Đang tải... (xem toàn văn)
TÌM HIỂU PHẦN MỀM WIRESHARK
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN KHOA CÔNG NGHỆ THÔNG TIN @&? BÀI TẬP LỚN THỰC HÀNH MẠNG MÁY TÍNH ĐỀ TÀI: TÌM HIỂU PHẦN MỀM WIRESHARK Giáo viên hướng dẫn : Nguyễn Duy Tân Sinh viên thực hiện : Hoàng Lệ Chi Lớp : TK6LC_1 HƯNG YÊN 5-2009 Tìm hiểu về Wireshark ĐỀ TÀI: TÌM HIỂU VỀ WIRESHARK I. Giới thiệu WireShark WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark. WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm. Wireshark là công cụ dùng để phân tích các giao thức của mạng. Wireshark cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích VoIP. Dữ liệu có thể bắt được thông qua giao diện đồ hoạ hoặc qua TTY-mode của tiện ích TShark. Wireshark có thể đọc/ ghi nhiều dạng file như tcpdump (libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer®, … Dữ liệu nén dạng gzip bắt được có thể giải nén ngay lập tức, ngoài ra Wireshark cũng cung cấp nhiều phương thức giải nén cho nhiều phương thức khác như IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, … Wireshark có hỗ trợ nhiều quy tắc tô màu cho các phương thức khác nhau, giúp bạn phân tích chúng trực quan hơn. Wireshark làm việc với nhiều loại kết nối mạng, bao gồm Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, … Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau. 1. Các giao thức được hỗ trợ bởi WireShark: WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Và cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được thêm vào. Và có thể nói rằng không có giao thức nào mà Wireshark không thể hỗ trợ. • Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu. Không như một số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thật tuyệt vời cho những ai đã từng nghiên cứu thế giới của phân tích giao thức. • Giá rẻ: Wireshark là một sản phẩm miễn phí GPL. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại. • Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở. Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay. 2. Một số tính năng nâng cao của Wireshark • Name Resolution Dữ liệu truyền trong mạng thông qua một vài hệ thống địa chỉ, các địa chỉ này thường dài và khó nhớ (Ví dụ: MAC). Phân giải điạch chỉ là quá trình mà một giao thức sử dụng để chuyển đổi một địa chỉ loại này thành một địa chỉ loại khác đơn Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark giản hơn. Chúng ta có thể tiết kiệm thời gian bằng cách sử dụng một vài công cụ phân giải địa chỉ để file dữ liệu ta bắt được dễ đọc hơn. Ví dụ như là chúng ta có thể sử dụng phân giải tên DNS để giúp định danh tên của một máy tính mà ta đang có gắng xác định như là nguồn của các gói cụ thể. Các kiểu công cụ phân giải tên trong Wireshark: có 3 loại Ø MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP tầng 3. Nếu việc phân giải này lỗi, Wireshark sẽ chuyển 3 byte đầu tiên của địa chỉ MAC sang tên hãng sản xuất đã được IEEE đặc tả, ví dụ: Netgear_01:02:03. Ø Network Name Resolution: chuyển đổi địa chỉ tầng 3 sang một tên DNS dễ đọc như là MarketingPC1. Ø Transport Name Resolution: chuyển đổi một cổng sang một tên dịch vụ tương ứng với nó, ví dụ: cổng 80 là http. • Protocol Dissection Một protocol dissector cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích. ICMP protocol dissector cho phép Wireshark phân chia dữ liệu bắt được và định dạng chúng như là một gói tin ICMP. Bạn có thể nghĩ rằng một dissector như là một bộ phiên dịch giữa dòng dữ liệu trên đường truyền và chương trình Wireshark. Với mục đích để hỗ trợ một giao thức nào đó, một dessector cho giao thức đó phải được tích hợp trong Wireshark. Wireshark sử dụng đồng thời vài dissector để phiên dịch mỗi gói tin. Nó quyết định dissector nào được sử dụng bằng cách sử dụng phân tích lôgic đã được cài đặt sẵn và thực hiện việc dự đoán. Thật không may là Wireshark không phải lúc nào cũng đúng trong việc lựa chọn dissector phù hợp cho một gói tin. Tuy nhiên, ta có thể thay đổi việc lựa chọn này trong từng trường hợp cụ thể. Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark • Following TCP Streams Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP như là ở tầng ứng dụng. Tính năng này cho phép bạn phối hợp tất cả các thông tin liên quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm chứa giống như là người dùng cuối nhìn thấy trong ứng dụng. Còn hơn cả việc xem các dữ liệu đang được truyền giữa máy trạm và máy chủ trong một mớ hỗn độn, tính năng này sắp xếp dữ liệu để có thể xem một cách đơn giản. Bạn có thể sử dụng công cụ này để bắt và giải mã một phiên instant messages được gửi bởi một người làm thuê (người này đang bị nghi ngờ phát tán các thông tin tài chính của công ty). • Cửa sổ thống kê phân cấp giao thức Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân bố các giao thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và DHCP là bao nhiêu phần trăm, Thay vì phải đếm từng gói tin để thu được kết quả, chúng ta có thể sử dụng cửa sổ thống kê phân cấp giao thức của Wireshark. Đây là cách tuyệt với để kiểm thử mạng của bạn. Ví dụ, nếu bạn biết rằng 10% lưu lượng mạng của bạn được sử dụng bởi các lưu lượng ARP, và một ngày nào đó, bạn thấy lưu lượng ARP lên tới 50%, bạn hoàn toàn có thể hiểu rằng đang có một cái gì đó không ổn xảy ra. • Xem các Endpoints Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể. Ví dụ, có hai endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và nhận dữ liệu, 192.168.1.5 và 192.168.0.8. Một ví dụ ở tầng 2 có thể là kết nối giữa hai NIC vật lý và địa chỉ MAC của chúng. Các NIC gửi và nhận dữ liệu, các MAC đó tạo nên các endpoint trong kết nối. Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Khi thực hiện phân tích gói tin, bạn có thể nhận ra rằng bạn đã khoanh vùng vấn đề chỉ còn là một enpoint cụ thể trong mạng. Hộp thoại Wireshark endpoints chỉ ra một vài thống kê hữu ích cho mỗi endpoint, bao gồm các địa chỉ của từng máy cũng như là số lượng các gói tin và dung lượng đã được truyền nhận của từng máy. Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark • Cửa số đồ thị IO Cách tốt nhất để hình dung hướng giải quyết là xem chúng dưới dạng hình ảnh. Cửa sổ đồ thị IO của Wireshark cho phép bạn vẽ đồ thị lưu lượng dữ liệu trên mạng. Bạn có thể sử dụng tính năng này để tìm kiếm các đột biến hoặc những thời điểm không có dữ liệu truyền của các giao thức cụ thể mà bạn đang quan tâm. Bạn có thể vẽ đồng thời 5 đường trên cùng một đồ thị cho từng giao thức mà bạn quan tâm bằng các màu khác nhau. Điều này giúp bạn dễ dàng hơn để thấy sự khác nhau của các đồ thị. 3. Cài đặt WireShark. Wireshark là một ứng dụng mã nguồn mở và có thể download miễn phí tại trang http://www.wireshark.org/. Sau khi download Wireshark về, tập tin lưu trên Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark máy có dạng wireshark-setup-x.y.z.exe. Để khởi động tiến trình cài đặt, bạn thực thi file trên. Các bước cài đặt như sau: Hình 1: Bắt đầu cài đặt Ấn Next để tiếp tục. Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Hình 2: Thông tin bản quyền. Nhấn “I Agree” để tiếp tục. Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Hình 3: Trang Components của Wireshark GTK1 và GTK2 là 2 bộ giao diện đồ họa của WireShark. Chỉ nên chọn GTK1 khi bạn đang ở chế độ đồ họa 256 màu (thường ở chế độ này GTK2 hoạt động không được tốt), hoặc khi GTK2 hoạt động không được tốt vì một lý do nào đó. ngoài ra, bạn nên chọn GTK2 với nhiều tính năng nâng cao hơn so với GTK. TShark là giao diện dòng lệnh của WireShark. Phần Plugin/Extensions và Tools bạn để ở chế độ mặc định. Hoàng Lệ Chi_Lớp TK6LC1 [...]... TK6LC1 Tìm hiểu về Wireshark Hình 9: Cửa số cài đặt Winpcap Nhấn “Next” để tiếp tục Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Hình 1 0: Thông tin bản quyền của Winpcap Nhấn “I Agree” để tiếp tục Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Hình 1 1: Chúc mừng! Bạn đã cài đặt xong Winpcap Nhấn “Finish” để hoàn thành cài đặt Winpcap và tiếp tục cài đặt Wireshark Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark. .. Connectivity (không kết nối) Vấn đề : chúng ta có 2 nhân viên mới Hải và Thanh và được sắp ngồi cạnh nhau và đương nhiên là được trang bị 2 máy tính Sauk hi được trang bị và làm các thao tác để đưa 2 máy tính vào mạng, có một vấn đề xảy ra là máy tính của Hải chạy tốt, kết nối mạng bình thường, máy tính của Thanh không thể truy nhập Internet Mục tiêu : tìm hiểu tại sao máy tính của Thanh không kết nối được.. .Tìm hiểu về Wireshark Hình 4: Cửa sổ Additional Tasks Nhấn “Next” để tiếp tục Hình 5: Chọn đường dẫn đến thư mục bạn định cài Wireshark Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Mặc định, wireshark sẽ được cài đặt trong thư mục C:\Program Files \Wireshark Bạn có thể chọn đường dẫn khác bằng cách nhấn vào “Browse…” Sau cùng, Nhấn “Next” để tiếp tục Hình 6: Bạn có cài winpcap không? Để Wireshark. .. Wireshark Hình 1 2: Tiếp tục tiến trình cài đặt Wireshark Nhấn “Next” để tiếp tục Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Hình 1 2: Hoàn thành việc cài đặt Wireshark trên Windows 4 Giao diện và một số hướng dẫn sử dụng Khởi động Wireshark trên windows đơn giản bằng cách nhấn kép vào shortcut trên menu Start Điều này sẽ giúp mở ra màn hình chính của Wireshark Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark. .. • cả 2 máy tính đều mới • cả 2 máy đều được đặt IP và có thể ping đến các máy khác trong mạng Nói tóm lại là 2 máy này được cấu hình không có gì khác nhau Tiến hành Cài đặt Wireshark trực tiếp lên cả 2 máy Phân tích Trước hết trên máy của Hải ta nhìn thấy một phiên làm việc bình thường với HTTP Đầu tiên sẽ có một ARP broadcast để tìm địa chỉ của gateway ở tầng 2, ở đây là 192.168.0.10 Khi máy tính của... TCP/IP không hoạt động Như vậy là máy của Thanh không thể kết nối Internet với TCP/IP Chi tiết yêu cầu ARP trên 2 máy : Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Máy Hải Máy Thanh Kết luận : máy Thanh đặt sai địa chỉ gateway nên không thể kết nối Internet, cần đặt lại là 192.168.0.10 1.6.The Ghost in Internet Explorer (con ma trong trình duyệt IE) Hiện tượng : máy tính của A có hiện tượng như sau,... lại máy cũng vẫn bị như thế Thông tin chúng ta có •A không thạo về máy tính lắm • Máy tính của A dùng Widows XP, IE 6 Tiến hành Vì hiện tượng này chỉ xảy ra trên máy của A và trang home page của A bị thay đổi khi bật IE nên chúng ta sẽ tiếp hành bắt gói tin từ máy của A Chúng ta không nhất thiết phải cài Wireshark trực tiếp từ máy của A Chúng ta có thể dùng kỹ thuật Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu. .. list pane: Hiển thị tất cả các packet trong file bắt hiện tại 6 Packet details pane: Chỉ rõ các chi tiết của packet được chọn hiện tại trong khung Packet List 7 Packet bytes pane: Chế độ xem hexdum của packet hiện tại trong Packet List 8 Status bar: Cung cấp các thông điệp và thông tin phản hồi đến người dùng Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark 5 Các lệnh kiểm tra mạng và phần mềm WireShark. .. với lần lượt 2 gói tin có kích cỡ lớn và bé Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Mô phỏng lệnh Ping trên phần mềm Wireshark (Ethereal) o -i TTL : Giá trị của trường TTL trong IP header của Echo Request Messages gửi.Mỗi host có 1 giá trị TTL mặc định riêng, đối với WinXP là 128byte còn linux là 64byte, giá trị tối đa là 255 Hoàng Lệ Chi_Lớp TK6LC1 Tìm hiểu về Wireshark Trên đây là minh họa ping... [-w Timeout] [TargetName] Trong đ : o ip: Địa chỉ IP của máy cần kiểm tra; host là tên của máy tính cần kiểm tra Người ta có thể sử dụng địa chỉ IP hoặc tên của máy tính o Tham số -t: Liên tục gửi Echo Request Messages cho đến khi ngừng kết nối Để gián đoạn và trình bày thống kê, nhấn CTRL- Break Để kết thúc ping, nhấn CTRL-C o Tham số -a: Nếu Ping đến một địa chỉ IP thành công Ping sẽ trả lại host name . đầu cài đặt Ấn Next để tiếp tục. Hoàng Lệ Chi_ Lớp TK6LC1 Tìm hiểu về Wireshark Hình 2: Thông tin bản quyền. Nhấn “I Agree” để tiếp tục. Hoàng Lệ Chi_ Lớp TK6LC1 Tìm hiểu về Wireshark Hình 3: Trang. định. Hoàng Lệ Chi_ Lớp TK6LC1 Tìm hiểu về Wireshark Hình 4: Cửa sổ Additional Tasks Nhấn “Next” để tiếp tục. Hình 5: Chọn đường dẫn đến thư mục bạn định cài Wireshark Hoàng Lệ Chi_ Lớp TK6LC1 Tìm. bắt gói tin bằng wireshark. Hoàng Lệ Chi_ Lớp TK6LC1 Tìm hiểu về Wireshark Hình 7: Đang trong tiến trình cài đặt Hình 8: Cửa số cài đặt Winpcap Hoàng Lệ Chi_ Lớp TK6LC1 Tìm hiểu về Wireshark Hình