HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH

KHOA CÔNG NGHỆ THÔNG TIN II
---□□---

Bài Thực Hành 2

Môn: GIÁM SÁT AN TOÀN MẠNG
Giảng viên hướng dẫn: Đặng Hồng Hiệp
Sinh viên thực hiện:
Họ tên MSSV
Phạm Ngọc Hưng N18DCAT032

TPHCM 3/2022
Mục Lục
I. Phân tích gói tin với NetworkMiner..................................................................3
1. Chuẩn bị Chạy NetworkMiner......................................................................3
2. Phân tích dữ liệu trong NetworkMiner.........................................................3
II. Giám sát an ninh mạng nguồn mở với Sguil.....................................................7
1. Chuẩn bị........................................................................................................7
2. Thực hành giám sát.....................................................................................10
III. Truy vấn và xem dữ liệu sự kiện Sguil với Squert.........................................13
1. Chức năng cơ bản.......................................................................................13
a. Hiển thị hàng đợi cảnh báo trên tab sự kiện:...........................................13
b. Lọc theo "trojan" và "sự kiện hiện tại" trên trang tóm tắt:......................13
c. Lọc theo IP truy cập:................................................................................14
2. Chức năng nâng cao....................................................................................14
a. Elasticsearch (truy vấn nhật ký của máy)................................................14
b. Chức năng autocat:..................................................................................16
c. Tính năng URL........................................................................................17
 I. Phân tích gói tin với NetworkMiner
- NetworkMiner là một công cụ phân tích mạng tập trung vào máy chủ lưu trữ với khả
năng đánh hơi thụ động. Trung tâm máy chủ có nghĩa là nó sắp xếp dữ liệu theo các máy
chủ hơn là các gói (điều này được thực hiện bởi hầu hết các công cụ dò tìm tích cực).
1. Chuẩn bị Chạy NetworkMiner
- Giao diện người dùng NetworkMiner được chia thành các tab. Mỗi tab cung cấp một góc
thông tin khác nhau của dữ liệu đã thu thập. Bao gồm 3 bước để chạy NetworkMiner để
nó phân tích lưu lượng mạng:
B1. Chạy NetworkMiner.exe với các đặc quyền quản trị.
B2. Chọn giao diện mạng mà dữ liệu cần được thu thập.
B3. Theo mặc định, tab Máy chủ được chọn. Bạn có thể sắp xếp các máy chủ theo
địa chỉ IP, địa chỉ MAC, tên máy chủ, Hệ điều hành, v.v.

2. Phân tích dữ liệu trong NetworkMiner

- Chúng ta sẽ phân tích trên file pcap1 từ wireshark

- Chọn 1 Socket để bắt đầu

- Tiếp theo chọn máy chủ có ip: 192.168.139.129

- Ta có thể biết được địa chỉ Ip và MAC, đã gửi 53 packets và nhận 5 packets cũng như
giao tiếp với các TCP Port khác nhau.
- Chúng ta có thể chọn các tab để xem được chi tiết các máy trao đổi với máy chủ IP Này
- Trong Tab File ta thấy được các File mà các máy trao đổi gửi với nhau.

- Có thể mở các File để xem nội dung bên trong

- Trong Tab Credentials ta thấy được HTTP Cookie, gồm Username và PassWord, có thể
dùng các extension để decode.

- Trong Tab Sessions ta biết được các máy client giao tiếp với các IP bên ngoài với Port
nguồn và Port đích, Protocol và thời gian bắt đầu.
 - Trong Tab Message có thể thấy được các tin nhắn mà các máy trao đổi với nhau.

Kết luận:
- NetworkMiner có thể được sử dụng như một công cụ chặn bắt gói tin thụ động nhằm
nhận biết các hệ điều hành, các phiên làm việc, tên host, các port mở... mà không cần đặt
bất cứ luồng dữ liệu nào lên mạng.
- NetworkMiner cũng có thể phân tích các tệp tin pcap trong trường hợp ngoại tuyến và
tái tạo các tập tin truyền tải, cấu trúc thư mục hay chứng chỉ từ tệp tin pcap. Mục đích
của NetworkMiner là thu thập dữ liệu (chẳng hạn như chứng cứ) về các host trên mạng,
chứ không thu thập dữ liệu về lưu lượng truy cập. Nó quan tâm đến trung tâm máy chủ
(nhóm các thông tin trên từng máy) chứ không tập trung vào gói tin (thông tin về danh
sách các gói tin, khung nhìn...). NetworkMiner là công cụ tiện dụng trong việc phân tích
máy chủ C&C (Command & Control) hay khi kiểm soát lưu lượng truy cập từ mạng lưới
botnet.

II. Giám sát an ninh mạng nguồn mở với Sguil

1. Chuẩn bị
- Cài đặt máy ảo Security Onion
 - Tải xuống tệp điều kiện
- Lệnh:
wget https://github.com/wave-length/Presentations/raw/master/MAR19-DC919-SecurityOnion/Files/Ex1-
honeynet.org-Scan19.tar.gz && wget https://s3.amazonaws.com/ tcpreplay-pcap-files / bigFlows.pcap

- Giải nén các tệp có trong Ex1-honeynet.org-Scan19.tar.gz. Lệnh như bên dưới

- Lệnh:
mkdir ./Exercise1/ && tar fvxz Ex1-honeynet.org-Scan19.tar.gz --directory ./Exercise1
- Đăng nhập vào Squil bằng thông tin đăng nhập mà bạn đã thiết lập khi xây dựng máy ảo
Security Onion

- Đây là tên của giao diện chụp ảnh Ethernet được sử dụng để giám sát và nó sẽ cần thiết
sau này. Nhấp vào “Chọn tất cả” khi bạn đã ghi chú tên giao diện Ethernet và sau đó nhấp
vào “Khởi động SGUIL.”

2. Thực hành giám sát

- Đưa thiết bị đầu cuối trở lại nền trước nhập lệnh:
 sudo sleep 15s && sudo tcpreplay -i enp0s8 -M 100 newdat3.log

- Chờ 1 lúc, tcpreplay sẽ phát lại tệp pcap newdat3.log và các sự kiện sẽ xuất hiện trong
tiếng chuông. Nên có khoảng 15 sự kiện. Chúng ta hãy xem xét một số trong số họ

- Nhấp vào 1 sự kiện, file thông tin sự kiện sẽ hiện ra

- Chúng ta có thể cập nhập sự kiện

- Thao tác này sẽ mở ra màn hình tạo truy vấn. Với chức năng tạo truy vấn, bạn có thể truy
vấn các sự kiện được Security Onion xếp vào danh mục. Nhấp vào nút "Submit".
- Sau khi nhấn “Submit” tab mới với kết quả truy vấn sẽ xuất hiện và sự kiện bạn đã phân
loại trước đó sẽ được hiển thị

- Sử dụng các trường được mã hóa màu xanh lam ở phía dưới bên phải của màn hình,
chúng ta có thể thấy thông tin tiêu đề và tải trọng cho gói tin, bao gồm IP nguồn và đích
và cổng.

- Sử dụng thông tin trong trường “DỮ LIỆU”, kiểm tra tải trọng gói và xác định người
nhận tệp
III. Truy vấn và xem dữ liệu sự kiện Sguil với Squert
- Squert là một ứng dụng web được sử dụng để truy vấn và xem dữ liệu sự kiện được lưu
trữ trong cơ sở dữ liệu Sguil (thường là dữ liệu cảnh báo IDS). Squert là một công cụ
trực quan cố gắng cung cấp ngữ cảnh bổ sung cho các sự kiện thông qua việc sử dụng
siêu dữ liệu, biểu diễn chuỗi thời gian và các tập kết quả có trọng số và được nhóm hợp
lý.
1. Chức năng cơ bản
a. Hiển thị hàng đợi cảnh báo trên tab sự kiện:

b. Lọc theo "trojan" và "sự kiện hiện tại" trên trang tóm tắt:
c. Lọc theo IP truy cập:

2. Chức năng nâng cao

a. Elasticsearch (truy vấn nhật ký của máy)
- Tùy thuộc vào vị trí của bạn trong giao diện, các điều khoản và khoảng thời gian sẽ khác
nhau
- Dữ liệu sẽ được đặt ở đầu
b. Chức năng autocat:
c. Tính năng URL 
- Truy cập bộ lọc cục bộ cũng như thực hiện tra cứu bên ngoài bằng cách sử dụng tính
năng URL 

- Tạo URL cũng giống như tạo bộ lọc.