Tài liệu Đồ án tốt nghiệp “Xây dựng chương trình kiểm soát lưu lượng thông tin trao đổi qua hệ thống mạng” pptx

Đề tài “Xây dựng chương trình kiểm sốt lưu lượngthơng tin trao đổi qua hệ thống mạng”

1Tổng Quan Hệ Thống Mạng TCP/IP Ethernet 5

1.1 Khái niệm mạng máy tính 5

1.4.1 Có kết nối (Connection Oriented) 11

1.4.2 Không kết nối (Connectionless) 12

2Bộ giao thức TCP/IP – Các giao thức khuôn dạng liệu 16

2.1 Cấu trúc phân tầng TCP/IP 16

2.2 Đóng gói liệu TCP/IP 17

2.3 Sơ lược chức tầng 18

2.3.1 Tầng ứng dụng (Application Layer) 18

2.3.2 Tầng giao vận (Transport Layer) 18

2.3.3 Tầng Internet (Internet Layer) 18

2.3.4 Tầng liên kết (Link Layer) 19

2.4 Các giao thức khn dạng liệu tương ứng 19

2.4.1 Ethernet 19

2.4.2 ARP (address resolution protocol) 21

2.4.3 RARP (reserve address resolution protocol) 22

2.4.4 IP (internet protocol) 23

2.4.5 ICMP (internet control message protocol) 26

2.4.6 TCP (Transmission Control Protocol) 27

2.4.7 UDP (User Datagram Protocol) 29

2.4.8 HTTP (Hypertext Transfer Protocol) 30

2.4.9 DNS (Domain Name System) 31

CHƯƠNG II KỸ THUẬT CHẶN BẮT 33

1Tổng Quan Về Chặn Bắt Gói Tin (Sniffer) 33

1.1 Các khái niệm liên quan 33

1.2 Ứng dụng sniffer 34

1.2.1 Khả 34

1.2.2 Mục đích 34

2.1 Theo dõi Network Traffic 35

2.2 Phân tích Network Traffic 36

2.3 Các thành phần chương trình sniffer 38

3.1 Raw Socket – mức hệ điều hành 41

3.2 Pcap – mức network adapter 42

3.3 So sánh Raw Socket Pcap 44

CHƯƠNG III PHÂN TÍCH, LỰA CHỌN VÀ THIẾT KẾ GIẢI THUẬT 46

1Chi Tiết Các Phương Pháp 46

1.1 Winsock 46

1.1.1 Khái niệm 46

1.1.2 Các kiện Winsock 47

1.1.3 Loại Socket Winsock 47

1.1.4 Làm việc với Socket Winsock 47

1.3.2 Làm việc với Winpcap 52

2Hướng Thực Hiện Chương Trình 54

2.1 Bắt gói tin 55

2.2 Tách phần header 55

2.3 Phân tích, tổng hợp header 55

2.4 Đưa vào sở liệu 56

2.5 Hiển thị, thống kê báo cáo 57

3Lựa chọn giải thuật 57

CHƯƠNG IV XÂY DỰNG CHƯƠNG TRÌNH 59

1Các Chức Năng Chính 59

2Phân Tích Xây Dựng Các Chức Năng Chính 62

2.2.1 Đo lưu lượng vào/ra máy cài đặt chương trình 63

2.2.2 Báo cáo thơng tin lưu lượng 63

2.3 Bắt gói tin 64

2.4 Các thao tác với File 66

2.5 Giao diện (View) 67

2.6 Thống kê (Statistics) 67

2.6.1 Thống kê tích lũy (Cumulative) 67

2.6.2 Thống kê liên tục (Continous) 68

2.7 Quản lý mạng 68

2.7.1 Khóa mạng theo luật mà người dùng lựa chọn 68

3Giới Thiệu Chương Trình 69

3.1 Khởi động chương trình 69

3.2 Chức báo cáo 70

3.3 Chức bắt gói tin 70

3.4 Các thao tác với file 75

3.5 Chức di chuyển bảng dư liệu 76

3.6 Chức thống kê 76

3.6.1 Thống kê tích lũy (Cumulative Statistics) 77

3.6.2 Thống kê liên tục (Continous Statistics) 78

3.7 Ngăn chặn thông tin 79

Ngày nay, mạng máy tính trở nên quen thuộc với người xã hội Cùng với phát triển công nghệ thông tin nhu cầu người, mạng máy tính ngày mở rộng trở thành phần thiếu đời sống

Tuy nhiên, với phát triển mạng máy tính, nhiều vấn đề liên quan đặt người sử dụng lỗi đường truyền, virus, cơng hacker Để góp phần giải vấn đề việc kiểm sốt lượng thơng tin vào mang ý nghĩa quan trọng Chính vì

vậy em lựa chọn thực đồ án tốt nghiệp “Xây dựng chương trình kiểmsốt lưu lượng thơng tin trao đổi qua hệ thống mạng” nhằm mục đích cung

cấp cơng cụ hữu ích cho việc kiểm sốt học tập mạng máy tính Trong thời gian thực tập em xin chân thành cảm ơn thầy cô giáo khoa Công nghệ thông tin trường Đại học Hàng Hải Việt Nam bạn tập thể lớp CNT46-ĐH đặc biệt thầy Ngô Quốc Vinh giúp đỡ em trình thực đồ án này.

Hải Phòng tháng 12 năm 2009

Sinh viên: Trần NgọcViệt

CHƯƠNG I CƠ SỞ LÝ THUYẾT MẠNG MÁY TÍNH

Để xây dựng chương trình quản lý, thống kê, kiểm sốt lưu lượng thơng tin, ta cần thực chặn bắt gói tin vào hệ thống mạng phân tích gói tin thu (Packet Capture Packet Analysis) Chương trình thường gọi Sniffer (Packet Analyzer) Để xây dựng sniffer, ta cần có hiểu biết mạng máy tính giao thức liên quan Trong phạm vi đề tài thực hệ điều hành Window sử dụng giao thức TCP/IP Ethernet nên phần trình bày vấn đề mạng Ethernet.

1 Tổng Quan Hệ Thống Mạng TCP/IP Ethernet1.1 Khái niệm mạng máy tính

Từ năm 1960 xuất mạng nối máy tính Terminal để sử dụng chung nguồn tài ngun, giảm chi phí muốn thơng tin trao đổi số liệu sử dụng công tác văn phòng cách tiện lợi.

Với việc tăng nhanh máy tính mini máy tính cá nhân làm tăng yêu cầu truyền số liệu giưã máy tính, terminal, terminal với máy tính động lực thúc đẩy đời phát triển ngày mạnh mẽ mạng máy tính.Q trình hình thành mạng máy tính tóm tắt qua giai đoạn sau:

Giai đoạn terminal nối trực tiếp với máy tính:

Đây giai đoạn mạng máy tính, để tận dụng cơng suất máy tính người ta ghép nối terminal vào máy tính gọi máy tính trung tâm.

Giai đoạn tiền xử lý (Prontal)

Ở giai đoạn máy tính trung tâm quản lý truyền tin tới terminal, giai đoạn máy tính trung tâm quản lý truyền tin tới tập trung qua ghép nối điều khiển đường truyền Ta thay ghép nối đường truyền máy tính nini gọi prontal, tiền xử lý.

Giai đoạn mạng máy tính:

Vào năm 1970 người ta bắt đầu xây dựng mạng truyền thơng thành phần nút mạng gọi chuyển mạch dùng để hướng thơng tin tới đích.

Các mạng nối với đường truyền máy tính xử lý thơng tin người dùng trạm cuối nối trực tiếp vào nút mạng để cần trao đổi thơng tin qua mạng Các nút mạng thương máy tính nên đồng thời đóng vai trị người sử dụng.

Chức nút mạng:

 Quản lý truyền tin, quản lý mạng

Như máy tính ghép nối với hình thành mạng máy tính, ta thấy mạng truyền thơng ghép nối máy tính với nên khái niệm mạng m tính mạng truyền thơng khơng phân biệt.

Việc hình thành mạng máy tính nhằm đạt mục đích sau:  Tận dụng làm tăng giá trị tài nguyên

 Chinh phục khoảng cách

 Tăng chất lượng hiệu khai thác xử lý thông tin

 Tăng độ tin cậy hệ thống nhờ khả thay xảy cố máy tính đó.

Như vậy: Mạng máy tính tập hợp máy tính ghép với đường truyền vật lý theo kiến trúc đó.

1.2 Kiến trúc phân tầng

Để giảm độ phức tạp thiết kế cài đặt mạng, mạng máy tính tổ chức thiết kế theo kiểu phân tầng (layering) Trong hệ thống thành phần mạng tổ chức thành cấu trúc đa tầng, tầng xây dựng tầng trước đó; tầng cung cấp số dịch vụ cho tầng cao Số lượng tầng chức tầng tuỳ thuộc vào nhà thiết

kế Ví dụ cấu trúc phân tầng mạng SNA IBM, mạng DECnet Dig-ital, mạng ARPANET có khác Nguyên tắc cấu trúc mạng phân tầng là: hệ thống mạng có cấu trúc phân tầng (Số lượng tầng, chức tầng nhau) Mục đích tầng để cung cấp số dịch vụ định cho tầng cao hơn.

Tầng i hệ thống A hội thoại với tầng i hệ thống B, quy tắc quy ước dùng hội thoại gọi giao thức mức I

Giữa hai tầng kề tồn giao diện (interface) xác định thao tác nguyên thuỷ tầng cung cấp lên tầng

Trong thực tế liệu không truyền trực tiếp từ tầng i hệ thống sang tầng i hệ thống khác ( trừ tầng thấp trực tiếp sử dụng đường truyền vật lý để truyền xâu bít (0.1) từ hệ thống sang hệ thống khác ).Dữ liệu truyền từ hệ thống gửi (sender) sang hệ thống nhận (receiver) đường truyền vật lý liệu lại ngược lên tầng Như hai hệ thống liên kết với nhau, tầng thấp có liên kết vật lý cịn tầng cao có liên kết logic (liên kết ảo ) đưa vào để hình thức hoá hoạt động mạng thuận tiện cho việc thiết kế cài đặt phần mềm truyền thơng Như để viết chương trình cho tầng N, phải biết tầng N+1 cần tầng N -1 làm

Minh họa kiến trúc phân tầng tổng quát Nguyên tắc để xây dựng kiến trúc phân tầng sau:

 Để đơn giản cần hạn chế số lượng tầng.

 Tạo ranh giới tầng cho tương tác mô tả dịch vụ tối thiểu.

 Chia tầng cho chức khác tách biệt với nhau, tầng sử dụng loại công nghệ khác tách biệt.

 Các chức giống đặt vào tầng.

 Chọn ranh giới tầng theo kinh nghiệm chứng tỏ thành công.

 Các chức định vị cho thiết kế lại tầng mà ảnh hưởng đến tầng kế nó.

 Tạo ranh giới tầng cho chuẩn hóa giao diện tương ứng.

 Tạo tầng liệu xử lý cách khác biệt.

 Cho phép thay đổi chức giao thức tầng không làm ảnh hưởng đến tầng khác.

 Mỗi tầng có ranh giới (giao diện) với tầng kề kề nó.

 Có thể chia tầng thành tầng cần thiết  Tạo tầng phép giao diện với tầng kế cận  Cho phép hủy bỏ tầng thấy khơng cần thiết.

1.3 Mơ hình OSI

1.3.1 Khái niệm

Do nhà thiết kế tự lựa chọn kiến trúc mạng riêng Từ dẫn đến tình trạng khơng tương thích mạng về: Phương pháp truy nhập đường truyền khác nhau, họ giao thức khác khơng tương thích làm trở ngại cho trình tương tác người dùng mạng khác Nhu cầu trao đổi thông tin lớn trở ngại khơng thể chấp nhận với người sử dụng Với lý tổ chức chuẩn hoá quốc tế ISO thành lập tiểu ban nhằm xây dựng khung chuẩn kiến trúc mạng để làm cho nhà thiết kế chế tạo sản phẩm mạng Kết năm 1984 ISO đưa mơ hình tham chiếu cho việc kết nối hệ thống mở ( Reference Model for Open System Inter - connection) hay gọn OSI Reference model Mơ hình dùng làm sở để kết nối hệ thống mở.

Mơ hình OSI

1.3.2 Mục đích

Mơ hình OSI phân chia chức giao thức thành chuỗi tầng cấp Mỗi tầng cấp có đặc tính sử dụng chức tầng nó, đồng thời cho phép tầng sử dụng chức Một hệ thống cài đặt giao thức bao gồm chuỗi tầng nói gọi "chồng giao thức" (protocol stack) Chồng giao thức cài đặt phần cứng, phần mềm, tổ hợp hai Thơng thường có tầng thấp cài đặt phần cứng, tầng khác cài đặt phần mềm.

Mơ hình OSI ngành công nghiệp mạng công nghệ thơng tin tơn trọng cách tương đối Tính quy định giao diện tầng cấp, tức qui định đặc tả phương pháp tầng liên lạc với Điều có nghĩa cho dù tầng cấp soạn thảo thiết kế nhà sản xuất, công ty, khác lắp ráp lại, chúng làm việc cách dung hòa (với giả thiết đặc tả thấu đáo cách đắn

Thường phần thực thi giao thức xếp theo tầng cấp, tương tự đặc tả giao thức đề ra, song bên cạnh đó, có trường hợp ngoại lệ, gọi "đường cắt ngắn" (fast path) Trong kiến tạo "đường cắt ngắn", giao dịch thông dụng nhất, mà hệ thống cho phép, cài đặt thành phần đơn, tính nhiều tầng gộp lại làm một.

Việc phân chia hợp lý chức giao thức khiến việc suy xét chức hoạt động chồng giao thức dễ dàng hơn, từ tạo điều kiện cho việc thiết kế chồng giao thức tỉ mỉ, chi tiết, song có độ tin cậy cao Mỗi tầng cấp thi hành cung cấp dịch vụ cho tầng nó, đồng thời địi hỏi dịch vụ tầng Như nói trên, thực thi bao gồm nhiều tầng cấp mô hình OSI, thường gọi "chồng giao thức".

1.4 Phương thức hoạt động

Ở tầng mơ hình tầng ISO, có hai phương thức hoạt động áp dụng là: phương thức hoạt động có liên kết (connection-oriented) khơng có liên kết (connectionless).

Với phương thức có liên kết, trước truyền liệu cần thiết phải thiết lập liên kết logic thực thể tầng Cịn với phương thức khơng liên kết không cần lập liên kết logic đơn vị liệu truyền độc lập với đơn vị liệu trước sau nó.

1.4.1 Có kết nối (Connection Oriented)

Với phương thức có kết nối, q trình truyền liệu phải trải qua ba giai đoạn theo thứ tự thời gian

 Thiết lập kết nối: hai thực thể đồng mức hai hệ thống thương lượng với tập tham số sử dụng giai đoạn sau

 Truyền liệu: liệu truyền với chế kiểm soát quản lý

 Huỷ bỏ kết nối (logic): giải phóng tài nguyên hệ thống cấp phát cho liên kết để dùng cho liên kết khác

Tương ứng với ba giai đoạn trao đổi, ba thủ tục sử dụng, chẳng hạn tầng N có: N-CONNECT ( thiết lập liên kết ), N-DATA(Truyền liệu ), N-DISCONNECT (Huỷ bỏ kết nối) Ngồi cịn số thủ tục phụ sử dụng tuỳ theo đặc điểm, chức tầng Ví dụ:

 Thủ tục N-RESTART sử dụng để khởi động lại hệ thống tầng  Thủ tục T-EXPEDITED DATA cho việc truyền liệu nhanh tầng  Thủ tục S-TOKEN GIVE để chuyển điều khiển tầng

Mỗi thủ tục dùng hàm nguyên thuỷ (Request, Indication, Re-sponse, Confirm) để cấu thành hàm giao thức ISO.

1.4.2 Không kết nối (Connectionless)

Đối với phương thức không kết nối có giai đoạn là: truyền liệu

So sánh hai phương thức hoạt động thấy phương thức hoạt động có kết nối cho phép truyền liệu tin cậy, có chế kiểm sốt quản lý chặt chẽ kết nối logic Nhưng mặt khác phức tạp khó cài đặt Ngược lại, phương thức khơng kết nối cho phép PDU (Protocol Data Unit) truyền theo nhiều đường khác để đến đích, thích nghi với thay đổi trạng thái mạng, song lại trả giá khó khăn gặp phải tập hợp PDU để di chuyển tới người sử dụng

Hai tầng kề khơng thiết phải sử dụng phương thức hoạt động mà dùng hai phương thức khác nhau.

1.5 Bộ giao thức TCP/IP

Mơ hình OSI mơ hình tham chiếu tổ chức ISO xây dựng nhằm tạo chuẩn phục vụ việc nối kết hệ thống mở Tuy nhiên, nhiều lý khác mà OSI không sử dụng thực tế mà thay vào sử

dụng rộng rãi mơ hình kiến trúc mạng (bộ giao thức) TCP/IP Hầu tất hệ điều hành có cài đặt giao thức TCP/IP Trong phần giới thiệu sơ lược mơ hình TCP/IP.

1.5.1 Khái niệm

Bộ giao thức TCP/IP, ngắn gọn TCP/IP (tiếng Anh: Internet protocol suite IP suite TCP/IP protocol suite - giao thức liên mạng), giao thức truyền thông cài đặt chồng giao thức mà Internet hầu hết mạng máy tính thương mại chạy Bộ giao thức đặt tên theo hai giao thức TCP (Giao thức Điều khiển Giao vận) IP (Giao thức Liên mạng) Chúng hai giao thức định nghĩa.

Như nhiều giao thức khác, giao thức TCP/IP coi tập hợp tầng, tầng giải tập vấn đề có liên quan đến việc truyền liệu, cung cấp cho giao thức tầng cấp dịch vụ định nghĩa rõ ràng dựa việc sử dụng dịch vụ tầng thấp Về mặt lôgic, tầng gần với người dùng làm việc với liệu trừu tượng hơn, chúng dựa vào giao thức tầng cấp để biến đổi liệu thành dạng mà cuối truyền cách vật lý.

1.5.2 Mục đích nguồn gốc

Giao tiếp thơng tin trở thành nhu cầu thiếu tất lĩnh vực hoạt động Mạng máy tính tính đời phần đáp ứng nhu cầu Phạm vi lúc đầu mạng bị hạn chế nhóm làm việc, quan, cơng ty khu vực Tuy nhiên thực tế của nhu cầu cần trao đổi thông tin nhiều lĩnh vực khác nhau, nhiều chủ đề khác nhau, tổ chức, quan khơng có giới hạn Vì nhu cầu cần kết nối mạng khác tổ chức khác để trao đổi thông tin thực cần thiết Nhưng thật không may hầu hết mạng công ty, quan thực thể độc lập, thiết lập để phục vụ nhu cầu trao đổi thông tin thân tổ chức Các mạng có

thể xây dựng từ kĩ thuật phần cứng khác để phù hợp với vấn đề giao tiếp thông tin riêng họ Điều cản trở cho việc xây dựng mạng chung, khơng có kĩ thuật phần cứng riêng đủ đáp ứng cho việc xây dựng mạng chung thoả mãn nhu cầu người sử dụng Người sử dụng cần mạng tốc độ cao để nối máy, mạng mở rộng khoảng cách lớn Nhu cầu kỹ thuật mà kết nối nhiều mạng vật lý có cấu trúc khác hẳn thật cần thiết Nhận thức điều đó, trình phát triển mạng ARPANET mình, tổ chức ARPA ( Advanced Research Projects Agency) tập trung nghiên cứu nhằm đưa kỹ thuật thoả mãn yêu cầu Kỹ thuật ARPA bao gồm thiết lập chuẩn mạng xác định rõ chi tiết việc làm để máy tính truyền thông với thiết lập quy ước cho kết nối mạng, lưu thông chọn đường Kỹ thuật phát triển đầy đủ đưa với tên gọi xác TCP/IP Iternet Protocol Suit thường gọi tắt TCP/IP Dùng TCT/IP người ta kết nối tất mạng bên công ty họ kết nối mạng công ty, tổ chức khác với nhau.

Bộ giao thức TCP/IP gồm nhiều giao thức phần làm tầng sau:

Các tầng giao thức TCP/IP

1.5.3 Đặc điểm

 Là giao thức chuẩn mở sẵn có, vì: khơng thuộc sở hữu tổ chức nào; đặc tả sẵn có rộng rãi Vì xây dựng phần mềm truyền thơng qua mạng máy tính dựa nó.

 TCP/IP độc lập với phần cứng mạng vật lý, điều cho phép TCP/IP dùng để kết nối nhiều loại mạng có kiến trúc vật lý khác như: Ethernet, Tokenring, FDDI, X25, ATM (Trong phạm vi đề tài ta xét tới Ethernet).

 TCP/IP dùng địa IP để định danh host mạng tạo mạng ảo thống kết nối mạng.

 Các giao thức lớp cao chuẩn hố thích hợp sẵn có với người dùng.

1.6 So sánh TCP/IP OSI

Do nhiều nguyên nhân lịch sử, chi phí… nên giao thức TCP/IP sử dụng lâu trước mơ hình OSI đời Cũng nên mơ hình OSI khơng sử dung rộng rãi thực tế mà mơ hình học thuật dùng để so sánh với mơ hình thực tế TCP/IP Hai có liên quan nhiều, song khơng phải hồn toàn giống Điểm khác biệt dễ thấy số lượng tầng cấp Trong giao thức TCP/IP có (hoặc tầng) mơ hình OSI có tới tầng với khác biệt tầng mới: tầng phiên tầng trình diễn Nhiều so sánh gộp tầng vào tầng ứng dụng giao thức TCP/IP Hình vẽ sau so sánh tầng tương ứng lẫn OSI TCP/IP:

Tương ứng tầng TCP/IP OSI

 Trong mơ hình OSI nhấn mạnh độ tin cậy cung cấp dịch vụ chuyển liệu TCP/IP coi độ tin cậy nằm vấn đề end to end.

 Trong mơ hình OSI tất tầng có phát kiểm tra lỗi, tầng giao vận làm nhiệm vụ kiểm tra độ tin cậy source – to – destination Còn giao thức TCP/IP tầng giao vận làm nhiệm vụ kiểm tra phát sửa lỗi

 Mơ hình OSI xây dựng trước giao thức xây dựng, có tính tổng qt cao dùng đẻ mơ tả mơ hình khác Ngược lại, giao thức TCP/IP mơ hình để nhóm miêu tả giao thức sẵn có thực tế Vì giao thức TCP/IP sử dụng rộng rãi thực tế mơ hình OSI lại phù hợp với mục đích học tập giảng dạy.

2 Bộ giao thức TCP/IP – Các giao thức khuôn dạng liệu chính2.1 Cấu trúc phân tầng TCP/IP

Như ta nói phần trên, TCP/IP mơ hình mở để kết nối mạng, Do vậy, thiết kế theo kiến trúc phân tầng tương tự mô hình OSI Bộ giao thức TCP/IP thiết kế gồm tầng mơ tả theo hình dưới:

Bộ giao thức TCP/IP

2.2 Đóng gói liệu TCP/IP

Bộ giao thức TCP/IP dùng đóng gói liệu nhằm trừu tượng hóa giao thức dịch vụ, nói cách khác giao thức tầng cao sử dụng giao thức tầng thấp nhằm đạt mục đích cách đóng gói liệu giống ví dụ hình sau:

Những tầng đỉnh gần với người sử dụng hơn, tầng thấp gần với thiết bịtruyền thông Trong tầng nhóm nhiều giao thức, có giao thứcđể phục vụ tầng giao thức sử dụng dịch vụ tầng (ngoạitrừ tầng đỉnh tầng đáy) Bảng sau liệt kê số giao thức tầng:

Tầng Giao Thức

DNS, TFTP, TLS/SSL, FTP, Gopher, HTTP, IMAP, IRC, NNTP, POP3, SIP, SMTP,SMPP, SNMP, SSH, Telnet, Echo, RTP, PNRP, rlogin, ENRP

Transport TCP, UDP, DCCP, SCTP, IL, RUDP, RSVP Internet IP (IPv4, IPv6), ICMP, IGMP, ICMPv6 Link ARP, RARP, OSPF (IPv4/IPv6), IS-IS, NDP

Một số giao thức tầng TCP/IP

2.3 Sơ lược chức tầng

2.3.1 Tầng ứng dụng (Application Layer)

Đây tầng cao cấu trúc phân lớp TCP/IP Tầng bao gồm tất chuơng trình ứng dụng sử dụng dịch vụ sẵn có thơng qua chồng giao thức TCP/IP Các chương trình ứng dụng tương tác với giao thức tầng giao vận để truyền nhận liệu Mỗi chương trình ứng dụng lựa chọn kiểu giao thức thích hợp cho cơng việc Chương trình ứng dụng chuyển liệu theo mẫu mà tầng giao vận yêu cầu.

2.3.2 Tầng giao vận (Transport Layer)

Nhiệm vụ trước tiên tầng giao vận cung cấp giao tiếp thơng tin chương trình ứng dụng Mỗi giao tiếp gọi end-to-end Tầng

giao vận điều chỉnh lưu lượng luồng thơng tin Nó cung cấp vận chuyển tin cậy, đảm bảo liệu đến mà không bị lỗi Để làm vậy, phần mềm giao thức hỗ trợ để bên nhận gửi lại thông báo xác nhận việc thu liệu bên gửi truyền lại gói tin bị bị lỗi Phần mềm giao thức chia dòng liệu thành đơn vị liệu nhỏ (thường gọi Packets) chuyển packet với địa đích tới tầng để tiếp tục trình truyền dẫn.

2.3.3 Tầng Internet (Internet Layer)

Tầng mạng xử lý giao tiếp thông tin từ máy tới máy khác Nó chấp nhận yêu cầu để gửi gói từ từ tầng giao vận với định danh máy đích mà gói tin gửi tới Ví dụ với giao thức TCP hay UDP tầng giao vận, bọc gói tin IP Datagram, điền đầy vào phần header, sử dụng giải thuật chọn đường để định giao phát gói tin trực tiếp gửi tới Router, chuyển datagram tới giao diện phối ghép mạng thích hợp cho việc truyền dẫn.tầng mạng xử lý Datagram đến, kiểm tra tính hợp lệ chúng, sử dụng giải thuật chọn đường đẻ định datagram xử lý cục chuyển tiếp Đối với datagrams có địa đích cục bộ, phần mềm tầng mạng xố phần header datagram đó, chọn số giao thức tầng giao vận giao thức thích hợp để xử lý packet.

2.3.4 Tầng liên kết (Link Layer)

Là tầng thấp giao thức TCP/IP, chịu trách nhiệm việc chấp nhận datagram tầng (ví dụ IP datagram) việc truyền phát chúng mạng xác định Theo quan điểm mô hình TCP/IP khơng cịn bao gồm đặc tả vật lý, nói cách khác tầng liên kết khơng cịn bao gồm vấn đề phần cứng hay việc truyền tín hiệu vật lý nữa.

2.4 Các giao thức khn dạng liệu tương ứng

Trong phần ta xem xét giao thức khn dạng liệu giao thức TCP/IP Để dễ phân biệt ta xem xét tầng TCP/IP theo thứ tự từ lên trên.

2.4.1 Ethernet

Là giao thức nằm tầng liên kết chuẩn công nghệ dành cho mạng cục (LAN) quy định IEEE 802.3 Nó giao thức nằm tầng liên kết giao thức TCP/IP hay tương ứng tầng liên kết liệu mơ hình OSI Hiện sử dụng rộng rãi so với giao thức khác FDDI, Token Ring…Ethernet dùng để gửi khối liệu điểm nguồn điểm đích xác định dựa vào địa MAC (Media Access Control).

Đặc điểm giao thức Ethernet

Cấu trúc đơn vị liệu giao thức Ethernet (gọi Ethernet frame) có cấutrúc sau: (đơn vị tính theo byte).

PRE SOF DA SA Length/Type Data

o Preamble (PRE): Phần mở đầu gồm byte khơng tính vào kích thước Ethernet Tất byte phần mở đầu có giá trị 10101010 dùng để đồng đồng hồ nơi nhận gửi frame.

o SOF (Start frame delimiter) gồm byte không tính vào kích thước Ethernet Byte có giá trị 101010111 sử dụng để đánh dấu bắt đầu một

frame Đối với hệ thống Ethernet hoạt động tốc độ 100 Mbps 1000Mbps khơng cịn cần tới PRE SOF.

o DA (Destination Address) có độ dài byte địa nơi MAC Ethernet card nơi đến Ở chế độ hoạt động bình thường Ethernet tiếp nhấn frame có địa nơi đến trùng với địa (duy nhất) địa nơi đến thể thông điệp quảng bá Tuy nhiên hầu hết Ethernet card đặt chế độ đa hỗn tạp (promiscuous mode) nhận tất frame xuất mạng LAN.

o SA (Source Addresss) có độ dài byte địa MAC card nguồn.

o Length/Type (Độ dài/Loại) byte độ dài (đối với IEEE 802.3 MAC frame) loại Ethernet frame giao thức tầng cao (đối với DIX Ethernet.(DEC-Intel – Xerox) – phổ biến hơn) Ví dụ với DIX Ether-net frame có giao thức tầng IP byte có giá trị 0800h ARP 0806h.

 Data Payload: Phần thông tin liệu có độ dài từ 46 tới 1500 byte

 Trailer (FCS - Frame Check Sequence): 32 bit sửa lỗi CRC Ethernet sử dụng phương thức truy nhập đường truyền CSMA/CD, frame lỗi xảy xung đột (collision) đường truyền tránh khỏi Tuy nhiên, tỉ lệ frame lỗi vượt mức nào

đó (ví dụ 1% tổng số frame) có nghĩa hệ thống mạng có vấn đề Những Ethernet frame lỗi bao gồm:

 Frame có độ lớn nhỏ 64 byte (normal collision – xảy phổ biến).

 Frame có độ lớn lớn 1518 byte.

 Frame có độ lớn phù hợp có phần CRC bị sai lệch (late collision – có nhiều frame dạng tức hệ thống mạng gặp vấn đề nghiêm trọng).

2.4.2 ARP (address resolution protocol)

Giao thức phân giải địa ARP phương pháp tìm địa tầng liên kết (hay địa vật lý) biết địa tầng Internet (IP) vài kiểu địa tầng mạng khác ARP sử dung không để chuyển đổi địa IP Ethernet mà cài đặt để làm việc với nhiều loại địa tầng loại mạng khác Tuy nhiên, phổ biến IPv4 Ether-net nên ARP chủ yếu dùng để chuyển đổi từ địa IP thành địa MAC Nó sử dụng IP dựa công nghệ LAN khác Ethernet FDDI, Token Ring, IEEE 802.11 hay ATM.

Trong thực tế, truyền thơng với máy chủ thay truy vấn địa vật lý máy chủ, giao thức ARP sử dụng đệm ARP (ARP cache) Bộ đệm lưu trữ địa IP gần phân giải Nếu địa MAC địa IP đích tìm thấy đệm địa sử dụng để

0 Hardware type (HTYPE) Protocol type (PTYPE)

32 Hardware length (HLEN) Protocol length(PLEN) Operation(OPER)

64 Sender hardware address (SHA)

96 Sender hardware address(SHA) Sender protocol address (SPA)

128 Sender protocol address (SPA) Target hardware address

Cấu trúc đơn vị liệu ARP

 Hardware type (HTYPE) Mỗi giao thức tầng liên kết (link layer) gán số để phân biệt (ví dụ Ethernet 1)

 Protocol type (PTYPE) Dùng để phân biệt giao thức tầng Internet, ví dụ với IP 0x0800.

 Hardware length (HLEN) Độ dài tính theo byte địa vật lý Đối với Ethernet giá trị 6.

 Protocol length (PLEN) Độ dài tính theo byte địa logic Đối với IP giá trị

 Operation Xác định hành động mà bên gửi gói tin thực hiện: cho request, cho reply, cho RARP request cho RARP reply  Sender hardware address (SHA) Địa vật lý trạm gửi.

 Sender protocol address (SPA) Địa logic trạm gửi (ví dụ địa IP).

 Target hardware address (THA) Địa vật lý trạm đích Trường để trống gói tin request.

 Target protocol address (TPA) Địa logic trạm đích.

2.4.3 RARP (reserve address resolution protocol)

Là giao thức ngược lại so với ARP, tìm địa logic biết địa vật lý Cấu trúc đơn vị liệu giao thức RARP hoàn toàn tương tự ARP, ngoại trừ trường Operation Đối với gói liệu ARP Operation có giá trị request, reply Đối với gói liệu RARP Operation có giá trị request reply.

2.4.4 IP (internet protocol)

Giao thức liên mạng IP hạt nhân giao thức TCP/IP Trong phạm vi đề tài xét tới IP phiên (IPv4) IP giao thức hướng liệu sử dụng mạng chuyển mạch gói (ví dụ Ethernet) IP giao thức hoạt động theo phương thức không liên kết (connectionless) khơng đảm bảo truyền (khơng có trao đổi thơng tin điều khiển) Vai trò IP tương tự vài trò giao thức tầng mạng (network layer) mơ hình OSI với chức sau:

 Xác định lược đồ địa Internet.

 Di chuyển liệu tầng giao vận tầng liên kết  Dẫn đường cho đơn vị liệu tới trạm xa  Thực việc cắt hợp đơn vị liệu.

Giao thức IP bổ sung phần header vào trước segment gửi từ tầng giao vận xuống đơn vị liệu giao thức TCP/IP gọi IP packet hình sau:

Đơn vị liệu giao thức IP có cấu trúc sau:

0 Version Headerlength Differentiated Services Total Length

Cấu trúc đơn vị liệu IP Trong phần header bao gồm thành phần:

 Version: phiên hành IP cài đặt (có giá trị IPv4).

 Internet Header Length (IHL) Chỉ độ dài phần đầu IP packet, tính theo đơn vị từ (word = 32 bit) Độ dài tối thiểu từ (20 byte).

Differentiated Services (DS): Trước gọi Type of Services đặc tả tham số dịch vụ, có dạng cụ thể sau:

Với ý nghĩa bit cụ thể:

 Precedebce (3 bit): quyền ưu tiên cụ thể 111 - Network Control, 110 Internetwork Control, 101 CRITIC/ECP, 100 Flash Override, 011 -Flash, 010 - Immediate, 001 - Priority, 000 – Routine.

 D (Delay) (1 bit): độ trễ yêu cầu D = độ trễ bình thường, độ trễ thấp.

 T (Throughput) (1 bit): thông lượng yêu cầu T = thơng lượng bình thường, thơng lượng cao.

 R (Reliability) (1bit) độ tin cậy yêu cầu R = độ tin cậy bình thường, độ tin cậy cao.

 C (Cost) (1bit) hao phí C = normal cost, minimize cost  Reserved (1bit) để dành.

 Total Length trường 16 bit độ dài toàn datagram bao gồm phần header phần data tính theo byte có giá trị lớn 65535

o DF: (May Fragment); (Don’t Fragment) o MF: (Last Fragment); (More Fragment).

 Fragment Offset vị trí đoạn (fragment) datagram tính theo đơn vị 64 bit, có nghĩa đoạn (trừ đoạn cuối cùng) phải chứa vùng liệu có độ dài bội số 64 bit.

 Time To Live (TTL) (8 bit): quy định thời gian tồn (tính giây) datagram liên mạng để tránh tình trạng datagram bị lặp vô hạn liên mạng Thời gian cho trạm gửi giảm (thường quy ước đơn vị) datagram qua router liên mạng.

 Protocol (8 bit): giao thức tầng nhận vùng liệu trạm đích (hiện thường TCP UDP cài đặt IP).

 Header Checksum (16 bit): mã kiểm soát lỗi 16 bit theo phương pháp CRS, dành cho phần header.

 Source address (32 bit): địa trạm nguồn  Destination address (16 bit): địa trạm đích.

 Options (độ dài thay đổi): khai báo lựa chọn người dùng yêu cầu (tùy theo chương trình).

 Padding (độ dài thay đổi): vùng đệm dùng để đảm bảo cho phần header kết thúc mốc 32 bits.

 Data (độ dài thay đổi): vùng liệu có độ dài bội số bit tối đa 65535 byte.

2.4.5 ICMP (internet control message protocol)

Giao thức ICMP cung cấp chế thơng báo lỗi tình khơng mong muốn điều khiển thông báo giao thức TCP/IP Giao thức tạo để thông báo lỗi dẫn đường cho trạm nguồn ICMP phụ thuộc vào IP để hoạt động phần thiếu giao thức TCP/IP, nhiên khơng phải giao thức dùng để truyền tải liệu nên thường coi nằm tầng Internet (Internet layer) mà tầng giao vận (transport layer).

Chức ICMP sau:

 Cung cấp thông báo phản hồi trả lời để kiểm tra độ tin cậy kết nối giữ hai trạm Điều thiết lập câu lệnh PING (Packet in-ternet gropher).

 Địch hướng lại lưu lượng để cung cấp việc dẫn đường hiệu dẫn đường tải dõ lưu lượng qua lớn.

 Gửi thông báo thời gian datagram trạm nguồn vượt TTL bị loại bỏ.

 Gửi quảng cáo dẫn đường để xác định địa dẫn đường đoạn mạng.

 Cung cấp thông báo hạn thời gian.

Xác định subnet mask sử dụng đoạn mạng.

Dữ liệu gói ICMP đóng gói giao thức IP Ethernet hình vẽ sau:

Đơn vị liệu ICMP bao gồm phần: Header Data Phần Data Window có độ lớn 32 theo sau phần Header Header bắt đầu sau bit thứ 160 gói tin IP (trừ phần IP Option sử dụng) có cấu trúc sau:

Trong đó:

Type (8 bit): Loại gói tin ICMP.

Code (8 bit): Chi tiết đặc điểm gói tin ICMP  Checksum( 16 bit) Mã sửa lỗi CRC.

 ID & Sequence (32 bit): Có giá trị trường hợp ICMP Echo Re-quest Echo Reply.

bit 160 – 167 168 – 175 176 – 183 184 – 191

2.4.6 TCP (Transmission Control Protocol)

Giao thức điều khiển truyền TCP giao thức hoạt động theo phương thức có liên kết (connection – oriented) Trong giao thức TCP/IP, giao thức trung gian IP ứng dụng phía trên, đảm bảo liệu trao đổi cách tin cậy thứ tự Các ứng dụng gửi dòng gồm byte bit tới TCP để gửi qua mạng TCP phân chia dịng thành đoạn (segment) có kích thước thích hợp (thường dựa theo kích thước đơn vị truyền dẫn tối đa MTU tầng liên kết mạng mà máy tính nằm Sau TCP chuyển gói tin thu tới IP để thực chuyển qua liên mạng tới modul TCP máy tính đích Trong q trình này, có chế bắt tay, điều khiển truyền, đánh số thứ tự sửa lỗi để việc truyền dẫn diễn đắn xác.

Đơn vị liệu TCP gọi segment (đoạn liệu) bao gồm phần: Header Data, miêu tả hình sau:

 Source port (16 bit): Số hiệu cổng trạm nguồn  Destination port (16 bit): Số hiệu cổng trạm đích.

 Sequence number (32 bit): Trường có nhiệm vụ Nếu cờ SYN bật số hiệu khởi đầu (ISN) byte liệu ISN + Nếu khơng có cờ SYN số hiệu byte segment.

 Acknowledgement number (32 bit): Số hiệu segment mà trạm nguồn chờ để nhận Ngầm ý báo nhận tốt (các) segment mà trạm đích gửi cho trạm nguồn.

 Data offset (4 bit): Qui định độ dài phần header (tính theo đơn vị từ 32 bit) Phần header có độ dài tối thiểu từ (160 bit) tối đa 15 từ (480 bit).

 Reserved (6 bit): Dành cho tương lai có giá trị 0.

 Flags (hay Control bits): Bao gồm cờ từ trái sang phải sau: o URG: Cờ cho trường Urgent pointer

o ACK: Cờ cho trường Acknowledgement o PSH: Hàm Push

RST: Thiết lập lại đường truyền

SYN: Đồng lại số hiệu (sequene number) o FIN: Khơng cịn liệu từ trạm nguồn.

 Window (16 bit): Số byte trạm nguồn nhận giá trị trường báo nhận (ACK).

 Checksum: 16 bit kiểm tra cho phần header liệu.

 Urgent pointer (16 bit): Trỏ tới số hiệu byte theo sau liệu khẩn, cho phép bên nhận biết độ dài vùng liệu khẩn Vùng có hiệu lực cờ URG thiết lập.

 Options (độ dài thay đổi): Đây trường tùy chọn.

 Padding (độ dài thay đổi): Phần chèn thêm vào header để bảo đảm phần header kết thúc mốc 32 bit Phần thêm gồm toàn số  TCP data (độ dài thay đổi): Chưa liệu tầng trên, có độ dài ngầm

định 536 byte Giá trị điều chỉnh cách khai báo vùng options.

2.4.7 UDP (User Datagram Protocol)

Đây giao thức “không liên kết” sử dụng thay IP theo yêu cầu ứng dụng Khác với TCP, UDP khơng có chức thiết lập giải phóng liên kết Nó không cung cấp chế báo nhận, không xếp đơn vị liệu đến dẫn tới tình trạng liệu trùng mà khơng có thơng báo lỗi cho người gửi Tóm lại cung cấp dịch vụ giao vận khơng tin cậy TCP Do chức phức tạp nên UDP có xu hoạt động nhanh so với TCP Nó thường dùng cho ứng dụng khơng địi hỏi độ tin cậy cao giao vận.

Cấu trúc đơn vị liệu UDP sau:

 Source port (16 bit): Trường xác định cổng trạm gửi có ý nghĩa muốn nhận thông tin phản hồi từ người nhận Nếu khơng dùng đến đặt 0.

 Destination port (16 bit): Trường xác định cổng trạm nhận thông tin, trường cần thiết.

 Length (16 bit): Xác định chiều dài toàn datagram: phần header liệu Chiều dài tối thiểu byte gói tin khơng có liệu, có header.

 Checksum (16 bit): Trường checksum 16 bit dùng cho việc kiểm tra lỗi phần header liệu.

2.4.8 HTTP (Hypertext Transfer Protocol)

Là giao thức tầng ứng dụng dựa giao thức TCP tầng giao vận cổng số 80 hỗ trợ Web Trong giao thức đối tượng liệu (trang web, ảnh, audio ) truyền phiên (HTTP session) riêng biệt Phần liệu đưa xuống tầng giao vận chuyển thành TCP packet để gửi cho trạm nhận.

Để bắt đầu phiên, client thiết lập kết nối tới server cách gửi TCP packet với cờ SYN bật tới cổng 80 Server gửi trả lại packet với cờ ACK bật Cuối cùng, client gửi packet với cờ ACK tiếp tục

re-quest đối tượng cần Ví dụ GET /index.html HTTP/1.1

Server phản hồi cho client với mã trạng thái, ví dụ “200 OK”, “403 Forbbiden”, “404 Not Found” Sau server gửi packet đóng kết nối.

2.4.9 DNS (Domain Name System)

Là giao thức cho phép ánh xạ tên miền địa IP làm việc giao thứcUDP tầng giao vận (hầu hết cổng 53) Cấu trúc liệu phần header DNS mes-sage sau:

bit – 15 16 17 –20 21 22 23 24 25 –27 29 –31

Cấu trúc header gói tin DNS Trong đó:

 ID: Là trường 16 bits, chứa mã nhận dạng, tạo chương trình để thay cho truy vấn Gói tin hồi đáp dựa vào mã nhận dạng để hồi đáp lại Chính mà truy vấn hồi đáp phù hợp với nhau.

 QR: Là trường bit Bít thiết lập gói tin truy vấn, thiết lập gói tin hồi đáp.

 Opcode: Là trường bits, thiết lập cho cờ hiệu truy vấn, thiết lập cho truy vấn ngược, thiết lập cho tình trạng truy vấn.

 AA: Là trường bit, gói tin hồi đáp thiết lập 1, sau đến server có thẩm quyền giải truy vấn.

 TC: Là trường bit, trường cho biết gói tin có bị cắt khúc kích thước gói tin vượt q băng thơng cho phép hay không.

 RD: Là trường bit, trường cho biết truy vấn muốn server tiếp tục truy vấn cách đệ qui.

 RA: Trường bit cho biết truy vấn đệ qui có thực thi server không

 Z: Là trường bit Đây trường dự trữ, thiết lập  Rcode: Là trường bits, gói tin hồi đáp nhận giá trị sau :

o 0: Cho biết khơng có lỗi q trình truy vấn 1: Cho biết định dạng gói tin bị lỗi, server không hiểu truy vấn.

2: Server bị trục trặc, không thực hồi đáp được.

3: Tên bị lỗi Chỉ có server có đủ thẩm quyền thiết lập giá trị náy o 4: Không thi hành Server thực chức o 5: Server từ chối thực thi truy vấn.

 QDcount: Số lần truy vấn gói tin vấn đề  ANcount: Số lượng tài nguyên tham gia phần trả lời.

 NScount: Chỉ số lượng tài nguyên ghi lại phẩn có thẩm quyền gói tin.

 ARcount: Chỉ số lượng tài nguyên ghi lại phần thêm vào gói tin.

CHƯƠNG II KỸ THUẬT CHẶN BẮT1 Tổng Quan Về Chặn Bắt Gói Tin (Sniffer)

1.1 Các khái niệm liên quan

 Packet đơn vị liệu định dạng để lưu chuyển mạng  Network Traffic lưu lượng thông tin vào/ra hệ thống mạng Để có thể

đo đạc, kiểm sốt Network Traffic ta cần phải chặn bắt gói tin (Packet capture).

 Packet capture hành động chặn bắt packet liệu lưu chuyển mạng Packet capture gồm có:

o Deep Packet Capture (DPC): hành động chặn bắt toàn gói tin mạng (bao gồm phần header payload) Các gói tin chặn bắt lưu trữ lại nhớ tạm thời lâu dài.

o Deep Packet Inspection (DPI): trình kiểm tra, đánh giá để tìm nguyên nhân vấn đề mạng, xác định nguy an toàn bảo mật, chắn mạng hoạt động xác kỹ thuật luật pháp.

o DPC DPI kết hợp với nhằm quản lý, đánh giá, phân tích luân chuyển gói tin mạng đồng thời lưu giữ lại thơng tin cho mục đích khác sau này.

 Trong thực tế packet capture ghi lại header mà khơng cần lưu giữ tồn phần nội dung payload Nhờ vậy, ta giảm yêu cầu nhớ dùng để lưu trữ, tránh vấn đề pháp luật có đầy đủ thông tin cần thiết nhất.

 Packet Analyzer (Sniffer) phần mềm phần cứng máy tính gắn vào mạng máy tính để theo dõi thông tin lưu chuyển

(network traffic) mạng hay phần mạng Sniffer có nhiệm vụ chặn bắt gói tin (packet), sau giải mã, phân tích nội dung nhằm thực mục đích khác nhau.

1.2 Ứng dụng sniffer

1.2.1 Khả năng

 Đối với mạng LAN có dây phụ thuộc vào cấu trúc mạng (sử dụng hub hay switch) ta chặn bắt tồn hay phần thông tin mạng từ nút nằm mạng Đối với hub ta chặn bắt tất gói tin truyền tải qua mạng, switch cần phải có số phương thức đặc biệt ARP snoofing  Đối với mạng LAN khơng dây gói tin chặn bắt các

kênh riêng biệt.

 Để máy chặn bắt thơng tin mạng nó, network adapter phải đặt promiscuous mode.

1.2.2 Mục đích

Thường có dạng chính: dùng để kiểm tra bảo trì mạng dạng dùng để xâm nhập mạng Chúng sử dụng cho mục đích:

 Phân tích hiệu làm việc cố mạng.

 Nhận biết xâm nhập mạng, rị rỉ thơng tin, lấy thơng tin liên quan tới q trình xâm nhập.

 Quản lý sử dụng mạng.

 Tập hợp thông tin báo cáo trạng thái mạng  Sửa lỗi, bảo trì hình thái, giao thức mạng.

 Lọc lấy thơng tin cần thiết lưu chuyển mạng, đưa dạng phù hợp để người đọc.

 Chặn bắt thông tin nhạy cảm mật khẩu, username người dùng khác mạng nhằm xâm nhập hệ thống họ.

1.3 Các chương trình sniffer có

Hiện có nhiều chương trình miễn phí thương mại thực việc chặn bắt phân tích gói tin Một số chương trình như:

 Tcpdump (http://www.tcpdump.org/) Unix Windump 2.1 Theo dõi Network Traffic

Trong phạm vi báo cáo thực tập tốt nghiệp xét tới mơi trường mạng có dây WindowXP, hay xác phạm vi chuẩn Ethernet Ethernet xây dựng dựa khái niệm chia sẻ Tất máy mạng nội chia sẻ chung đường dây Điều tất máy mạng “nhìn thấy” traffic đường dây Do đó, phần cứng Ethernet có lọc (“filter”) bỏ qua tất traffic dành cho (bằng cách bỏ qua tất frame có địa chỉ

MAC không phù hợp) Để khắc phục, sniffer phải có chế tắt “filter” trên, đưa phần cứng Ethernet vào chế độ hỗn tạp (“promiscuous mode)”

2.2 Phân tích Network Traffic

Khi liệu gửi đường dây, chia nhỏ, đóng gói thành nhiều packet gửi cách riêng biệt Sniffer chương trình chặn bắt packet này.

Sau tiến hành chặn bắt thành công gói tin, có packet mang thông tin Tuy nhiên, để lấy thông tin cần thiết phục vụ cho mục đích khác nhau, phải thực việc phân tích gói tin (Packet Analysis).

Các giao thức sniffing như: Ethernet, IPv4, IPv6, ARP/RARP, TCP, UDP, ICMPv4, telnet, rlogin, http, SMNP, NNTP, POP, FTP, IMAP Ví dụ phân tích gói tin:

Dưới 512 byte liệu gói tin Ethernet dạng Hex ta sử dụng trình duyệt để duyệt trang web