Phân Tích Gói Tin TCP/IP Sử Dụng Phần Mềm Wireshark

Bài viết hướng dẫn phân tích gói tin TCP/IP bằng phần mềm Wireshark, giúp sinh viên hiểu rõ về mạng máy tính và ứng dụng thực tiễn.

Chuyên ngành

Mạng Máy Tính

Người đăng

Ẩn danh

Thể loại

Bài Tập Lớn

2023

77
6
0

Phí lưu trữ

30 Point

Mục lục chi tiết

MỤC LỤC

DANH MỤC CÁC TỪ VIẾT TẮT

DANH MỤC BẢNG BIỂU VÀ SƠ ĐỒ

1. CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI

1.1. Phân công công việc

2. CHƯƠNG 2: TỔNG QUAN VỀ WIRESHARK

2.1. Giới thiệu về Wireshark

2.1.1. Wireshark là gì?

2.1.2. Mục đích sử dụng Wireshark là gì?

2.1.3. Tính năng của Wireshark

2.1.4. Cách chụp gói tin bằng Wireshark

2.1.5. Cách thu thập gói tin

2.1.6. Mã màu

2.1.7. Thu thập gói tin mẫu

2.1.8. Lọc gói tin

2.1.9. Cách đọc gói tin trong Wireshark

2.1.10. Phân tích gói tin

2.2. Nội dung cơ bản về mô hình TCP/IP

2.2.1. TCP/IP là gì?

2.2.2. Ưu điểm và nhược điểm của TCP/IP

2.2.3. Vai trò của TCP và IP

2.2.4. Cách thức hoạt động của giao thức TCP/IP

2.2.5. Các tầng trong mô hình TCP/IP

2.2.6. Ứng dụng của giao thức TCP/IP là gì?

2.3. Cấu trúc gói tin IP

2.4. Phân tích các giao thức theo các lớp của mô hình TCP/IP

2.4.1. Phân tích DNS theo các lớp của mô hình TCP/IP

2.4.2. Phân tích DHCP theo các lớp của mô hình TCP/IP

2.4.3. Phân tích ICMP theo các lớp của mô hình TCP/IP

2.4.4. Phân tích Ethernet theo các lớp của mô hình TCP/IP

2.4.5. Phân tích ARP theo các lớp của mô hình TCP/IP

2.4.6. Phân tích IP theo các lớp của mô hình TCP/IP

3. CHƯƠNG 3: PHÂN TÍCH GÓI TIN VỚI PHẦN MỀM WIRESHARK

3.1. Cài đặt Wireshark

3.2. Phân tích các gói tin dùng phần mềm Wireshark

3.2.1. Phân tích DNS theo các lớp của mô hình TCP/IP

4. CHƯƠNG 4: KẾT LUẬN

4.1. Kết quả đạt được

4.2. Hướng phát triển

Danh mục sách tham khảo

Tóm tắt

I. Tổng Quan Về Phân Tích Gói Tin TCP IP Sử Dụng Wireshark

Phân tích gói tin TCP/IP là một phần quan trọng trong việc hiểu và quản lý lưu lượng mạng. Sử dụng phần mềm Wireshark, người dùng có thể theo dõi và phân tích các gói tin một cách chi tiết. Wireshark không chỉ giúp phát hiện các vấn đề mạng mà còn hỗ trợ trong việc bảo mật thông tin. Việc nắm vững cách sử dụng Wireshark sẽ mang lại nhiều lợi ích cho các chuyên gia mạng.

1.1. Wireshark Là Gì Và Tại Sao Nên Sử Dụng

Wireshark là phần mềm phân tích gói tin mạng mạnh mẽ, cho phép người dùng theo dõi và phân tích lưu lượng mạng. Nó hỗ trợ nhiều giao thức và cung cấp thông tin chi tiết về các gói tin, giúp người dùng phát hiện và khắc phục sự cố mạng hiệu quả.

1.2. Lợi Ích Của Việc Phân Tích Gói Tin TCP IP

Phân tích gói tin TCP/IP giúp phát hiện các cuộc tấn công mạng, khắc phục sự cố và kiểm tra tính bảo mật. Điều này rất quan trọng trong bối cảnh an ninh mạng ngày càng phức tạp.

II. Vấn Đề Và Thách Thức Trong Phân Tích Gói Tin TCP IP

Mặc dù việc phân tích gói tin mang lại nhiều lợi ích, nhưng cũng tồn tại nhiều thách thức. Các vấn đề như lưu lượng mạng lớn, sự phức tạp của các giao thức và khả năng phát hiện các cuộc tấn công mạng là những thách thức chính. Để vượt qua những thách thức này, cần có kiến thức vững về các giao thức mạng và cách sử dụng Wireshark.

2.1. Lưu Lượng Mạng Lớn Và Khó Khăn Trong Phân Tích

Khi lưu lượng mạng lớn, việc phân tích gói tin trở nên khó khăn hơn. Người dùng cần biết cách sử dụng các bộ lọc để chỉ hiển thị các gói tin quan trọng.

2.2. Sự Phức Tạp Của Các Giao Thức Mạng

Các giao thức mạng như TCP và IP có cấu trúc phức tạp. Việc hiểu rõ cách thức hoạt động của chúng là cần thiết để phân tích chính xác.

III. Phương Pháp Phân Tích Gói Tin TCP IP Bằng Wireshark

Để phân tích gói tin TCP/IP hiệu quả, người dùng cần nắm vững các bước cơ bản trong Wireshark. Từ việc cài đặt phần mềm đến việc sử dụng các bộ lọc, mỗi bước đều quan trọng trong quá trình phân tích.

3.1. Cài Đặt Và Khởi Động Wireshark

Cài đặt Wireshark rất đơn giản. Sau khi tải về, chỉ cần làm theo hướng dẫn để hoàn tất quá trình cài đặt và khởi động phần mềm.

3.2. Cách Bắt Gói Tin Và Sử Dụng Bộ Lọc

Sau khi khởi động, người dùng có thể bắt đầu thu thập gói tin bằng cách chọn giao diện mạng. Sử dụng bộ lọc để chỉ hiển thị các gói tin cần thiết giúp tiết kiệm thời gian phân tích.

IV. Ứng Dụng Thực Tiễn Của Phân Tích Gói Tin TCP IP

Phân tích gói tin TCP/IP có nhiều ứng dụng thực tiễn trong lĩnh vực an ninh mạng và quản lý hệ thống. Các chuyên gia có thể sử dụng Wireshark để phát hiện các cuộc tấn công, khắc phục sự cố và tối ưu hóa hiệu suất mạng.

4.1. Phát Hiện Cuộc Tấn Công Mạng

Wireshark giúp phát hiện các cuộc tấn công như DoS và mã độc thông qua việc theo dõi lưu lượng mạng và phân tích các gói tin bất thường.

4.2. Khắc Phục Sự Cố Mạng

Khi gặp sự cố mạng, Wireshark cho phép người dùng xác định nguyên nhân và khắc phục nhanh chóng, đảm bảo hệ thống hoạt động ổn định.

V. Kết Luận Về Phân Tích Gói Tin TCP IP Sử Dụng Wireshark

Phân tích gói tin TCP/IP bằng Wireshark là một kỹ năng quan trọng trong lĩnh vực công nghệ thông tin. Việc nắm vững các phương pháp và ứng dụng của Wireshark sẽ giúp các chuyên gia mạng nâng cao hiệu quả công việc và bảo vệ an ninh mạng tốt hơn.

5.1. Tương Lai Của Phân Tích Gói Tin

Với sự phát triển không ngừng của công nghệ, phân tích gói tin sẽ ngày càng trở nên quan trọng hơn trong việc bảo vệ an ninh mạng.

5.2. Khuyến Nghị Đối Với Người Dùng

Người dùng nên thường xuyên cập nhật kiến thức và kỹ năng về Wireshark để có thể ứng phó hiệu quả với các thách thức trong lĩnh vực an ninh mạng.

10/07/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1. TỔNG QUAN VỀ ĐỀ TÀI 1. Giới thiệu Trong thời đại số hóa ngày nay, việc bảo vệ an ninh mạng đã trở thành một nhiệm vụ cấp bách và phức tạp. Với sự gia tăng đáng kể của Internet of Things (IoT), mọi thứ từ chiếc tủ lạnh đến hệ thống sản xuất công nghiệp đều được kết nối mạng.

Mặc dù đây là cơ hội để nâng cao sự tiện lợi, nhưng cũng là một cửa ngỏ mở cho các cuộc tấn công mạng tiềm ẩn. Hệ thống IoT này trở thành các mục tiêu tiềm năng cho các hacker với khả năng tấn công từ xa và chiếm quyền kiểm soát, đe dọa đến sự riêng tư và an toàn của dữ liệu cá nhân và tổ chức. Ngoài ra, dữ liệu hiện nay đã trở nên quý báu hơn bao giờ hết. Các lĩnh vực như tài chính, y tế và chính trị đặt ra yêu cầu cao về việc bảo vệ thông tin nhạy cảm.

Việc mất mát dữ liệu có thể có hậu quả nghiêm trọng, không chỉ về mặt kinh tế mà còn ảnh hưởng đến uy tín và danh tiếng. Trong bối cảnh này, phần mềm Wireshark trở thành một công cụ quan trọng cho việc đối phó với các thách thức an ninh mạng. Wireshark cho phép theo dõi lưu lượng mạng và phát hiện các hoạt động bất thường, từ đó giúp phát hiện sớm các cuộc tấn công mạng như tấn công từ chối dịch vụ (DoS), tấn công từ xa và mã độc. Nó không chỉ giúp bảo vệ hệ thống mạng một cách hiệu quả mà còn đóng vai trò quan trọng trong việc xác định và khắc phục các lỗ hổng bảo mật.

Điều này giúp tổ chức và cá nhân duyệt qua các rủi ro an ninh mạng và duy trì sự an toàn và toàn vẹn của dữ liệu quan trọng. Phân công công việc Bảng 1: Bảng phân công công việc STT Họ và tên Nhiệm vụ Kết Quả - Lên ý tưởng cho đề tài, phân- Hoàn thành công việc tích bài toán đúng tiến độ được giao 1 Hoàng Văn Huy - Giới thiệu về wireshark - Kết quả công việc đúng - Cài đạt và chạy ứng dụng với yêu cầu wireshark - Nội dung cơ bản về TCP/Ip, - Hoàn thành công việc cấu trúc gói tin ip đúng tiến độ được giao 2 Nguyễn Hữu Huy - Cài đạt và chạy ứng dụng - Kết quả công việc đúng wireshark với yêu cầu - Phân tích IP, Ethernet - Hoàn thành công việc - Kết luận đúng tiến độ được giao 3 Hắc Tiểu Bình - Cài đạt và chạy ứng dụng - Kết quả công việc đúng wireshark với yêu cầu - Phân tích ARP, DHCP - Hoàn thành công việc - làm pp báo cáo đúng tiến độ được giao 4 Nguyễn Hoàng Anh - Cài đạt và chạy ứng dụng - Kết quả công việc đúng Quốc wireshark với yêu cầu - Phân tích DNS, ICMP - Hoàn thành công việc 5 - làm pp báo cáo đúng tiến độ được giao Trần Công Minh - Cài đạt và chạy ứng dụng - Kết quả công việc đúng wireshark với yêu cầu 9 CHƯƠNG 2: TỔNG QUAN VỀ WIRESHARK 1. Giới thiệu về Wireshark. a) Wireshark là gì? Wireshark là phần mềm phân tích gói mạng (tiếng Anh gọi là network packet analyzer).

Nhiệm vụ của nó là nắm bắt tất cả các network packets rồi hiển thị dữ liệu của gói đó một cách chi tiết nhất. Một network packet analyzer còn được dùng làm thiết bị đo lường, kiểm tra tình hình hoạt động bên trong của cáp mạng. Trước đây, công cụ network packet analyzer có chi phí rất cao, nên chúng thường độc quyền. Để khắc phục nhược điểm này, Wireshark đã ra đời và mang đến một giải pháp bắt gói tin mạnh mẽ.

Theo đánh giá của giới công nghệ, Wireshark thuộc top phần mềm phân tích các gói mã nguồn mở tốt nhất tính đến thời điểm hiện tại. b) Mục đích sử dụng Wireshark là gì? Wireshark được sử dụng để phục vụ các mục đích sau: - Phát hiện và phân tích cuộc tấn công mạng: Wireshark có thể giúp phát hiện và phân tích các cuộc tấn công mạng như tấn công từ chối dịch vụ (DoS), tấn công từ xa và mã độc. Bằng cách theo dõi gói tin và phân tích các hoạt động không bình thường, người dùng có thể xác định các mối đe dọa tiềm năng và đưa ra biện pháp bảo mật phù hợp. - Khắc phục những vấn đề liên quan đến sự cố mạng.

- Kiểm tra tính bảo mật: Wireshark có thể giúp kiểm tra và xác minh bảo mật trên mạng. Người dùng có thể sử dụng Wireshark để giám sát và phân tích lưu lượng mạng để xác định các lỗ hổng bảo mật, sự kiểm soát truy cập không đúng, và các truy cập trái phép vào hệ thống mạng. 10 - Xác minh network applications. - Gỡ lỗi phát triển các giao thức.

- Phân tích và gỡ rối mạng: Wireshark cung cấp khả năng theo dõi và phân tích gói tin mạng trong thời gian thực. Điều này cho phép người dùng xem thông tin chi tiết về lưu lượng mạng, các giao thức được sử dụng và các vấn đề liên quan đến mạng. Wireshark giúp người dùng xác định và giải quyết các vấn đề kết nối, lỗi giao thức và tắc nghẽn mạng. - Phục vụ việc học giao thức mạng: Wireshark được sử dụng rộng rãi trong mục đích giảng dạy và nghiên cứu về mạng.

Nhờ khả năng theo dõi và phân tích gói tin mạng chi tiết, Wireshark cho phép sinh viên và nhà nghiên cứu nắm vững các khái niệm và giao thức mạng, cũng như thực hiện các phân tích sâu về lưu lượng mạng. c) Tính năng của Wireshark. - Phân tích chuyên sâu đến hàng trăm giao thức. - Phần mềm được cập nhật liên tục.

- Wireshark hoạt động trên nhiều nền tảng hệ điều hành: Windows, MacOS, Linux, OpenBCD, Solaris… - Cho phép chụp trực tiếp dữ liệu của gói ngay trên giao diện mạng và phân tích offline. - Hỗ trợ mở tệp chứa dữ liệu gói được bắt thông qua Wireshark, TCPdump, Windump hay các chương trình bắt gói tin khác. - Hỗ trợ xem các gói tin đã bắt bằng giao diện hoặc dùng command line (tshark). - Tính năng Display filter (bộ lọc hiển thị) mạnh mẽ.

- Giúp người dùng phân tích VoIP(âm thanh được truyền qua giao thức internet) chuyên sâu. 11 - Cung cấp tính năng read, write dưới nhiều định dạng như Microsoft Network Monitor, Cisco Secure IDS iplog, tcpdump (libpcap), Pcap NG, Network General Sniffer®), Sniffer® Pro, NetXray®, NetScreen snoop, Catapult DCT2000, Network Instruments Observer, Novell LANalyzer, Shomiti/Finisar Surveyor, RADCOM WAN/LAN Analyzer, Visual Networks Visual UpTime, Tektronix K12xx, WildPackets EtherPeek/TokenPeek/AiroPeek … - Cung cấp tính năng nén file capture bằng Gzip và giải nén “on the fly”. - Bắt (capture) tất cả dữ liệu của Ethernet, Bluetooth, USB, Frame Relay, FDDI, IEEE 802.11, PPP/HDLC, ATM, Token Ring, … - Decryption được hỗ trợ nhiều giao thức, gồm SSL/TLS, WEP, IPsec, SNMPv3, ISAKMP, Kerberos, và WPA/WPA2. - Cung cấp tính năng Coloring rules cho phép người dùng tùy ý sáng tạo màu sắc của packet theo cá nhân hóa, để tăng tốc độ phân tích và hiệu quả hơn.

d) Cách chụp gói tin bằng Wireshark. - Để sử dụng phần mềm, cần vào trang web chính thức của Wireshark rồi tải nó về máy tính. - Sau đó, tiến hành cài đặt. - Khi đã hoàn tất cài đặt, mở phần mềm Wireshark và nhấn đúp chuột vào tên giao diện mạng bất kỳ trong phần Capture để chụp các gói tin có trên giao diện.

Ví dụ: Khi cần ghi lại traffic của mạng không dây thì nhấn đúp chuột vào giao diện không dây. Sau đó, màn hình hiển thị các gói theo thời gian thực và Wireshark tiến hành chụp mỗi gói đã gửi đến hệ thống, hoặc từ hệ thống. 12 e) Cách thu thập gói tin Sau khi tải xuống và cài đặt Wireshark, hãy khởi chạy phần mềm và nhấp đúp vào tên giao diện mạng trong Capture để bắt đầu thu thập các gói tin trên giao diện VD: Muốn truy cập trên mạng không dây, nhấp vào giao diện không dây của máy. Để hiện thị các lựa chọn nâng cao hãy nhấp vàp capture > options.

Hình 1 Bắt các lưu lượng mạng kết nối Ethernet, Wireless, Bluetooth Sau khi nhấp vào tên giao diện, các gói tin sẽ bắt đầu xuất hiện trong thời gian thực. Wireshark thu thập từng gói ra và vào hệ thống mạng. Nếu đang trong promiscuous mode — chế độ này được bật theo mặc định —sẽ hiển thị tất cả các gói tin trên toàn bộ hệ thống bên cạnh những gói được gửi tới bộ chuyển đổi mạng. Để kiểm tra xem promiscuous mode đã 13 được kích hoạt hay chưa, hãy nhấp vào Capture > Options và tick ô “Enable promiscuous mode on all interfaces” hiển thị ở cuối cửa sổ.

Hình 2 Dừng bắt gói tin Nhấp vào nút “Stop” màu đỏ ở gần góc trên cùng bên trái để dừng theo dõi lưu lượng truy cập. f) Mã màu Các gói tin được đánh dấu bằng nhiều màu khác nhau. Wireshark sử dụng màu sắc để giúp phân biệt các loại lưu lượng truy cập một cách nhanh chóng. Theo mặc định: - màu tím nhạt là lưu lượng TCP - màu xanh lam nhạt là lưu lượng UDP - màu đen là gói tin có lỗi ví dụ: những gói tin không được phân phối theo đúng thứ tự.

14 Hình 3 Mã màu Để xem cụ thể ý nghĩa của các mã màu, hãy nhấp vào View > Coloring Rules. Có thể tùy chỉnh và sửa đổi các quy tắc màu ở đây nếu muốn. g) Thu thập gói tin mẫu Nếu muốn khám phá thêm những mạng khác, hãy tham khảo trang chứa các tệp thu thập gói tin mẫu trên Wiki Wireshark để tải xuống và phân tích. Nhấp vào File > Open trong Wireshark và tìm tệp đã tải xuống để mở.

Cũng có thể lưu ảnh chụp màn hình trong Wireshark và mở chúng sau. Nhấp vào File > Save để lưu các gói tin đã thu thập được. 15 Hình 4 Mở gói tin h) Lọc gói tin Nhập vào hộp filter ở đầu cửa sổ và nhấp vào Apply (hoặc nhấn Enter). Ví dụ: nhập “dns” sẽ chỉ thấy các gói DNS.

Khi bắt đầu nhập từ khóa, Wireshark sẽ tự động hoàn chỉnh chuỗi thông tin dựa trên gợi ý tương ứng. Hình 5 Lọc gói tin với giao thức DNS 16 Có thể nhấp vào Analyze > Display Filters để chọn một bộ lọc trong các bộ lọc mặc định của Wireshark. Tại đây cũng có thể thêm bộ lọc tùy chỉnh riêng và lưu lại để sử dụng trong tương lai. i) Cách đọc gói tin trong Wireshark.

Click vào một packet để chọn nó, sau đó xem thêm chi tiết về nó. Hình 6 Phân tích gói tin Ở khung cửa sổ Paket List sẽ cung cấp cho chúng ta các thông tin như: - No: Số thứ tự của gói tin trong file capture hiện tại. - Time: Thời gian tương đối mà gói tin này được bắt, tính từ lúc bắt đầu quá trình bắt gói tin.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ