Su dung WireShark phan tich goi IP

0 Like 0

Phân tích gói tin i WIRESHARKGi i thi u qua m t chút v Wireshark

- WireShark có m t b y l ch s . Gerald Combs là ng i u tiên phát tri n ph n m m này. Phiên b n u tiên c g i là Ethereal c pháthành n m 1998. Tám n m sau k t khi phiên b n u tiên ra i, Combs t b công vi c hi n t i theo i m t c i ngh nghi p khác. Th tkhông may, i th i m ó, ông không th t c tho thu n v i công ty ã thuê ông v vi c b n quy n c a th ng hi u Ethereal. Thay vào

ó, Combs và ph n còn l i c a i phát tri n ã xây d ng m t th ng hi u m i cho s n ph m “Ethereal” vào n m 2006, d án tên là WireShark.- WireShark ã phát tri n m nh m và n nay, nhóm phát tri n cho n nay ã lên t i 500 c ng tác viên. S n ph m ã t n t i d i cái tênEthereal không c phát tri n thêm.- L i ích Wireshark em l i ã giúp cho nó tr nên ph bi n nh hi n nay. Nó có th áp ng nhu c u c a c các nhà phân tích chuyên nghi p vànghi p d và nó a ra nhi u tính n ng thu hút m i i t ng khác nhau.

Các giao th c c h tr i WireShark:

WireShark v t tr i v kh ng h tr các giao th c (kho ng 850 lo i), t nh ng lo i ph bi n nh TCP, IP n nh ng lo i c bi t nh làAppleTalk và Bit Torrent. Và c ng b i Wireshark c phát tri n trên mô hình mã ngu n m , nh ng giao th c m i s c thêm vào. Và có thnói r ng không có giao th c nào mà Wireshark không th h tr .

Thân thi n v i ng i dùng: Giao di n c a Wireshark là m t trong nh ng giao di n ph n m phân tích gói d dùng nh t. Wireshark làng d ng ho i h th ng menu rât rõ ràng và c b trí d hi u. Không nh t s n ph m s ng dòng l nh ph c t p nh

TCPdump, giao di n ho a Wireshark th t tuy t v i cho nh ng ai ã t ng nghiên c u th gi i c a phân tích giao th c.

Giá r : Wireshark là m t s n ph m mi n phí GPL. B n có th i v và s ng Wireshark cho b t k c ích nào, k c i m c íchth ng i.

H tr : ng ng c a Wireshark là m t trong nh ng c ng ng t và n ng ng nh t c a các d án mã ngu n m .

H u hành h tr Wireshark: Wireshark h tr u h t các lo i h u hành hi n nay.

1. M t s tình hu ng c n

Trong ph n này chúng ta s p n v n c th n. S ng Wireshark và phân tích gói tin gi i quy t m t v n c th a m ng.

Chúng tôi xin a ra m t s tình hu ng n hình.

A Lost TCP Connection (m t t n i TCP)

t trong các v n ph bi n nh t là m t k t n i m ng.Chúng ta s b qua nguyên nhân t i sao kêt n i b t, chúng ta s nhìn hi n t ng ó c gói tin.

Ví d :

t ví truy n file b t k t n i:

t u b ng vi c g i 4 gói TCP ACK t 10.3.71.7 n 10.3.30.1.

Hình 3.1-1: This capture begins simply enough with a few ACK packets.

i b t u t gói th 5, chúng ta nhìn th y xu t hi n vi c g i l i gói c a TCP.

Hình 3.1-2: These TCP retransmissions are a sign of a weak or dropped connection.Theo thi t k , TCP s i t gói tin n ích, n u không nh n c tr i sau m t kho ng th i gian nó s i l i gói tin ban u. N u v n ti p

c không nh n c ph n h i, máy ngu n s ng g p ôi th i gian i cho l n g i l i ti p theo.

Page 1 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q...

3/5/2011http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...

Click t

o buy NOW!

PDF-XChange

www.docu-track.com Clic

k to buy N

OW!PDF-XChange

www.docu-track.com

http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html...

http://www.docu-track.com/buy/


Nh ta th y hình trên, TCP s i l i 5 n, n u 5 l n liên ti p không nh n c ph n h i thì k t n i c coi là t thúc.

Hi n t ng này ta có th th y trong Wireshark nh sau:

Hình 3.1-4: Windows will retransmit up to five times by default.

Kh ng xác nh gói tin b i ôi khi s giúp chúng ta có th phát hi n ra m u tr t m ng b t là do âu.

Unreachable Destinations and ICMP Codes (không th ch m t i m cu i và các mã ICMP)

t trong các công c khi ki m tra k t n i m ng là công c ICMP ping. N u may m n thì phía m c tiêu tr i l i u ó có ngh a là b n ã pingthành công, còn n u không thì s nh n c thông báo không th t n i t i máy ích. S ng công c t gói tin trong vi c này s cho b nnhi u thông tin h n thay vì ch dung ICMP ping bình th ng. Chúng ta s nhìn rõ h n các l i c a ICMP.



Click t

o buy NOW!

PDF-XChange


k to buy N

OW!PDF-XChange

www.docu-track.com




Hình 3.1-5: A standard ping request from 10.2.10.2 to 10.4.88.88

Hình d i ây cho th y thông báo không th ping t i 10.4.88.88 t máy 10.2.99.99.

Nh y so v i ping thông th ng thì ta có th th y k t n i b t t 10.2.99.99. Ngoài ra còn có các mã l i c a ICMP, ví d : code 1 (Hostunreachable)

Hình 3.1-6: This ICMP type 3 packet is not what we expected.

Unreachable Port (không th t n i t i c ng)

t trong các nhi m v thông th ng khác là ki m tra k t n i t i m t c ng trên t máy ích. Vi c ki m tra này s cho th y c ng c n ki m tra cóm hay không, có s n sang nh n các yêu c u g i n hay không.

Ví d , ki m tra d ch v FTP có ch y trên m t server hay không, m c nh FTP s làm vi c qua c ng 21 ch thông th ng. Ta s i góitin ICMP n c ng 21 c a máy ích, n u máy ích tr i l i gói ICMP lo i o và mã l i 2 thì có ngh a là không th t i t i c ng ó.s



Click t

o buy NOW!

PDF-XChange


k to buy N

OW!PDF-XChange

www.docu-track.com




Fragmented Packets

Hình 3.1-7: This ping request requires three packets rather than one because the data being transmitted is

above average size.

ây có th th y kích th c gói tin ghi nh n c l n h n kích th c gói tin m c nh g i i khi ping là 32 bytes t i t máy tính ch y Windows.

Kích th c gói tin ây là 3,072 bytes.

Determining Whether a Packet Is Fragmented (xác nh v trí gói tin b phân n)

No Connectivity (không t n i)

n : chúng ta có 2 nhân viên m i H i và Thanh và c s p ng i c nh nhau và ng nhiên là c trang b 2 máy tính. Sauk hi c trangb và làm các thao tác a 2 máy tính vào m ng, có m t n y ra là máy tính c a H i ch y t t, k t n i m ng bình th ng, máy tính c aThanh không th truy nh p Internet.

c tiêu : tìm hi u t i sao máy tính c a Thanh không k t n i c Internet và s a l i ó.

Các thông tin chúng ta có

c 2 máy tính u m i

c 2 máy u c t IP và có th ping n các máy khác trong m ng

Nói tóm l i là 2 máy này c c u hình không có gì khác nhau.

Ti n hành

Cài t Wireshark tr c ti p lên c 2 máy.

Phân tích

Tr c h t trên máy c a H i ta nhìn th y m t phiên làm vi c bình th ng v i HTTP. u tiên s có m t ARP broadcast tìm a ch a gatewayng 2, ây là 192.168.0.10. Khi máy tính c a H i nh n c thông tin nó s t tay v i máy gateway và t ó có phiên làm vi c v i HTTP ra

bên ngoài.



Click t

o buy NOW!

PDF-XChange


k to buy N

OW!PDF-XChange

www.docu-track.com




Hình 3.1-8: H i’s computer completes a handshake, and then HTTP data transfer begins.

Tr ng h p máy tính a Thanh

Hình 3.1-9: Thanh’s computer appears to be sending an ARP request to a different IP address.

Hình trên cho th y yêu c u ARP không gi ng nh tr ng h p trên. a ch gateway c tr v là 192.168.0.11.

Nh y có th th y NetBIOS có v n .

NetBIOS là giao th c c nó s c thay th TCP/IP khi TCP/IP không ho t ng. Nh y là máy c a Thanh không th t n i Internet v iTCP/IP.

Chi ti t yêu c u ARP trên 2 máy :

Máy H i

Máy Thanh



Click t

o buy NOW!

PDF-XChange


k to buy N

OW!PDF-XChange

www.docu-track.com




t lu n : máy Thanh t sai a ch gateway nên không th t n i Internet, c n t l i là 192.168.0.10.

The Ghost in Internet Explorer (con ma trong trình duy t IE)

Hi n t ng : máy tính c a A có hi n t ng nh sau, khi s ng trình duy t IE, trình duy t t ng tr n r t nhi u trang qu ng cáo. Khi A thayi b ng tay thì v n b hi n t ng ó th m chí kh ng i máy c ng v n b nh th .

Thông tin chúng ta có

A không th o v máy tính m

Máy tính c a A dùng Widows XP, IE 6

Ti n hành

Vì hi n t ng này ch y ra trên máy c a A và trang home page c a A b thay i khi b t IE nên chúng ta s ti p hành t gói tin t máy c a A.Chúng ta không nh t thi t ph i cài Wireshark tr c ti p t máy c a A. Chúng ta có th dùng k thu t

“Hubbing Out” .

Phân tích

Hình 3.1-13: Since there is no user interaction happening on A’s computer at the time of this capture, all of these packets going across the wireshould set off some alarms.

Chi ti t gói tin th 5:

Hình 3.1-14: Looking more closely at packet 5, we see it is trying to download data from the Internet.

T máy tính g i yêu c u GET c a HTTP n a ch nh trên hình.



Click t

o buy NOW!

PDF-XChange


k to buy N

OW!PDF-XChange

www.docu-track.com




Hình 3.1-15: A DNS query to the weatherbug.com domain gives a clue to the culprit.

Gói tin tr i t u có v n : th t các ph n b thay i.

t s gói ti p theo có s p ACK.

Hình 3.1-16: A DNS query to the weatherbug.com domain gives a clue to the culprit.

Sau m t lo t các thay i trên thì có truy v n DNS n deskwx.weatherbug.com

ây là a ch A không h bi t và không có ý nh truy c p.

Nh y có th là có t process nào ó ã làm thay i a ch trang ch i khi IE c b t lên. Dùng m t công c ki m tra process n ví dnh Process Explore và th y r ng có ti n trình weatherbug.exe ang ch y. Sau khi t t ti n trình này i không còn hi n t ng trên n a.

Thông th ng các ti n trình nh weatherbug có th là virus, spyware.

Giao di n Process Explore



Click t

o buy NOW!

PDF-XChange


k to buy N

OW!PDF-XChange

www.docu-track.com




i k t n i FTP

Tình hu ng : có tài kho n FTP trên Windows Server 2003 ã update service packs v a cài t xong, ph n m m FTP Server hoàn toàn bìnhth ng, kho n úng nh ng không truy nh p c.

Thông tin chúng ta có

FTP làm vi c trên c ng 21

Ti n hành

Cài t Wireshark trên c 2 máy.

Phân tích

Client:



Click t

o buy NOW!

PDF-XChange


k to buy N

OW!PDF-XChange

www.docu-track.com




Hình 3.1-19: The client tries to establish connection with SYN packets but gets no response; then it sends a

few more.

Client g i các gói tin SYN t tay v i server nh ng không có ph n h i t server.

Server :

Hình 3.1-20: The client and server trace files are almost identical.

Có 3 lý do có th n n hi n t ng trên

FTP server ch a ch y, u này không úng vì FTP server c a chúng ta ã ch y nh ki m tra lúc u

Server quá t i ho c có l u l ng quá l n khi n không th áp ng yêu c u. u này c ng không chính xác vì server v a m i c cài t.

ng 21 b m phía clien ho c phía server ho c c 2 phía. Sau khi ki m tra và th y r ng phía Server c m c ng 21 c chi u Incomingvà Outgoing trong Local Security Policy



Click t

o buy NOW!

PDF-XChange


k to buy N

OW!PDF-XChange

www.docu-track.com




t lu n

ôi khi b t gói tin không cho ta bi t tr c ti p v n nh ng nó ã h n ch c r t nhi u tr ng h p và giúp ta a ra suy oán chính xác v n là gì.

vnsecurity.vn

Tin m i h n:

06/06/2009 09:47 - Conficker Worm Computer Now14/04/2009 02:56 - o t SSH v i ch ng th c khóa công khai / khóa riêng05/03/2009 09:12 - X lý các tính hu ng th c t i WireShark

Tin c n:

05/03/2009 02:36 - ISO 27001:2005 - H th ng qu n lý an ninh thông tin27/10/2008 10:51 - Cài t Back Track 3 (công c c CEH và nghiên c u v o m t)12/08/2008 11:03 - 5 b c nhanh g n ki m tra ch o m t

Trang k >>

Page 10 of 10Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch ...


Click t

o buy NOW!

PDF-XChange


k to buy N

OW!PDF-XChange

www.docu-track.com




Education

Su dung WireShark phan tich goi IP