Đang tải... (xem toàn văn)
II GIỚI THIỆU WIRESHARK WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark. WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm. Wireshark là công cụ dùng để phân tích các giao thức của mạng. Wireshark cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích VoIP.Wireshark có thể được sử dụng như một thiết bị giám sát những gì được truyền đường dây mạng tức là hoạt động giống như một chiếc Vôn kế trên đường dây điện.
TÌM HIỂU WIRESHARK CÔNG CỤ HỖ TRỢ BẢO MẬT MẠNG NỔI TIẾNG (TÊN GỌI TRƯỚC ĐÂY: ETHEREAL) Các cách thức nghe gói tin mạng Giới thiệu Wire shark Cách làm việc Wire sark Các tình với Wire sark Tình an ninh mạng I - CÁC CÁCH THỨC NGHE GÓI TIN TRÊN MẠNG 1- Các bước nghe gói tin mạng - Thu thập liệu - Chuyển đổi liệu - Phân tích I - CÁC CÁCH THỨC NGHE GÓI TIN TRÊN MẠNG 2- Các cách thức nghe gói tin mạng - Living Promiscuously (chế độ bắt tất gói tin qua) - “Nghe” mạng có Hub - “Nghe” mạng Switched - Nghe mạng sử dụng Router II – GIỚI THIỆU VỀ WIRESHARK 1- Khái niệm Wireshark công cụ dùng để phân tích giao thức mạng Wireshark cho phép bạn xem chi tiết giao thức mạng có, bắt gói tin phân tích offline chúng, phân tích VoIP -Thân thiện với người dùng -Giá rẻ -Hỗ trợ -Hệ điều hành hỗ trợ Wireshark II – GIỚI THIỆU VỀ WIRESHARK 2- Một số tính nâng cao Wireshark - Name Resolution - Protocol Dissection - Following TCP Streams - Cửa sổ thống kê phân cấp giao thức - Xem Endpoints - Cửa số đồ thị IO II – GIỚI THIỆU VỀ WIRESHARK 3- Cài đặt - Download : https://www.wireshark.org/#download - Bản cập nhật : Wireshark-win64-2.0.0_2.exe II – GIỚI THIỆU VỀ WIRESHARK II – GIỚI THIỆU VỀ WIRESHARK II – GIỚI THIỆU VỀ WIRESHARK II – GIỚI THIỆU VỀ WIRESHARK Giao diện gói tin bắt hiển thị II – GIỚI THIỆU VỀ WIRESHARK Giao diện Wireshark gồm có phần sau: 1.Title bar 2.Thanh Menu 3.Thanh công cụ (Main Toolbar) 4.Thanh công cụ (Main Toolbar) 5.Ô liệt kê gói tin (Packet list pane) 6.Ô chi tiết gói tin (Packet details pane) 7.Ô mã nhị phân gói tin (Packet bytes pane) 8.Thanh trạng thái (Status bar) III – CÁCH LÀM VIỆC CỦA WIRESHARK Khởi động trình duyệt web yêu thích bạn, mà hiển thị trang web lựa chọn bạn Khởi động phần mềm Wireshark Để bắt đầu bắt gói tin, click chọn Capture Để lựa chọn tùy chỉnh khác nhau, bạn cần click vào Options cửa sổ tùy chỉnh: III – CÁCH LÀM VIỆC CỦA WIRESHARK III – CÁCH LÀM VIỆC CỦA WIRESHARK Khi bạn bắt đầu bắt gói tin, cửa sổ gói tin tóm tắt chụp xuất hiện, cửa sổ tóm tắt số lượng loại gói tin khác bị bắt, nút Stop cho phép bạn chặn bắt gói tin III – CÁCH LÀM VIỆC CỦA WIRESHARK VD: nhập địa URL: http://vnexpress.net vào trình duyệt bạn, Wireshark bắt ghi lại Lựa chọn stop hiển thị cửa sổ chặn bắt gói tin III – CÁCH LÀM VIỆC CỦA WIRESHARK Để thị rõ ràng cụ thể hơn, bạn có Click chuột phải vào khung hiển thị gói tin bị chặn bắt, chọn Follow TCP Stream Thoát Wireshark click vào “Close” IV – CÁC TÌNH HUỐNG VỚI WIRESHARK A Lost TCP Connection (mất kết nối TCP) Một vấn đề phổ biến kết nối mạng.Chúng ta bỏ qua nguyên nhân kêt nối bị mất, nhìn tượng mức gói tin Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối mã ICMP) Một công cụ kiểm tra kết nối mạng công cụ ICMP ping Nếu mục tiêu trả lời lại bạn ping thành công, không nhận thông báo kết nối tới máy đích IV – CÁC TÌNH HUỐNG VỚI WIRESHARK Unreachable Port (không thể kết nối tới cổng) Một nhiệm vụ thông thường khác kiểm tra kết nối tới cổng máy đích Việc kiểm tra cho thấy cổng cần kiểm tra có mở hay không, có sẵn sang nhận yêu cầu gửi đến hay không Ví dụ, để kiểm tra dịch vụ FTP có chạy server hay không, mặc định FTP làm việc qua cổng 21 chế độ thông thường Ta gửi gói tin ICMP đến cổng 21 máy đích, máy đích trả lời lại gói ICMP loại o mã lỗi có nghĩa kết nối tới cổng IV – CÁC TÌNH HUỐNG VỚI WIRESHARK Fragmented Packets Ở thấy kích thước gói tin ghi nhận lớn kích thước gói tin mặc định gửi ping 32 bytes tới máy tính chạy Windows IV – CÁC TÌNH HUỐNG VỚI WIRESHARK Determining Whether a Packet Is Fragmented (xác định vị trí gói tin bị phân đoạn) 6.No Connectivity (không kết nối) 7.The Ghost in Internet Explorer (con ma trình duyệt IE) 8.Lỗi kết nối FTP V – MỘT SỐ TÌNH HUỐNG AN NINH MẠNG CƠ BẢN OS Fingerprinting (Nhận dạng OS) OS Fingerprinting kỹ thuật phổ biến haker sử dụng để thu thập thông tin server từ xa, từ có thông tin hữu ích để thực bước công A Simple Port Scan (quét cổng dạng đơn giản) Một chương trình quét port nhanh phổ biến là: nmap Mục tiêu người công: - Tìm port mở - Xác định tunnel bí mật V – MỘT SỐ TÌNH HUỐNG AN NINH MẠNG CƠ BẢN Blaster Worm (Sâu Blaster) Ví dụ: Máy tính phía client hiển thị sổ thông báo shutdown máy vòng 60s Các thông báo xuất liên tục [...]... VỀ WIRESHARK II – GIỚI THIỆU VỀ WIRESHARK II – GIỚI THIỆU VỀ WIRESHARK II – GIỚI THIỆU VỀ WIRESHARK II – GIỚI THIỆU VỀ WIRESHARK II – GIỚI THIỆU VỀ WIRESHARK 4- Giao diện người dùng - Giao diện chính của Wireshark II – GIỚI THIỆU VỀ WIRESHARK Giao diện khi gói tin được bắt và hiển thị II – GIỚI THIỆU VỀ WIRESHARK Giao diện của Wireshark gồm có các phần sau: 1.Title bar 2.Thanh Menu 3.Thanh công cụ. .. tin 2 Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối và các mã ICMP) Một trong các công cụ khi kiểm tra kết nối mạng là công cụ ICMP ping Nếu mục tiêu trả lời lại là bạn đã ping thành công, không sẽ nhận được thông báo không thể kết nối tới máy đích IV – CÁC TÌNH HUỐNG VỚI WIRESHARK 3 Unreachable Port (không thể kết nối tới cổng) Một trong các nhiệm vụ thông thường khác là kiểm... thị cửa sổ chặn bắt gói tin III – CÁCH LÀM VIỆC CỦA WIRESHARK Để hiện thị rõ ràng và cụ thể hơn, bạn có Click chuột phải vào khung hiển thị các gói tin bị chặn bắt, chọn Follow TCP Stream Thoát Wireshark click vào “Close” IV – CÁC TÌNH HUỐNG VỚI WIRESHARK 1 A Lost TCP Connection (mất kết nối TCP) Một trong các vấn đề phổ biến nhất là mất kết nối mạng. Chúng ta sẽ bỏ qua nguyên nhân tại sao kêt nối bị... công cụ chính (Main Toolbar) 4.Thanh công cụ chính (Main Toolbar) 5.Ô liệt kê gói tin (Packet list pane) 6.Ô chi tiết gói tin (Packet details pane) 7.Ô mã nhị phân gói tin (Packet bytes pane) 8.Thanh trạng thái (Status bar) III – CÁCH LÀM VIỆC CỦA WIRESHARK Khởi động trình duyệt web yêu thích của bạn, mà sẽ hiển thị trang web lựa chọn của bạn Khởi động phần mềm Wireshark Để bắt đầu bắt gói tin,... chỉnh: III – CÁCH LÀM VIỆC CỦA WIRESHARK III – CÁCH LÀM VIỆC CỦA WIRESHARK Khi bạn bắt đầu bắt gói tin, một cửa sổ gói tin tóm tắt chụp sẽ xuất hiện, cửa sổ này tóm tắt số lượng các loại gói tin khác nhau đang bị bắt, và nút Stop đó sẽ cho phép bạn chặn bắt gói tin III – CÁCH LÀM VIỆC CỦA WIRESHARK VD: nhập địa chỉ URL: http://vnexpress.net vào trình duyệt của bạn, Wireshark sẽ bắt và ghi lại Lựa... HUỐNG AN NINH MẠNG CƠ BẢN 1 OS Fingerprinting (Nhận dạng OS) OS Fingerprinting là một kỹ thuật phổ biến được các haker sử dụng để thu thập các thông tin về server từ xa, từ đó có những thông tin hữu ích để thực hiện các bước tấn công tiếp theo 2 A Simple Port Scan (quét cổng ở dạng đơn giản) Một trong các chương trình quét port nhanh và phổ biến nhất là: nmap Mục tiêu của người tấn công: - Tìm các port... lại gói ICMP loại o và mã lỗi 2 thì có nghĩa là không thể kết nối tới cổng đó IV – CÁC TÌNH HUỐNG VỚI WIRESHARK 4 Fragmented Packets Ở đây có thể thấy kích thước gói tin ghi nhận được lớn hơn kích thước gói tin mặc định gửi đi khi ping là 32 bytes tới một máy tính chạy Windows IV – CÁC TÌNH HUỐNG VỚI WIRESHARK 5 Determining Whether a Packet Is Fragmented (xác định vị trí gói tin bị phân đoạn) 6.No Connectivity... Simple Port Scan (quét cổng ở dạng đơn giản) Một trong các chương trình quét port nhanh và phổ biến nhất là: nmap Mục tiêu của người tấn công: - Tìm các port mở - Xác định các tunnel bí mật V – MỘT SỐ TÌNH HUỐNG AN NINH MẠNG CƠ BẢN 3 Blaster Worm (Sâu Blaster) Ví dụ: Máy tính phía client hiển thị của sổ thông báo shutdown máy trong vòng 60s Các thông báo này xuất hiện liên tục