1 Mục tiêu

- Luyện tập việc cài đặt và vận hành các công cụ thu thập dữ liệu mạng:
tcpdump, Wireshark, Silk.
2 Nội dung thực hành
2.1 Tìm hiểu lý thuyết
o Ôn lại kiến thức về các loại dữ liệu trong NSM.
o Tìm hiểu về tính năng và hoạt động của các công cụ: tcpdump, Wireshark,
Silk.
o Một số tài liệu tham khảo:
o Chương 2, Bài giảng Kỹ thuật theo dõi giám sát an toàn mạng, HVCN
BCVT 2021
o https://www.tcpdump.org/index.html#documentation
o https://www.wireshark.org/docs/wsug_html/
o https://docs.securityonion.net/en/2.3/first-time-users.html
o https://tools.netsa.cert.org/silk/
2.2Chuẩn bị môi trường
o Máy tính cài đặt hệ điều hành Linux (Có thể cài đặt trưc tiếp hoặc ảo hóa).
o Máy tính cài đặt hệ điều hành Windows (Có thể cài đặt trưc tiếp hoặc ảo
hóa)
o Máy ảo Security Onion
2.3Các bước thực hiện và kết quả cần đạt
2.3.1 Sử dụng công cụ chặn bắt gói tin TCPDump trên HĐH Linux

a) Các bước thực hiện

o Cài đặt tcpdump trên HĐH Linux

o Chạy các lệnh tcpdump dưới đây để xem kết quả và giải thích ý nghĩa:
# tcpdump -D
 # tcpdump -i <interface> -s 65535 -w <TenSV.pcap>
# tcpdump –Snnr TenSV.pcap
# tcpdump -l | tee dat
# tcpdump ip and not net <Subnet Address>
# tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] !=
icmp-echoreply'
# tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst
net <Subnet Address>

b) Kết quả cần đạt được

Chụp ảnh minh chứng màn hình:

+ echo %USERNAME%
+ date

+ Kết quả chạy các dòng lệnh đã thực hiện

+ File TenSV.pcap thu được

2.3.2 Sử dụng công cụ chặn bắt gói tin Wireshark trên HĐH Windows

a) Các bước thực hiện

o Cài đặt Wireshark trên HĐH Windows
o Chạy Wireshark bắt các gói tin, sử dụng một số tùy chọn của Wireshark
o chọn interface để bắt gói tin
o lọc gói tin theo ip nguồn, ip đích
o lọc gói tin icpm/dns/tcp/udp
o lưu dữ liệu dưới dạng file TenSV.pcap

b) Kết quả cần đạt được

- Chụp ảnh minh chứng

+ Với các lệnh trong cmd:
 + echo %USERNAME%

+ date
+ Kết quả thực thi các tùy chọn của Wireshark đã thực hiện

+ File ws_TenSV.pcap thu được

2.3.3 Sử dụng công cụ Silk trên máy ảo Security Onion

a) Các bước thực hiện

o Cài đặt Silk
o Chạy các lệnh silk dưới đây để xem kết quả và giải thích ý nghĩa: Lưu ý phần
tô màu vàng sinh viên có thể tùy biến theo dữ liệu/hệ thống của mình.
o rwfilter --data-rootdir=/data/SiLK-LBNL-05 --protocol=0- \
--type=all $sd --pass=stdout \
| rwstats --percentage=1 --fields=sip,dip --bytes
o rwstats --fields=dip --values=packets --count=7 data.rw
o rwfilter --start-date=2022/03/21:00 --any-address=6.6.6.6 --type=all
o --pass=stdout | rwcut
o $ rwfilter --flowtypes=all/all --start-date=2003/02/19
--proto=6 --pass-destination=alltcp.rw
o rwfilter --start-date=2013/06/22:00 --saddress=192.168.1.100 --
daddress=6.6.6.6 --aport=443 --type=all --pass=stdout | rwcu

b) Kết quả cần đạt được

• Chụp ảnh minh chứng màn hình:

+ echo %USERNAME%

+ date

+ Kết quả chạy các dòng lệnh đã thực hiện

3 Các yêu cầu với báo cáo bài thực hành
 Báo cáo bài thực hành cần có đầy đủ các nội dung/thành phần sau:
• Trang bìa (ghi rõ môn học, bài thực hành, mã sv và họ và tên.
• Trình bày các nội dung lý thuyết đã tìm hiểu được trong mục 2.1.
• Các nội dung thực hành cần kèm ảnh minh chứng theo thứ tự thực hiện các bước.