0 Like 0
Phân tích gói tin i WIRESHARKGi i thi u qua m t chút v Wireshark
- WireShark có m t b y l ch s . Gerald Combs là ng i u tiên phát tri n ph n m m này. Phiên b n u tiên c g i là Ethereal c pháthành n m 1998. Tám n m sau k t khi phiên b n u tiên ra i, Combs t b công vi c hi n t i theo i m t c i ngh nghi p khác. Th tkhông may, i th i m ó, ông không th t c tho thu n v i công ty ã thuê ông v vi c b n quy n c a th ng hi u Ethereal. Thay vào
ó, Combs và ph n còn l i c a i phát tri n ã xây d ng m t th ng hi u m i cho s n ph m “Ethereal” vào n m 2006, d án tên là WireShark.- WireShark ã phát tri n m nh m và n nay, nhóm phát tri n cho n nay ã lên t i 500 c ng tác viên. S n ph m ã t n t i d i cái tênEthereal không c phát tri n thêm.- L i ích Wireshark em l i ã giúp cho nó tr nên ph bi n nh hi n nay. Nó có th áp ng nhu c u c a c các nhà phân tích chuyên nghi p vànghi p d và nó a ra nhi u tính n ng thu hút m i i t ng khác nhau.
Các giao th c c h tr i WireShark:
WireShark v t tr i v kh ng h tr các giao th c (kho ng 850 lo i), t nh ng lo i ph bi n nh TCP, IP n nh ng lo i c bi t nh làAppleTalk và Bit Torrent. Và c ng b i Wireshark c phát tri n trên mô hình mã ngu n m , nh ng giao th c m i s c thêm vào. Và có thnói r ng không có giao th c nào mà Wireshark không th h tr .
Thân thi n v i ng i dùng: Giao di n c a Wireshark là m t trong nh ng giao di n ph n m phân tích gói d dùng nh t. Wireshark làng d ng ho i h th ng menu rât rõ ràng và c b trí d hi u. Không nh t s n ph m s ng dòng l nh ph c t p nh
TCPdump, giao di n ho a Wireshark th t tuy t v i cho nh ng ai ã t ng nghiên c u th gi i c a phân tích giao th c.
Giá r : Wireshark là m t s n ph m mi n phí GPL. B n có th i v và s ng Wireshark cho b t k c ích nào, k c i m c íchth ng i.
H tr : ng ng c a Wireshark là m t trong nh ng c ng ng t và n ng ng nh t c a các d án mã ngu n m .
H u hành h tr Wireshark: Wireshark h tr u h t các lo i h u hành hi n nay.
1. M t s tình hu ng c n
Trong ph n này chúng ta s p n v n c th n. S ng Wireshark và phân tích gói tin gi i quy t m t v n c th a m ng.
Chúng tôi xin a ra m t s tình hu ng n hình.
A Lost TCP Connection (m t t n i TCP)
t trong các v n ph bi n nh t là m t k t n i m ng.Chúng ta s b qua nguyên nhân t i sao kêt n i b t, chúng ta s nhìn hi n t ng ó c gói tin.
Ví d :
t ví truy n file b t k t n i:
t u b ng vi c g i 4 gói TCP ACK t 10.3.71.7 n 10.3.30.1.
Hình 3.1-1: This capture begins simply enough with a few ACK packets.
i b t u t gói th 5, chúng ta nhìn th y xu t hi n vi c g i l i gói c a TCP.
Hình 3.1-2: These TCP retransmissions are a sign of a weak or dropped connection.Theo thi t k , TCP s i t gói tin n ích, n u không nh n c tr i sau m t kho ng th i gian nó s i l i gói tin ban u. N u v n ti p
c không nh n c ph n h i, máy ngu n s ng g p ôi th i gian i cho l n g i l i ti p theo.
Page 1 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q...
3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...
Click t
o buy NOW!
PDF-XChange
www.docu-track.com Clic
k to buy N
OW!PDF-XChange
www.docu-track.com
Nh ta th y hình trên, TCP s i l i 5 n, n u 5 l n liên ti p không nh n c ph n h i thì k t n i c coi là t thúc.
Hi n t ng này ta có th th y trong Wireshark nh sau:
Hình 3.1-4: Windows will retransmit up to five times by default.
Kh ng xác nh gói tin b i ôi khi s giúp chúng ta có th phát hi n ra m u tr t m ng b t là do âu.
Unreachable Destinations and ICMP Codes (không th ch m t i m cu i và các mã ICMP)
t trong các công c khi ki m tra k t n i m ng là công c ICMP ping. N u may m n thì phía m c tiêu tr i l i u ó có ngh a là b n ã pingthành công, còn n u không thì s nh n c thông báo không th t n i t i máy ích. S ng công c t gói tin trong vi c này s cho b nnhi u thông tin h n thay vì ch dung ICMP ping bình th ng. Chúng ta s nhìn rõ h n các l i c a ICMP.
Page 2 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q...
3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...
Click t
o buy NOW!
PDF-XChange
www.docu-track.com Clic
k to buy N
OW!PDF-XChange
www.docu-track.com
Hình 3.1-5: A standard ping request from 10.2.10.2 to 10.4.88.88
Hình d i ây cho th y thông báo không th ping t i 10.4.88.88 t máy 10.2.99.99.
Nh y so v i ping thông th ng thì ta có th th y k t n i b t t 10.2.99.99. Ngoài ra còn có các mã l i c a ICMP, ví d : code 1 (Hostunreachable)
Hình 3.1-6: This ICMP type 3 packet is not what we expected.
Unreachable Port (không th t n i t i c ng)
t trong các nhi m v thông th ng khác là ki m tra k t n i t i m t c ng trên t máy ích. Vi c ki m tra này s cho th y c ng c n ki m tra cóm hay không, có s n sang nh n các yêu c u g i n hay không.
Ví d , ki m tra d ch v FTP có ch y trên m t server hay không, m c nh FTP s làm vi c qua c ng 21 ch thông th ng. Ta s i góitin ICMP n c ng 21 c a máy ích, n u máy ích tr i l i gói ICMP lo i o và mã l i 2 thì có ngh a là không th t i t i c ng ó.s
Page 3 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q...
3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...
Click t
o buy NOW!
PDF-XChange
www.docu-track.com Clic
k to buy N
OW!PDF-XChange
www.docu-track.com
Fragmented Packets
Hình 3.1-7: This ping request requires three packets rather than one because the data being transmitted is
above average size.
ây có th th y kích th c gói tin ghi nh n c l n h n kích th c gói tin m c nh g i i khi ping là 32 bytes t i t máy tính ch y Windows.
Kích th c gói tin ây là 3,072 bytes.
Determining Whether a Packet Is Fragmented (xác nh v trí gói tin b phân n)
No Connectivity (không t n i)
n : chúng ta có 2 nhân viên m i H i và Thanh và c s p ng i c nh nhau và ng nhiên là c trang b 2 máy tính. Sauk hi c trangb và làm các thao tác a 2 máy tính vào m ng, có m t n y ra là máy tính c a H i ch y t t, k t n i m ng bình th ng, máy tính c aThanh không th truy nh p Internet.
c tiêu : tìm hi u t i sao máy tính c a Thanh không k t n i c Internet và s a l i ó.
Các thông tin chúng ta có
c 2 máy tính u m i
c 2 máy u c t IP và có th ping n các máy khác trong m ng
Nói tóm l i là 2 máy này c c u hình không có gì khác nhau.
Ti n hành
Cài t Wireshark tr c ti p lên c 2 máy.
Phân tích
Tr c h t trên máy c a H i ta nhìn th y m t phiên làm vi c bình th ng v i HTTP. u tiên s có m t ARP broadcast tìm a ch a gatewayng 2, ây là 192.168.0.10. Khi máy tính c a H i nh n c thông tin nó s t tay v i máy gateway và t ó có phiên làm vi c v i HTTP ra
bên ngoài.
Page 4 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q...
3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...
Click t
o buy NOW!
PDF-XChange
www.docu-track.com Clic
k to buy N
OW!PDF-XChange
www.docu-track.com
Hình 3.1-8: H i’s computer completes a handshake, and then HTTP data transfer begins.
Tr ng h p máy tính a Thanh
Hình 3.1-9: Thanh’s computer appears to be sending an ARP request to a different IP address.
Hình trên cho th y yêu c u ARP không gi ng nh tr ng h p trên. a ch gateway c tr v là 192.168.0.11.
Nh y có th th y NetBIOS có v n .
NetBIOS là giao th c c nó s c thay th TCP/IP khi TCP/IP không ho t ng. Nh y là máy c a Thanh không th t n i Internet v iTCP/IP.
Chi ti t yêu c u ARP trên 2 máy :
Máy H i
Máy Thanh
Page 5 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q...
3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...
Click t
o buy NOW!
PDF-XChange
www.docu-track.com Clic
k to buy N
OW!PDF-XChange
www.docu-track.com
t lu n : máy Thanh t sai a ch gateway nên không th t n i Internet, c n t l i là 192.168.0.10.
The Ghost in Internet Explorer (con ma trong trình duy t IE)
Hi n t ng : máy tính c a A có hi n t ng nh sau, khi s ng trình duy t IE, trình duy t t ng tr n r t nhi u trang qu ng cáo. Khi A thayi b ng tay thì v n b hi n t ng ó th m chí kh ng i máy c ng v n b nh th .
Thông tin chúng ta có
A không th o v máy tính m
Máy tính c a A dùng Widows XP, IE 6
Ti n hành
Vì hi n t ng này ch y ra trên máy c a A và trang home page c a A b thay i khi b t IE nên chúng ta s ti p hành t gói tin t máy c a A.Chúng ta không nh t thi t ph i cài Wireshark tr c ti p t máy c a A. Chúng ta có th dùng k thu t
“Hubbing Out” .
Phân tích
Hình 3.1-13: Since there is no user interaction happening on A’s computer at the time of this capture, all of these packets going across the wireshould set off some alarms.
Chi ti t gói tin th 5:
Hình 3.1-14: Looking more closely at packet 5, we see it is trying to download data from the Internet.
T máy tính g i yêu c u GET c a HTTP n a ch nh trên hình.
Page 6 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q...
3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...
Click t
o buy NOW!
PDF-XChange
www.docu-track.com Clic
k to buy N
OW!PDF-XChange
www.docu-track.com
Hình 3.1-15: A DNS query to the weatherbug.com domain gives a clue to the culprit.
Gói tin tr i t u có v n : th t các ph n b thay i.
t s gói ti p theo có s p ACK.
Hình 3.1-16: A DNS query to the weatherbug.com domain gives a clue to the culprit.
Sau m t lo t các thay i trên thì có truy v n DNS n deskwx.weatherbug.com
ây là a ch A không h bi t và không có ý nh truy c p.
Nh y có th là có t process nào ó ã làm thay i a ch trang ch i khi IE c b t lên. Dùng m t công c ki m tra process n ví dnh Process Explore và th y r ng có ti n trình weatherbug.exe ang ch y. Sau khi t t ti n trình này i không còn hi n t ng trên n a.
Thông th ng các ti n trình nh weatherbug có th là virus, spyware.
Giao di n Process Explore
Page 7 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q...
3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...
Click t
o buy NOW!
PDF-XChange
www.docu-track.com Clic
k to buy N
OW!PDF-XChange
www.docu-track.com
i k t n i FTP
Tình hu ng : có tài kho n FTP trên Windows Server 2003 ã update service packs v a cài t xong, ph n m m FTP Server hoàn toàn bìnhth ng, kho n úng nh ng không truy nh p c.
Thông tin chúng ta có
FTP làm vi c trên c ng 21
Ti n hành
Cài t Wireshark trên c 2 máy.
Phân tích
Client:
Page 8 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q...
3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...
Click t
o buy NOW!
PDF-XChange
www.docu-track.com Clic
k to buy N
OW!PDF-XChange
www.docu-track.com
Hình 3.1-19: The client tries to establish connection with SYN packets but gets no response; then it sends a
few more.
Client g i các gói tin SYN t tay v i server nh ng không có ph n h i t server.
Server :
Hình 3.1-20: The client and server trace files are almost identical.
Có 3 lý do có th n n hi n t ng trên
FTP server ch a ch y, u này không úng vì FTP server c a chúng ta ã ch y nh ki m tra lúc u
Server quá t i ho c có l u l ng quá l n khi n không th áp ng yêu c u. u này c ng không chính xác vì server v a m i c cài t.
ng 21 b m phía clien ho c phía server ho c c 2 phía. Sau khi ki m tra và th y r ng phía Server c m c ng 21 c chi u Incomingvà Outgoing trong Local Security Policy
Page 9 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q...
3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...
Click t
o buy NOW!
PDF-XChange
www.docu-track.com Clic
k to buy N
OW!PDF-XChange
www.docu-track.com
t lu n
ôi khi b t gói tin không cho ta bi t tr c ti p v n nh ng nó ã h n ch c r t nhi u tr ng h p và giúp ta a ra suy oán chính xác v n là gì.
vnsecurity.vn
Tin m i h n:
06/06/2009 09:47 - Conficker Worm Computer Now14/04/2009 02:56 - o t SSH v i ch ng th c khóa công khai / khóa riêng05/03/2009 09:12 - X lý các tính hu ng th c t i WireShark
Tin c n:
05/03/2009 02:36 - ISO 27001:2005 - H th ng qu n lý an ninh thông tin27/10/2008 10:51 - Cài t Back Track 3 (công c c CEH và nghiên c u v o m t)12/08/2008 11:03 - 5 b c nhanh g n ki m tra ch o m t
Trang k >>
Page 10 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch ...
3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...
Click t
o buy NOW!
PDF-XChange
www.docu-track.com Clic
k to buy N
OW!PDF-XChange
www.docu-track.com