm rõ được cấu trúc vật lý của mạng mà ta đang phân tích. Chúng ta sẽ
nghiên cứu một số mạng thực tế để chỉ ra cách tốt nhất để bắt các gói tin trong
từng mơi trường mạng sử dụng Hub, Switch và Router.

1.1 Living Promiscuously (chế độ bắt tất cả các gói tin đi qua)
Trước khi nghe các gói tin trên mạng, ta cần một card mạng có hỗ trợ chế độ
Promiscuous. Chế độ Promiscuous cho phép card mạng nhìn thấy thất cả các gói
tin đi qua hệ thống dây mạng. Khi một card mạng không ở chế độ này, nó nhìn
thấy một số lượng lớn các gói tin trên mạng nhưng khơng gửi cho nó, nó sẽ huỷ
(drop) các gói tin này. Khi nó ở chế độ Promiscuous, nó bắt tất cả các gói tin và
gửi tồn bộ tới CPU.

1.2“Nghe” trong mạng có Hub.
Việc nghe trong một mạng có hub là một điều kiện trong mơ cho việc phân tích
gói tin. Cơ chế hoạt động của Hub cho phép gói tin được gửi tất cả các cổng của

hub. Hơn nữa, để phân tích một máy tinh trên một hub, tất cả các công việc mà
bạn cần làm là cắm máy nghe vào một cổng còn trống trên hub. Bạn có thể nhìn
thấy tất cả các thơng tin truyền và nhận từ tất cả các máy đang kết nối với hub đó,
của sổ tầm nhìn của bạn khơng bị hạn chế khi mà máy nghe của bạn được kết nối
với một mạng hub.

5


1.3“Nghe” trong mạng Switched.
Một môi trường switched là kiểu mạng phổ biến mà bạn làm việc. Switch cung
cấp một phương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast,
multicast. Switch cho phép kết nối song cổng (full-duplex), có nghĩa là máy trạm
có thể truyền và nhận dữ liệu đồng thời từ switch. Khi bạn cắm một máy nghe vào
một cổng của switch, bạn chỉ có thể nhìn thấy các broadcast traffic và những gói
tin gửi và nhận của máy tính mà bạn đang sử dụng. Có 3 cách chính để bắt được
các gói tin từ một thiết bị mục tiêu trên mạng switch: port mirroring, ARP cache
poisoning và hubbing out.
Port Mirroring
Port mirroring hay còn gọi là port spanning có thể là cách đơn giản nhất để bắt các
lưu lượng từ thiết bị mục tiêu trên mạng switch. Với cách này, bạn phải truy cập
được giao diện dòng lệnh của switch mà máy mục tiêu cắm vào. Tất nhiên là
switch này phải hỗ trợ tính năng port mirroring và có một port trống để bạn có thể
cắm máy nghe vào. Khi ánh xạ cổng, bạn đã copy toàn bộ lưu lượng đi qua cổng
này sang một cổng khác.
Hubbing Out
Một cách đơn giản khác để bắt các lưu lượng của thiết bị mục tiêu trong một mạng
switch là hubbing out. Hubbing out là kỹ thuật mà trong đó bạn đặt thiết bị mục
tiêu và máy nghe vào cùng một phân mạng bằng cách đặt chúng trực tiếp vào một
hub.

Rất nhiều người nghĩ rằng hubbing out là lừa dối, nhưng nó thật sự là một giải
pháp hồn hảo trong các tình huống mà bạn khơng thể thực hiện port mirroring
nhưng vẫn có khả năng truy cập vật lý tới switch mà thiết bị mục tiêu cắm vào.
Trong hầu hết các tình huống, hubbing out sẽ giảm tính năng song cơng của thiết
bị mục tiêu (full to haft). Trong khi phương thức này không phải là cách sạch sẽ
nhất để nghe, và nó thường được bạn sử dụng như là một lựa chọn khi mà switch
không hỗ trợ port mirroring.
6


Khi hubbing out, chắc chắn rằng bạn sử dụng một cái hub chứ không phải là một
switch bị gắn nhầm nhãn. Khi mà bạn sử dụng hub, hãy kiểm tra để chắc chắn
rằng nó là một hub bằng cách cắm 2 máy tính vào nó và nhìn xem cái một máy có
thể nhìn thấy lưu lượng của cái cịn lại không.
ARP Cache Poisoning
Địa chỉ tầng 2 (địa chỉ MAC) được sử dụng chung với hệ thống hệ thống địa chỉ
tầng 2. Tất cả các thiết bị trong một mạng liên lạc với nhau thông qua địa chỉ IP.
Do switch làm việc tại tầng 2, vì vậy nó phải có khả năng phiên dịch địa chỉ tầng 2
(MAC) sang địa chỉ tầng 3 (IP) hoặc ngược lại để có thể chuyển tiếp gói tin tới
thiết bị tương ứng. Q trình phiên dịch được thực hiện thông qua một giao thức
tầng 3 là ARP (Address Resolution Protocol). Khi một máy tính cần gửi dữ liệu
cho một máy khác, nó gửi một yêu cầu ARP tới switch mà nó kết nối. Switch đó
sẽ gửi một gói ARP broadcast tới tất cả các máy đang kết nối với nó để hỏi. Khi
mà máy đích nhận được gói tin này, nó sẽ thơng báo cho switch bằng cách gửi địa
chỉ MAC của nó. Sau khi nhận được gói tin phản hồi, Switch định tuyến được kết
nối tới máy đích. Thơng tin nhận được được lưu trữ trong ARP cache của switch
và switch sẽ không cần phải gửi một thông điệp ARP broadcast mới mỗi lần nó
cần gửi dữ liệu tới máy nhận.
ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đường truyền
trong một mạng switch. Nó được sử dụng phổ biến bởi hacker để gửi các gói tin

địa chỉ sai tới máy nhận với mục tiêu để nghe trộm đường truyền hiện tại hoặc tấn
công từ chối dịch vụ, nhưng ARP cache poisoning chỉ có thể phục vụ như là một
cách hợp pháp để bắt các gói tin của máy mục tiêu trong mạng switch. ARP cache
poisoning là quá trình gửi một thông điệp ARP với địa chỉ MAC giả mạo tới
switch hoặc router nhằm mục đích nghe lưu lượng của thiết bị mục tiêu. Có thể sử
dụng chương trinh Cain & Abel để thực hiện việc này ().

1.4 Nghe trong mạng sử dụng Router.
Tất cả các kỹ thuật nghe trong mạng switch đều có thể được sử dụng trong mạng
router. Chỉ có một việc cần quan tâm khi mà thực hiện với mạng router là sự quan
trọng của việc đặt máy nghe khi mà thực hiện xử lý một vấn đề liên quan đến
7


nhiều phân mạng. Broadcast domain của một thiết bị được mở rộng cho đến khi nó
gặp router. Khi đó, lưu lượng sẽ được chuyển giao sang dòng dữ liệu router tiếp
theo và bạn sẽ mất liên lạc với các gói tin đó cho đến khi bạn nhận được một ACK
của các máy nhận trả về. Trong tình huống này, dữ liệu sẽ lưu chuyển qua nhiều
router, vì vậy rất quan trọng để thực hiện phân tích tất cả lưu lượng trên các giao
diện của router.
(Ví dụ, liên quan đến vấn đề liên kết, bạn có thể gặp phải một mạng với một số
phân mạng được kết nối với nhau thông qua các router. Trong mạng đó, một phân
mạng liên kết với một phân mạng với mục đích lưu trữ và tham chiếu dữ liệu. Vấn
đề mà chúng ta đang cố gắng giải quyết là phân mạng D không thể kết nối với các
thiết bị trong phân mạng A.Khi mà bạn nghe lưu lượng của một thiết bị trong phân
mạng D. Khi đó, bạn có thể nhìn tháy rõ ràng lưu lượng truyền tới phân mạng A,
nhưng khơng có biên nhận (ACK) nào được gửi lại. Khi bạnnghe luồng lưu lượng
ở phân mạng cấp trên để tìm ra nguyên nhân vấn đề, bạn tìm ra rằng lưu lượng bị
huỷ bởi router ở phân mạng B. Cuối cùng dẫn đến việc bạn kiểm tra cấu hình của
router, nếu đúng, hãy giải quyết vấn đề đó của bạn. Đó là một ví dụ điển hình lý

do vì sao cần nghe lưu lượng của nhiều thiết bị trên nhiều phân mạng với mục tiêu
xác định chính xác vấn đề.)
Network Maps
Để quyết định việc đặt máy nghe ở đâu, cách tốt nhất là bạn phải biết được một
cách rõ ràng mạng mà bạn định phân tích. Nhiều khi việc xác định vấn đề đã
chiếm nửa khối lượng công việc trong việc xử lý sự cố.

II.GIỚI THIỆU VỀ WIRESHARK
WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần
mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám
năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để
theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ơng
khơng thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của
8


thương hiệu Ethereal. Thay vào đó, Combs và phần cịn lại của đội phát triển đã
xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên
là WireShark.
WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên
tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát
triển thêm.
Wireshark là công cụ dùng để phân tích các giao thức của mạng. Wireshark
cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và
phân tích offline chúng, phân tích VoIP.Wireshark có thể được sử dụng như một
thiết bị giám sát những gì được truyền đường dây mạng - tức là hoạt động giống
như một chiếc Vôn kế trên đường dây điện.
Trước đây, những công cụ như vậy hoặc đắt tiền hoặc độc quyền nhưng Wireshark
lại là phần mềm mã nguồn mở phân tích gói tin tốt nhất hiện nay. Phiên bản mới
nhất của Wireshark có thể tải từ />Dữ liệu có thể bắt được thơng qua giao diện đồ hoạ hoặc qua TTY-mode của tiện

ích TShark. Wireshark có thể đọc/ghi nhiều dạng file như tcpdump (libpcap),
Catapult DCT2000, Cisco Secure IDS iplog,

Microsoft

Network

Monitor,

Network General Sniffer®, … Dữ liệu nén dạng gzip bắt được có thể giải nén
ngay lập tức, ngồi ra Wireshark cũng cung cấp nhiều phương thức giải nén cho
nhiều phương thức khác như IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS,
WEP, … Wireshark có hỗ trợ nhiều quy tắc tơ màu cho các phương thức khác
nhau, giúp bạn phân tích chúng trực quan hơn.Wireshark làm việc với nhiều loại
kết nối mạng, bao gồm Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth,
USB, Token Ring, Frame Relay, FDDI, …
Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có
thể đáp ứng nhu cầu của cả các nhà phân tích chun nghiệp và nghiệp dư và nó
đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau.
9


Các giao thức được hỗ trợ bởi WireShark:
WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những
loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit
Torrent. Và cũng bởi Wireshark được phát triển trên mơ hình mã nguồn mở,
những giao thức mới sẽ được thêm vào. Và có thể nói rằng khơng có giao thức nào
mà Wireshark khơng thể hỗ trợ.
Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao
diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ

thống menu rất rõ ràng và được bố trí dễ hiểu. Khơng như một số sản phẩm sử
dụng dịng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thật
tuyệt vời cho những ai đã từng nghiên cứu thế giới của phân tích giao thức.
Giá rẻ: Wireshark là một sản phẩm miễn phí GPL. Bạn có thể tải về và sử dụng
Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại.
Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng
động nhất của các dự án mã nguồn mở.
Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành
hiện nay.
2.1 Mục đích sử dụng
• Người quản trị mạng khắc phục lỗi mạng
• Kĩ sư an ninh mạng xem xét các vấn đề bảo mật
• Người phát triển phân tích và gỡ rối hoạt động của các giao thức.
• Người dùng nghiên cứu bản chất giao thức mạng
• ……..
2.2 Một số tính năng nâng cao của Wireshark
a- Name Resolutio
10


Dữ liệu truyền trong mạng thông qua một vài hệ thống địa chỉ, các địa chỉ này
thường dài và khó nhớ (Ví dụ: MAC). Phân giải điạ chỉ là quá trình mà một giao
thức sử dụng để chuyển đổi một địa chỉ loại này thành một địa chỉ loại khác đơn
giản hơn. Chúng ta có thể tiết kiệm thời gian bằng cách sử dụng một vài công cụ
phân giải địa chỉ để file dữ liệu ta bắt được dễ đọc hơn. Ví dụ như là chúng ta có
thể sử dụng phân giải tên DNS để giúp định danh tên của một máy tính mà ta đang
có gắng xác định như là nguồn của các gói cụ thể.
Các kiểu cơng cụ phân giải tên trong Wireshark: có 3 loại
➢ MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP tầng 3.
Nếu việc phân giải này lỗi, Wireshark sẽchuyển 3 byte đầu tiên của địa chỉ

MAC sang tên hãng sản xuất đã được IEEE đặc tả, ví dụ: Netgear_01:02:03.
➢ Network Name Resolution: chuyển đổi địa chỉ tầng 3 sang một tên DNS dễ đọc
như là MarketingPC1.
➢ Transport Name Resolution: chuyển đổi một cổng sang một tên dịch vụ tương
ứng với nó, ví dụ: cổng 80 là http
b- Protocol Dissection
Một protocol dissector cho phép Wireshark phân chia một giao thức thành một số
thành phần để phân tích. ICMP protocol dissector cho phép Wireshark phân chia
dữ liệu bắt được và định dạng chúng như là một gói tin ICMP. Bạn có thể nghĩ
rằng một dissector như là một bộ phiên dịch giữa dịng dữ liệu trên đường truyền
và chương trình Wireshark. Với mục đích để hỗ trợ một giao thức nào đó, một
dessector cho giao thức đó phải được tích hợp trong Wireshark. Wireshark sử
dụng đồng thời vài dissector để phiên dịch mỗi gói tin. Nó quyết định dissector
nào được sử dụng bằng cách sử dụng phân tích lơgic đã được cài đặt sẵn và thực
hiện việc dự đoán. Thật không may là Wireshark không phải lúc nào cũng đúng
trong việc lựa chọn dissector phù hợp cho một gói tin. Tuy nhiên, ta có thể thay
đổi việc lựa chọn này trong từng trường hợp cụ thể.
c- Following TCP Streams
11


Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng
TCP như là ở tầng ứng dụng. Tính năng này cho phép bạn phối hợp tất cả các
thơng tin liên quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm
chứa giống như là người dùng cuối nhìn thấy trong ứng dụng. Còn hơn cả việc
xem các dữ liệu đang được truyền giữa máy trạm và máy chủ trong một mớ hỗn
độn, tính năng này sắp xếp dữ liệu để có thể xem một cách đơn giản. Bạn có thể sử
dụng công cụ này để bắt và giải mã một phiên instant messages được gửi bởi một
người làm thuê (người này đang bị nghi ngờ phát tán các thông tin tài chính của
cơng ty).

d- Cửa sổ thống kê phân cấp giao thức
Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân bố các giao
thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và
DHCP là bao nhiêu phần trăm,... Thay vì phải đếm từng gói tin để thu được kết
quả, chúng ta có thể sử dụng cửa sổ thống kê phân cấp giao thức của Wireshark.
Đây là cách tuyệt với để kiểm thử mạng của bạn. Ví dụ, nếu bạn biết rằng 10% lưu
lượng mạng của bạn được sử dụng bởi các lưu lượng ARP, và một ngày nào đó,
bạn thấy lưu lượng ARP lên tới 50%, bạn hồn tồn có thể hiểu rằng đang có một
cái gì đó khơng ổn xảy ra.
e- Xem các Endpoints
Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể. Ví dụ, có hai
endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và nhận dữ
liệu, 192.168.1.5 và 192.168.0.8. Một ví dụ ở tầng 2 có thể là kết nối giữa hai NIC
vật lý và địa chỉ MAC của chúng. Các NIC gửi và nhận dữ liệu, các MAC đó tạo
nên các endpoint trong kết nối.

12


Khi thực hiện phân tích gói tin, bạn có thể nhận ra rằng bạn đã khoanh vùng vấn
đề chỉ còn là một enpoint cụ thể trong mạng. Hộp thoại Wireshark endpoints chỉ ra
một vài thống kê hữu ích cho mỗi endpoint, bao gồm các địa chỉ của từng máy
cũng như là số lượng các gói tin và dung lượng đã được truyền nhận của từng
máy.

f- Cửa số đồ thị IO
Cách tốt nhất để hình dung hướng giải quyết là xem chúng dưới dạng hình ảnh.
Cửa sổ đồ thị IO của Wireshark cho phép bạn vẽ đồ thị lưu lượng dữ liệu trên
mạng. Bạn có thể sử dụng tính năng này để tìm kiếm các đột biến hoặc những thời
điểm khơng có dữ liệu truyền của các giao thức cụ thể mà bạn đang quan tâm. Bạn

có thể vẽ đồng thời 5 đường trên cùng một đồ thị cho từng giao thức mà bạn quan
13


tâm bằng các màu khác nhau. Điều này giúp bạn dễ dàng hơn để thấy sự khác
nhau của các đồ thị.

III.CÀI ĐẶT VÀ HƯỚNG DẪN SỬ DỤNG WIRESHARK
3.1.Cài đặt
3.1.1 Cài đặt trên Window
Wireshark là một ứng dụng mã nguồn mở và có thể download miễn phí tại trang
Sau khi download Wireshark về, tập tin lưu
trênmáy có dạngWireshark-win64-2.0.0_2.exe. Để khởi động tiến trình cài đặt, bạn
thực thi file trên.
Các bước cài đặt như sau:
Nhấn kép vào file cài đặt

14


Hình 1: Bắt đầu cài đặt
Ấn Next để tiếp tục

Hình 2: Thông tin bản quyền
Nhấn “I Agree” để tiếp tục

15


Hình 3: Trang Components của Wireshark

Chọn tất cả rồi ấn “next” để tiếp tục

Hình 4: Cửa sổ Additional Tasks
Ấn “next” để tiếp tục

16


Hình 5: Chọn đường dẫn đến thư mục bạn định cài Wireshark
Mặc định, wireshark sẽ được cài đặt trong thư mục C:\Program Files\Wireshark. Bạn
có thể chọn đường dẫn khác bằng cách nhấn vào “Browse…”.
Sau cùng, Nhấn “Next” để tiếp tục.

Hình 6: Bạn có cài winpcap khơng?

Để Wireshark có thể hoạt động được, bạn phải cài đặt driver Winpcap trênmáy
tính của bạn. Trình cài đặt wireshark sẽ kiểm tra xem bạn đã cài đặt winpcapchưa.
17


Nếu chưa cài đặt winpcap hoặc bạn đã cài rồi nhưng phiên bản cũ hơn, chương
trình sẽ hỏi bạn có cài winpcap khơng? Nếu chưa cài đặt Winpcap thì click vào
“Install WinPcap4.1.3” thì trong quá trình cài đặt máy sẽ cài đặt cùng lúc
WinPcap.
Ấn “next” để tiếp tục

Hình 7: Bạn có cài đặt USBPcap?
Click vào “Install USBPcap 1.1.0.0-q794bf26”. Khi đó trong quá trình cài đặt máy
sẽ giúp ta cài đặt “USBPcap 1.1.0.0-q794bf26”. Sau đó nhấn “Install”.


Hình 8: Đang trong q trình cài đặt
Nếu máy chưa cài WinPcap thì trong quá trình cài đặt máy sẽ cài WinPcap
Nhấn “next” để cài WinPcap

18


Hình 9: Cửa số cài đặt Winpcap
Nhấn “Next”

Hình 10: Cửa số cài đặt Winpcap
Nhấn “Next”

19


Hình 11: Thơng tin bản quyền của WinPcap
Nhấn “I Agree” để tiếp tục khi bạn đồng ý với các điều khoản của WinPcap

Hình 12: Bạn đã cài xong WinPcap
Nhấn “Finish” để hoàn thành cài đặt Winpcap chúng ta tiếp tục cài đặt USBPcap.

20


Hình 13: Thơng tin bản quyền của USBPcap
Nhấn “Next” để tiếp tục

Hình 14: Thơng tin bản quyền của USBPcap
Click vào “I accept the tems of the License Agreement” rồi nhấn “Next” để tiếp tục


21


Hình 15: Cửa sổ cài đặt USBPcap
Nhấn “Next” để tiếp tục sau khi đang chọn các thành phần mà bạn muốn cài đặt.

Hình 16: Chọn đường dẫn đến thư mục bạn định cài đặt USBPcap
Chọn đường dẫn ở Browse rồi nhấn “Install”

22


Hình 17: Trong quá trình cài đặt USBPcap
Nhấn “Close” để kết thúc quá trình cài đặt USBPcap và tiếp tục quá trình cài đặt
Wireshark. Sau khi quá trình cài đặt Wireshark chạy xongnhấn “next”.

Hình 18: Cài đặt Wireshark

23


Hình 19: Hồn thành việc cài đặt Wireshark trên Windows
Ở đây bạn có thể chọn để tiến hành chạy Wireshark ngay và hiển thị những tin tức.
Nhấn “Finish”và quá trình cài đặt kết thúc.
3.1.2 Cài đặt trên kali linux
Cập nhật apt trước khi cài đặt
$ sudo apt

24



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×