Đề tài: PHÂN TÍCH GÓI TIN VỚI WIRESHARK

Hàng ngày, có hàng triệu vấn đề lỗi trong một mạng máy tính, từ việc đơn giản là nhiễm Spyware cho đến việc phức tạp như lỗi cấu hình router, và các vấn đề này không thể được xử lý tất cả lập tức. Tốt nhất là chúng ta có thể hi vọng thực hiện công việc đó bằng cách chuẩn bị đầy đủ các kiến thức và các công cụ tương ứng với các vấn đề. Tất cả các vấn đề trên mạng đều xuất phát ở mức gói, nơi mà không có gì được che dấu đối với...
Nội dung trích xuất từ tài liệu:
Đề tài: PHÂN TÍCH GÓI TIN VỚI WIRESHARK Luận vănĐề tài: PHÂN TÍCH GÓI TIN VỚI WIRESHARKITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 1 PHÂN TÍCH GÓI TIN VỚI WIRESHARKMỤC LỤCGiới thiệu 1.Thế nào là phân tích gói tin? 2.Các bước để nghe gói tinI. Các cách thức nghe gói tin trên mạng 1.Living Promiscuously (chế độ bắt tất cả các gói tin đi qua) 2.“Nghe” trong mạng có Hub 3.“Nghe” trong mạng Switched - Port Mirroring - Hubbing Out - ARP Cache Poisoning 4.Nghe trong mạng sử dụng Router Network MapsII. Giới thiệu WireShark Một số tính năng nâng cao của Wireshark 1.Name Resolution 2.Protocol Dissection 3.Following TCP Streams 4.Cửa sổ thống kê phân cấp giao thức 5.Xem các Endpoints 6.Cửa số đồ thị IO Design by MrQuý - Mobile: 0983127983 - Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.netITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 2Giới thiệu Hàng ngày, có hàng triệu vấn đề lỗi trong một mạng máy tính, từ việc đơn giản là nhiễm Spyware cho đến việc phức tạp như lỗi cấu hình router, và các vấn đề này không thể được xử lý tất cả lập tức. Tốt nhất là chúng ta có thể hi vọng thực hiện công việc đó bằng cách chuẩn bị đầy đủ các kiến thức và các công cụ tương ứng với các vấn đề. Tất cả các vấn đề trên mạng đều xuất phát ở mức gói, nơi mà không có gì được che dấu đối với chúng ta, nơi mà không có thứ gì bị ẩn đi bởi các cấu trúc menu, các hình ảnh bắt mắt hoặc là các nhân viên không đáng tin cậy. Không có gì bí mật ở đây, và chúng ta có thể điều khiển được mạng và giải quyết các vấn đề. Đây chính là thế giới của phân tích gói tin. 1. Thế nào là phân tích gói tin? Phân tích gói tin, thông thường được quy vào việc nghe các gói tin và phân tích giao thức, mô tả quá trình bắt và phiên dịch các dữ liệu sống như là các luồng đang lưu chuyển trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng. Phân tích gói tin thường được thực hiện bởi một packet sniffer, một công cụ được sử dụng để bắt dữ liệu thô trên đang lưu chuyển trên đường dây. Phân tích gói tin có thể giúp chung ta hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật. Có một vài kiểu chương trình nghe gói tin, bao gồm cả miễn phí và sản phẩm thương mại. Mỗi chương trình được thiết kế với các mục tiêu khác nhau. Một vài chương trình nghe gói tin phổ biến như là tcpdump (a command-line program), OmniPeek, và Wireshark (cả hai đều là chương trình có giao diện đồ hoạ). Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm đến một số vấn đề: các giao thức mà chương trình cần hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật và chương trình hỗ trợ cho hệ điều hành nào. 2. Các bước để nghe gói tin: Quá trình nghe gói tin được chia làm 3 bước: thu thập dữ liệu, chuyển đổi dữ liệu và phân tích. Thu thập dữ liệu: đây là bước đầu tiên, chương trình nghe gói tin chuyển giao diện mạng được lựa  chọn sang chế độ Promiscuous. Chế độ này cho phép card mạng có thể nghe tất cả các gói tin đang lưu chuyển trên phân mạng của nó. Chương trình nghe gói sử dụng chế độ này cùng với việc truy nhập ở mức thấp để bắt các dữ liệu nhị phân trên đường truyền. Chuyển đổi dữ liệu: trong bước này, các gói tin nhị phân trên được chuyển đổi thành các khuôn  dạng có thể đọc được. Phân tích: phân tích các gói tin đã được chuyển đổi.  Design by MrQuý - Mobile: 0983127983 - Email:Quynx.hnue.hut@gmail.com;Quynx@IT4r.netITB2 - K29 - CNTT - Đại học Bách Khoa Hà Nội 3 Có vài chương trình khác nhau về nghe gói tin, trong tiểu luận này, chúng tôi xin giới thiệu một chương trình điển hình với nhiều tính năng mạnh hỗ trợ việc bắt và phân tích gói tin. Đó là WireShark. Nội dung các phần chính: Phần I: Các cách thức nghe gói tin trên mạng  Phần II: Giới thiệu WireShark  Phần III: Các tính huống với WireShark  Phần IV: Xử lý các tình huống mạng với WireShark I. Các cách thức nghe gói tin trên mạng Để thực hiện việc bắt các gói tin trên mạng, ta phải chỉ ra những vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền của mạng. Quá trình này đơn giản là đặt “máy nghe” vào đúng vị trí vật lý nào trong một mạng máy tính. Việc nghe các gói tin không đơn giản chỉ là cắm một máy xách tay vào mạng và bắt gói. Thực tế, nhiều khi việc đặt máy nghe vào mạng khó hơn việc phân tích các gói tin. Thách thức của việc này là ở chỗ là có một số lượng lớn các thiết bị mạng phần cứng được sử dụng để kết nối các thiết bị với nhau. Lý do là vì 3 loại thiết bị chính (hub, switch, router) có nguyên lý hoạt động rất khác nhau. Và điều này đòi hỏi ta phải nắm rõ được cấu trúc vật lý của mạng mà ta đang phân tích. Chúng ta sẽ nghiên cứu một số mạng thực tế để chỉ ra cách tốt nhất để bắt các gói tin trong từng môi trường mạng sử dụng Hub, Switch và Router. 1. Living Promiscuously (chế độ bắt tất cả các gói tin đi qua) Trước khi nghe các gói tin trên mạng, ta cần một card mạng có hỗ trợ chế độ Promiscuous. Chế độ Promiscuous cho phép card mạng nhìn thấy thất cả các gói tin đi qua hệ thống dây mạng. Khi một card mạng không ở chế độ này, nó nhìn thấy một số lượng lớn các gói tin trên mạng nhưng không gửi cho nó, nó sẽ huỷ (drop) các gói tin này. Khi nó ở chế độ Promiscuous, nó bắt tất cả các gói tin ...