F -X C h a n ge                                Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch n...
F -X C h a n ge                                Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch n...
F -X C h a n ge                                Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch n...
F -X C h a n ge                                Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch n...
F -X C h a n ge                                Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch n...
F -X C h a n ge                                Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch n...
F -X C h a n ge                                Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch n...
F -X C h a n ge                                Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch n...
F -X C h a n ge                                Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch n...
F -X C h a n ge                                Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch n...
Upcoming SlideShare
Loading in …5
×

Su dung WireShark phan tich goi IP

3,039 views
2,903 views

Published on

Published in: Education, Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,039
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
121
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Su dung WireShark phan tich goi IP

  1. 1. F -X C h a n ge Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q... Page 1 of 10 F -X C h a n ge PD PD ! ! W W O O N N y y bu bu to to k k lic lic C Cw w m m w ww w o o .d o .c .d o .c c u -tr a c k c u -tr a c k Phân tích gói tin i WIRESHARK 0 Like 0 Gi i thi u qua m t chút v Wireshark - WireShark có m t b y l ch s . Gerald Combs là ng i u tiên phát tri n ph n m m này. Phiên b n u tiên c g i là Ethereal c phát hành n m 1998. Tám n m sau k t khi phiên b n u tiên ra i, Combs t b công vi c hi n t i theo im tc i ngh nghi p khác. Th t không may, i th i m ó, ông không th t c tho thu n v i công ty ã thuê ông v vi c b n quy n c a th ng hi u Ethereal. Thay vào ó, Combs và ph n còn l i c a i phát tri n ã xây d ng m t th ng hi u m i cho s n ph m “Ethereal” vào n m 2006, d án tên là WireShark. - WireShark ã phát tri n m nh m và n nay, nhóm phát tri n cho n nay ã lên t i 500 c ng tác viên. S n ph m ã t n t i d i cái tên Ethereal không c phát tri n thêm. - L i ích Wireshark em l i ã giúp cho nó tr nên ph bi n nh hi n nay. Nó có th áp ng nhu c u c a c các nhà phân tích chuyên nghi p và nghi p d và nó a ra nhi u tính n ng thu hút m i i t ng khác nhau. Các giao th c c h tr i WireShark: WireShark v t tr i v kh ng h tr các giao th c (kho ng 850 lo i), t nh ng lo i ph bi n nh TCP, IP n nh ng lo i c bi t nh là AppleTalk và Bit Torrent. Và c ng b i Wireshark c phát tri n trên mô hình mã ngu n m , nh ng giao th c m i s c thêm vào. Và có th nói r ng không có giao th c nào mà Wireshark không th h tr . Thân thi n v i ng i dùng: Giao di n c a Wireshark là m t trong nh ng giao di n ph n m phân tích gói d dùng nh t. Wireshark là ng d ng ho i h th ng menu rât rõ ràng và c b trí d hi u. Không nh ts n ph m s ng dòng l nh ph c t p nh TCPdump, giao di n ho a Wireshark th t tuy t v i cho nh ng ai ã t ng nghiên c u th gi i c a phân tích giao th c. Giá r : Wireshark là m t s n ph m mi n phí GPL. B n có th i v và s ng Wireshark cho b t k c ích nào, k c i m c ích th ng i. H tr : ng ng c a Wireshark là m t trong nh ng c ng ng t và n ng ng nh t c a các d án mã ngu n m . H u hành h tr Wireshark: Wireshark h tr u h t các lo i h u hành hi n nay. 1. M t s tình hu ng c n Trong ph n này chúng ta s p nv n c th n. S ng Wireshark và phân tích gói tin gi i quy t m t v n c th a m ng. Chúng tôi xin a ra m t s tình hu ng n hình. A Lost TCP Connection (m t t n i TCP) t trong các v n ph bi n nh t là m t k t n i m ng.Chúng ta s b qua nguyên nhân t i sao kêt n i b t, chúng ta s nhìn hi n t ng ó c gói tin. Ví d : t ví truy n file b t k t n i: t u b ng vi c g i 4 gói TCP ACK t 10.3.71.7 n 10.3.30.1. Hình 3.1-1: This capture begins simply enough with a few ACK packets. ib t u t gói th 5, chúng ta nhìn th y xu t hi n vi c g i l i gói c a TCP. Hình 3.1-2: These TCP retransmissions are a sign of a weak or dropped connection. Theo thi t k , TCP s i t gói tin n ích, n u không nh n c tr i sau m t kho ng th i gian nó s i l i gói tin ban u. N u v n ti p c không nh n c ph n h i, máy ngu n s ng g p ôi th i gian i cho l n g i l i ti p theo. http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html... 3/5/2011
  2. 2. F -X C h a n ge Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q... Page 2 of 10 F -X C h a n ge PD PD ! ! W W O O N N y y bu bu to to k k lic lic C Cw w m m w ww w o o .d o .c .d o .c c u -tr a c k c u -tr a c k Nh ta th y hình trên, TCP s il i5 n, n u 5 l n liên ti p không nh n c ph n h i thì k t n i c coi là t thúc. Hi n t ng này ta có th th y trong Wireshark nh sau: Hình 3.1-4: Windows will retransmit up to five times by default. Kh ng xác nh gói tin b i ôi khi s giúp chúng ta có th phát hi n ra m u tr t m ng b t là do âu. Unreachable Destinations and ICMP Codes (không th ch m t i m cu i và các mã ICMP) t trong các công c khi ki m tra k t n i m ng là công c ICMP ping. N u may m n thì phía m c tiêu tr il i u ó có ngh a là b n ã ping thành công, còn n u không thì s nh n c thông báo không th t n i t i máy ích. S ng công c t gói tin trong vi c này s cho b n nhi u thông tin h n thay vì ch dung ICMP ping bình th ng. Chúng ta s nhìn rõ h n các l i c a ICMP. http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html... 3/5/2011
  3. 3. F -X C h a n ge Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q... Page 3 of 10 F -X C h a n ge PD PD ! ! W W O O N N y y bu bu to to k k lic lic C Cw w m m w ww w o o .d o .c .d o .c c u -tr a c k c u -tr a c k Hình 3.1-5: A standard ping request from 10.2.10.2 to 10.4.88.88 Hình d i ây cho th y thông báo không th ping t i 10.4.88.88 t máy 10.2.99.99. Nh y so v i ping thông th ng thì ta có th th y k t n i b tt 10.2.99.99. Ngoài ra còn có các mã l i c a ICMP, ví d : code 1 (Host unreachable) Hình 3.1-6: This ICMP type 3 packet is not what we expected. Unreachable Port (không th t n i t i c ng) t trong các nhi m v thông th ng khác là ki m tra k t n i t i m t c ng trên t máy ích. Vi c ki m tra này s cho th y c ng c n ki m tra có m hay không, có s n sang nh n các yêu c u g i n hay không. Ví d , ki m tra d ch v FTP có ch y trên m t server hay không, m c nh FTP s làm vi c qua c ng 21 ch thông th ng. Ta s i gói tin ICMP n c ng 21 c a máy ích, n u máy ích tr i l i gói ICMP lo i o và mã l i 2 thì có ngh a là không th t i t i c ng ó.s http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html... 3/5/2011
  4. 4. F -X C h a n ge Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q... Page 4 of 10 F -X C h a n ge PD PD ! ! W W O O N N y y bu bu to to k k lic lic C Cw w m m w ww w o Fragmented Packets o .d o .c .d o .c c u -tr a c k c u -tr a c k Hình 3.1-7: This ping request requires three packets rather than one because the data being transmitted is above average size. ây có th th y kích th c gói tin ghi nh n c l n h n kích th c gói tin m c nh g i i khi ping là 32 bytes t i t máy tính ch y Windows. Kích th c gói tin ây là 3,072 bytes. Determining Whether a Packet Is Fragmented (xác nh v trí gói tin b phân n) No Connectivity (không t n i) n : chúng ta có 2 nhân viên m i H i và Thanh và c s p ng i c nh nhau và ng nhiên là c trang b 2 máy tính. Sauk hi c trang b và làm các thao tác a 2 máy tính vào m ng, có m t n y ra là máy tính c a H i ch y t t, k t n i m ng bình th ng, máy tính c a Thanh không th truy nh p Internet. c tiêu : tìm hi u t i sao máy tính c a Thanh không k t n i c Internet và s a l i ó. Các thông tin chúng ta có c 2 máy tính um i c 2 máy u c t IP và có th ping n các máy khác trong m ng Nói tóm l i là 2 máy này c c u hình không có gì khác nhau. Ti n hành Cài t Wireshark tr c ti p lên c 2 máy. Phân tích Tr c h t trên máy c a H i ta nhìn th y m t phiên làm vi c bình th ng v i HTTP. u tiên s có m t ARP broadcast tìm a ch a gateway ng 2, ây là 192.168.0.10. Khi máy tính c a H i nh n c thông tin nó s t tay v i máy gateway và t ó có phiên làm vi c v i HTTP ra bên ngoài. http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html... 3/5/2011
  5. 5. F -X C h a n ge Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q... Page 5 of 10 F -X C h a n ge PD PD ! ! W W O O N N y y bu bu to to k k lic lic C Cw w m m w ww w o o .d o .c .d o .c c u -tr a c k c u -tr a c k Hình 3.1-8: H i’s computer completes a handshake, and then HTTP data transfer begins. Tr ng h p máy tính a Thanh Hình 3.1-9: Thanh’s computer appears to be sending an ARP request to a different IP address. Hình trên cho th y yêu c u ARP không gi ng nh tr ng h p trên. a ch gateway c tr v là 192.168.0.11. Nh y có th th y NetBIOS có v n . NetBIOS là giao th c c nó s c thay th TCP/IP khi TCP/IP không ho t ng. Nh y là máy c a Thanh không th t n i Internet v i TCP/IP. Chi ti t yêu c u ARP trên 2 máy : Máy H i Máy Thanh http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html... 3/5/2011
  6. 6. F -X C h a n ge Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q... Page 6 of 10 F -X C h a n ge PD PD ! ! W W O O N N y y bu bu to to k k lic lic C Cw w m m w ww w o o .d o .c .d o .c c u -tr a c k c u -tr a c k t lu n : máy Thanh t sai a ch gateway nên không th t n i Internet, c n t l i là 192.168.0.10. The Ghost in Internet Explorer (con ma trong trình duy t IE) Hi n t ng : máy tính c a A có hi n t ng nh sau, khi s ng trình duy t IE, trình duy t t ng tr n r t nhi u trang qu ng cáo. Khi A thay i b ng tay thì v n b hi n t ng ó th m chí kh ng i máy c ng v n b nh th . Thông tin chúng ta có A không th o v máy tính m Máy tính c a A dùng Widows XP, IE 6 Ti n hành Vì hi n t ng này ch y ra trên máy c a A và trang home page c a A b thay i khi b t IE nên chúng ta s ti p hành t gói tin t máy c a A. Chúng ta không nh t thi t ph i cài Wireshark tr c ti p t máy c a A. Chúng ta có th dùng k thu t “Hubbing Out” . Phân tích Hình 3.1-13: Since there is no user interaction happening on A’s computer at the time of this capture, all of these packets going across the wire should set off some alarms. Chi ti t gói tin th 5: Hình 3.1-14: Looking more closely at packet 5, we see it is trying to download data from the Internet. T máy tính g i yêu c u GET c a HTTP n a ch nh trên hình. http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html... 3/5/2011
  7. 7. F -X C h a n ge Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q... Page 7 of 10 F -X C h a n ge PD PD ! ! W W O O N N y y bu bu to to k k lic lic C Cw w m m w ww w o o .d o .c .d o .c c u -tr a c k c u -tr a c k Hình 3.1-15: A DNS query to the weatherbug.com domain gives a clue to the culprit. Gói tin tr i t u có v n : th t các ph n b thay i. t s gói ti p theo có s p ACK. Hình 3.1-16: A DNS query to the weatherbug.com domain gives a clue to the culprit. Sau m t lo t các thay i trên thì có truy v n DNS n deskwx.weatherbug.com ây là a ch A không h bi t và không có ý nh truy c p. Nh y có th là có t process nào ó ã làm thay i a ch trang ch i khi IE c b t lên. Dùng m t công c ki m tra process n ví d nh Process Explore và th y r ng có ti n trình weatherbug.exe ang ch y. Sau khi t t ti n trình này i không còn hi n t ng trên n a. Thông th ng các ti n trình nh weatherbug có th là virus, spyware. Giao di n Process Explore http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html... 3/5/2011
  8. 8. F -X C h a n ge Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q... Page 8 of 10 F -X C h a n ge PD PD ! ! W W O O N N y y bu bu to to k k lic lic C Cw w m m w ww w o o .d o .c .d o .c c u -tr a c k c u -tr a c k i k t n i FTP Tình hu ng : có tài kho n FTP trên Windows Server 2003 ã update service packs v a cài t xong, ph n m m FTP Server hoàn toàn bình th ng, kho n úng nh ng không truy nh p c. Thông tin chúng ta có FTP làm vi c trên c ng 21 Ti n hành Cài t Wireshark trên c 2 máy. Phân tích Client: http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html... 3/5/2011
  9. 9. F -X C h a n ge Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch Q... Page 9 of 10 F -X C h a n ge PD PD ! ! W W O O N N y y bu bu to to k k lic lic C Cw w m m w ww w o o .d o .c .d o .c c u -tr a c k c u -tr a c k Hình 3.1-19: The client tries to establish connection with SYN packets but gets no response; then it sends a few more. Client g i các gói tin SYN t tay v i server nh ng không có ph n h i t server. Server : Hình 3.1-20: The client and server trace files are almost identical. Có 3 lý do có th n n hi n t ng trên FTP server ch a ch y, u này không úng vì FTP server c a chúng ta ã ch y nh ki m tra lúc u Server quá t i ho c có l u l ng quá l n khi n không th áp ng yêu c u. u này c ng không chính xác vì server v a m i c cài t. ng 21 b m phía clien ho c phía server ho c c 2 phía. Sau khi ki m tra và th y r ng phía Server c m c ng 21 c chi u Incoming và Outgoing trong Local Security Policy http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html... 3/5/2011
  10. 10. F -X C h a n ge Phân tích gói tin v i WIRESHARK | VnExperts Academy - ào t o, h c, thi ch ng ch ... Page 10 of 10 F -X C h a n ge PD PD ! ! W W O O N N y y bu bu to to k k lic lic C Cw w m m w ww w o o .d o .c .d o .c c u -tr a c k c u -tr a c k t lu n ôi khi b t gói tin không cho ta bi t tr c ti p v n nh ng nó ã h n ch c r t nhi u tr ng h p và giúp ta a ra suy oán chính xác v n là gì. vnsecurity.vn Tin m i h n: 06/06/2009 09:47 - Conficker Worm Computer Now 14/04/2009 02:56 - o t SSH v i ch ng th c khóa công khai / khóa riêng 05/03/2009 09:12 - X lý các tính hu ng th c t i WireShark Tin c n: 05/03/2009 02:36 - ISO 27001:2005 - H th ng qu n lý an ninh thông tin 27/10/2008 10:51 - Cài t Back Track 3 (công c c CEH và nghiên c u v o m t) 12/08/2008 11:03 - 5 b c nhanh g n ki m tra ch om t Trang k >> http://www.vnexperts.net/bai-viet-ky-thuat/security/862-phan-tich-goi-tin-vi-wireshark.html... 3/5/2011

×