CHƯƠNG 1. TỔNG QUAN VỀ ĐỀ TÀI 1. Giới thiệu Trong thời đại số hóa ngày nay, việc bảo vệ an ninh mạng đã trở thành một nhiệm vụ cấp bách và phức tạp. Với sự gia tăng đáng kể của Internet of Things (IoT), mọi thứ từ chiếc tủ lạnh đến hệ thống sản xuất công nghiệp đều được kết nối mạng.
Mặc dù đây là cơ hội để nâng cao sự tiện lợi, nhưng cũng là một cửa ngỏ mở cho các cuộc tấn công mạng tiềm ẩn. Hệ thống IoT này trở thành các mục tiêu tiềm năng cho các hacker với khả năng tấn công từ xa và chiếm quyền kiểm soát, đe dọa đến sự riêng tư và an toàn của dữ liệu cá nhân và tổ chức. Ngoài ra, dữ liệu hiện nay đã trở nên quý báu hơn bao giờ hết. Các lĩnh vực như tài chính, y tế và chính trị đặt ra yêu cầu cao về việc bảo vệ thông tin nhạy cảm.
Việc mất mát dữ liệu có thể có hậu quả nghiêm trọng, không chỉ về mặt kinh tế mà còn ảnh hưởng đến uy tín và danh tiếng. Trong bối cảnh này, phần mềm Wireshark trở thành một công cụ quan trọng cho việc đối phó với các thách thức an ninh mạng. Wireshark cho phép theo dõi lưu lượng mạng và phát hiện các hoạt động bất thường, từ đó giúp phát hiện sớm các cuộc tấn công mạng như tấn công từ chối dịch vụ (DoS), tấn công từ xa và mã độc. Nó không chỉ giúp bảo vệ hệ thống mạng một cách hiệu quả mà còn đóng vai trò quan trọng trong việc xác định và khắc phục các lỗ hổng bảo mật.
Điều này giúp tổ chức và cá nhân duyệt qua các rủi ro an ninh mạng và duy trì sự an toàn và toàn vẹn của dữ liệu quan trọng. Phân công công việc Bảng 1: Bảng phân công công việc STT Họ và tên Nhiệm vụ Kết Quả - Lên ý tưởng cho đề tài, phân- Hoàn thành công việc tích bài toán đúng tiến độ được giao 1 Hoàng Văn Huy - Giới thiệu về wireshark - Kết quả công việc đúng - Cài đạt và chạy ứng dụng với yêu cầu wireshark - Nội dung cơ bản về TCP/Ip, - Hoàn thành công việc cấu trúc gói tin ip đúng tiến độ được giao 2 Nguyễn Hữu Huy - Cài đạt và chạy ứng dụng - Kết quả công việc đúng wireshark với yêu cầu - Phân tích IP, Ethernet - Hoàn thành công việc - Kết luận đúng tiến độ được giao 3 Hắc Tiểu Bình - Cài đạt và chạy ứng dụng - Kết quả công việc đúng wireshark với yêu cầu - Phân tích ARP, DHCP - Hoàn thành công việc - làm pp báo cáo đúng tiến độ được giao 4 Nguyễn Hoàng Anh - Cài đạt và chạy ứng dụng - Kết quả công việc đúng Quốc wireshark với yêu cầu - Phân tích DNS, ICMP - Hoàn thành công việc 5 - làm pp báo cáo đúng tiến độ được giao Trần Công Minh - Cài đạt và chạy ứng dụng - Kết quả công việc đúng wireshark với yêu cầu 9 CHƯƠNG 2: TỔNG QUAN VỀ WIRESHARK 1. Giới thiệu về Wireshark. a) Wireshark là gì? Wireshark là phần mềm phân tích gói mạng (tiếng Anh gọi là network packet analyzer).
Nhiệm vụ của nó là nắm bắt tất cả các network packets rồi hiển thị dữ liệu của gói đó một cách chi tiết nhất. Một network packet analyzer còn được dùng làm thiết bị đo lường, kiểm tra tình hình hoạt động bên trong của cáp mạng. Trước đây, công cụ network packet analyzer có chi phí rất cao, nên chúng thường độc quyền. Để khắc phục nhược điểm này, Wireshark đã ra đời và mang đến một giải pháp bắt gói tin mạnh mẽ.
Theo đánh giá của giới công nghệ, Wireshark thuộc top phần mềm phân tích các gói mã nguồn mở tốt nhất tính đến thời điểm hiện tại. b) Mục đích sử dụng Wireshark là gì? Wireshark được sử dụng để phục vụ các mục đích sau: - Phát hiện và phân tích cuộc tấn công mạng: Wireshark có thể giúp phát hiện và phân tích các cuộc tấn công mạng như tấn công từ chối dịch vụ (DoS), tấn công từ xa và mã độc. Bằng cách theo dõi gói tin và phân tích các hoạt động không bình thường, người dùng có thể xác định các mối đe dọa tiềm năng và đưa ra biện pháp bảo mật phù hợp. - Khắc phục những vấn đề liên quan đến sự cố mạng.
- Kiểm tra tính bảo mật: Wireshark có thể giúp kiểm tra và xác minh bảo mật trên mạng. Người dùng có thể sử dụng Wireshark để giám sát và phân tích lưu lượng mạng để xác định các lỗ hổng bảo mật, sự kiểm soát truy cập không đúng, và các truy cập trái phép vào hệ thống mạng. 10 - Xác minh network applications. - Gỡ lỗi phát triển các giao thức.
- Phân tích và gỡ rối mạng: Wireshark cung cấp khả năng theo dõi và phân tích gói tin mạng trong thời gian thực. Điều này cho phép người dùng xem thông tin chi tiết về lưu lượng mạng, các giao thức được sử dụng và các vấn đề liên quan đến mạng. Wireshark giúp người dùng xác định và giải quyết các vấn đề kết nối, lỗi giao thức và tắc nghẽn mạng. - Phục vụ việc học giao thức mạng: Wireshark được sử dụng rộng rãi trong mục đích giảng dạy và nghiên cứu về mạng.
Nhờ khả năng theo dõi và phân tích gói tin mạng chi tiết, Wireshark cho phép sinh viên và nhà nghiên cứu nắm vững các khái niệm và giao thức mạng, cũng như thực hiện các phân tích sâu về lưu lượng mạng. c) Tính năng của Wireshark. - Phân tích chuyên sâu đến hàng trăm giao thức. - Phần mềm được cập nhật liên tục.
- Wireshark hoạt động trên nhiều nền tảng hệ điều hành: Windows, MacOS, Linux, OpenBCD, Solaris… - Cho phép chụp trực tiếp dữ liệu của gói ngay trên giao diện mạng và phân tích offline. - Hỗ trợ mở tệp chứa dữ liệu gói được bắt thông qua Wireshark, TCPdump, Windump hay các chương trình bắt gói tin khác. - Hỗ trợ xem các gói tin đã bắt bằng giao diện hoặc dùng command line (tshark). - Tính năng Display filter (bộ lọc hiển thị) mạnh mẽ.
- Giúp người dùng phân tích VoIP(âm thanh được truyền qua giao thức internet) chuyên sâu. 11 - Cung cấp tính năng read, write dưới nhiều định dạng như Microsoft Network Monitor, Cisco Secure IDS iplog, tcpdump (libpcap), Pcap NG, Network General Sniffer®), Sniffer® Pro, NetXray®, NetScreen snoop, Catapult DCT2000, Network Instruments Observer, Novell LANalyzer, Shomiti/Finisar Surveyor, RADCOM WAN/LAN Analyzer, Visual Networks Visual UpTime, Tektronix K12xx, WildPackets EtherPeek/TokenPeek/AiroPeek … - Cung cấp tính năng nén file capture bằng Gzip và giải nén “on the fly”. - Bắt (capture) tất cả dữ liệu của Ethernet, Bluetooth, USB, Frame Relay, FDDI, IEEE 802.11, PPP/HDLC, ATM, Token Ring, … - Decryption được hỗ trợ nhiều giao thức, gồm SSL/TLS, WEP, IPsec, SNMPv3, ISAKMP, Kerberos, và WPA/WPA2. - Cung cấp tính năng Coloring rules cho phép người dùng tùy ý sáng tạo màu sắc của packet theo cá nhân hóa, để tăng tốc độ phân tích và hiệu quả hơn.
d) Cách chụp gói tin bằng Wireshark. - Để sử dụng phần mềm, cần vào trang web chính thức của Wireshark rồi tải nó về máy tính. - Sau đó, tiến hành cài đặt. - Khi đã hoàn tất cài đặt, mở phần mềm Wireshark và nhấn đúp chuột vào tên giao diện mạng bất kỳ trong phần Capture để chụp các gói tin có trên giao diện.
Ví dụ: Khi cần ghi lại traffic của mạng không dây thì nhấn đúp chuột vào giao diện không dây. Sau đó, màn hình hiển thị các gói theo thời gian thực và Wireshark tiến hành chụp mỗi gói đã gửi đến hệ thống, hoặc từ hệ thống. 12 e) Cách thu thập gói tin Sau khi tải xuống và cài đặt Wireshark, hãy khởi chạy phần mềm và nhấp đúp vào tên giao diện mạng trong Capture để bắt đầu thu thập các gói tin trên giao diện VD: Muốn truy cập trên mạng không dây, nhấp vào giao diện không dây của máy. Để hiện thị các lựa chọn nâng cao hãy nhấp vàp capture > options.
Hình 1 Bắt các lưu lượng mạng kết nối Ethernet, Wireless, Bluetooth Sau khi nhấp vào tên giao diện, các gói tin sẽ bắt đầu xuất hiện trong thời gian thực. Wireshark thu thập từng gói ra và vào hệ thống mạng. Nếu đang trong promiscuous mode — chế độ này được bật theo mặc định —sẽ hiển thị tất cả các gói tin trên toàn bộ hệ thống bên cạnh những gói được gửi tới bộ chuyển đổi mạng. Để kiểm tra xem promiscuous mode đã 13 được kích hoạt hay chưa, hãy nhấp vào Capture > Options và tick ô “Enable promiscuous mode on all interfaces” hiển thị ở cuối cửa sổ.
Hình 2 Dừng bắt gói tin Nhấp vào nút “Stop” màu đỏ ở gần góc trên cùng bên trái để dừng theo dõi lưu lượng truy cập. f) Mã màu Các gói tin được đánh dấu bằng nhiều màu khác nhau. Wireshark sử dụng màu sắc để giúp phân biệt các loại lưu lượng truy cập một cách nhanh chóng. Theo mặc định: - màu tím nhạt là lưu lượng TCP - màu xanh lam nhạt là lưu lượng UDP - màu đen là gói tin có lỗi ví dụ: những gói tin không được phân phối theo đúng thứ tự.
14 Hình 3 Mã màu Để xem cụ thể ý nghĩa của các mã màu, hãy nhấp vào View > Coloring Rules. Có thể tùy chỉnh và sửa đổi các quy tắc màu ở đây nếu muốn. g) Thu thập gói tin mẫu Nếu muốn khám phá thêm những mạng khác, hãy tham khảo trang chứa các tệp thu thập gói tin mẫu trên Wiki Wireshark để tải xuống và phân tích. Nhấp vào File > Open trong Wireshark và tìm tệp đã tải xuống để mở.
Cũng có thể lưu ảnh chụp màn hình trong Wireshark và mở chúng sau. Nhấp vào File > Save để lưu các gói tin đã thu thập được. 15 Hình 4 Mở gói tin h) Lọc gói tin Nhập vào hộp filter ở đầu cửa sổ và nhấp vào Apply (hoặc nhấn Enter). Ví dụ: nhập “dns” sẽ chỉ thấy các gói DNS.
Khi bắt đầu nhập từ khóa, Wireshark sẽ tự động hoàn chỉnh chuỗi thông tin dựa trên gợi ý tương ứng. Hình 5 Lọc gói tin với giao thức DNS 16 Có thể nhấp vào Analyze > Display Filters để chọn một bộ lọc trong các bộ lọc mặc định của Wireshark. Tại đây cũng có thể thêm bộ lọc tùy chỉnh riêng và lưu lại để sử dụng trong tương lai. i) Cách đọc gói tin trong Wireshark.
Click vào một packet để chọn nó, sau đó xem thêm chi tiết về nó. Hình 6 Phân tích gói tin Ở khung cửa sổ Paket List sẽ cung cấp cho chúng ta các thông tin như: - No: Số thứ tự của gói tin trong file capture hiện tại. - Time: Thời gian tương đối mà gói tin này được bắt, tính từ lúc bắt đầu quá trình bắt gói tin.