Professional Documents
Culture Documents
TPHCM 3/2022
Mục Lục
I. Phân tích gói tin với NetworkMiner..................................................................3
1. Chuẩn bị Chạy NetworkMiner......................................................................3
2. Phân tích dữ liệu trong NetworkMiner.........................................................3
II. Giám sát an ninh mạng nguồn mở với Sguil.....................................................7
1. Chuẩn bị........................................................................................................7
2. Thực hành giám sát.....................................................................................10
III. Truy vấn và xem dữ liệu sự kiện Sguil với Squert.........................................13
1. Chức năng cơ bản.......................................................................................13
a. Hiển thị hàng đợi cảnh báo trên tab sự kiện:...........................................13
b. Lọc theo "trojan" và "sự kiện hiện tại" trên trang tóm tắt:......................13
c. Lọc theo IP truy cập:................................................................................14
2. Chức năng nâng cao....................................................................................14
a. Elasticsearch (truy vấn nhật ký của máy)................................................14
b. Chức năng autocat:..................................................................................16
c. Tính năng URL........................................................................................17
I. Phân tích gói tin với NetworkMiner
- NetworkMiner là một công cụ phân tích mạng tập trung vào máy chủ lưu trữ với khả
năng đánh hơi thụ động. Trung tâm máy chủ có nghĩa là nó sắp xếp dữ liệu theo các máy
chủ hơn là các gói (điều này được thực hiện bởi hầu hết các công cụ dò tìm tích cực).
1. Chuẩn bị Chạy NetworkMiner
- Giao diện người dùng NetworkMiner được chia thành các tab. Mỗi tab cung cấp một góc
thông tin khác nhau của dữ liệu đã thu thập. Bao gồm 3 bước để chạy NetworkMiner để
nó phân tích lưu lượng mạng:
B1. Chạy NetworkMiner.exe với các đặc quyền quản trị.
B2. Chọn giao diện mạng mà dữ liệu cần được thu thập.
B3. Theo mặc định, tab Máy chủ được chọn. Bạn có thể sắp xếp các máy chủ theo
địa chỉ IP, địa chỉ MAC, tên máy chủ, Hệ điều hành, v.v.
- Ta có thể biết được địa chỉ Ip và MAC, đã gửi 53 packets và nhận 5 packets cũng như
giao tiếp với các TCP Port khác nhau.
- Chúng ta có thể chọn các tab để xem được chi tiết các máy trao đổi với máy chủ IP Này
- Trong Tab File ta thấy được các File mà các máy trao đổi gửi với nhau.
- Trong Tab Sessions ta biết được các máy client giao tiếp với các IP bên ngoài với Port
nguồn và Port đích, Protocol và thời gian bắt đầu.
- Trong Tab Message có thể thấy được các tin nhắn mà các máy trao đổi với nhau.
Kết luận:
- NetworkMiner có thể được sử dụng như một công cụ chặn bắt gói tin thụ động nhằm
nhận biết các hệ điều hành, các phiên làm việc, tên host, các port mở... mà không cần đặt
bất cứ luồng dữ liệu nào lên mạng.
- NetworkMiner cũng có thể phân tích các tệp tin pcap trong trường hợp ngoại tuyến và
tái tạo các tập tin truyền tải, cấu trúc thư mục hay chứng chỉ từ tệp tin pcap. Mục đích
của NetworkMiner là thu thập dữ liệu (chẳng hạn như chứng cứ) về các host trên mạng,
chứ không thu thập dữ liệu về lưu lượng truy cập. Nó quan tâm đến trung tâm máy chủ
(nhóm các thông tin trên từng máy) chứ không tập trung vào gói tin (thông tin về danh
sách các gói tin, khung nhìn...). NetworkMiner là công cụ tiện dụng trong việc phân tích
máy chủ C&C (Command & Control) hay khi kiểm soát lưu lượng truy cập từ mạng lưới
botnet.
- Đây là tên của giao diện chụp ảnh Ethernet được sử dụng để giám sát và nó sẽ cần thiết
sau này. Nhấp vào “Chọn tất cả” khi bạn đã ghi chú tên giao diện Ethernet và sau đó nhấp
vào “Khởi động SGUIL.”
- Chờ 1 lúc, tcpreplay sẽ phát lại tệp pcap newdat3.log và các sự kiện sẽ xuất hiện trong
tiếng chuông. Nên có khoảng 15 sự kiện. Chúng ta hãy xem xét một số trong số họ
- Sử dụng các trường được mã hóa màu xanh lam ở phía dưới bên phải của màn hình,
chúng ta có thể thấy thông tin tiêu đề và tải trọng cho gói tin, bao gồm IP nguồn và đích
và cổng.
- Sử dụng thông tin trong trường “DỮ LIỆU”, kiểm tra tải trọng gói và xác định người
nhận tệp
III. Truy vấn và xem dữ liệu sự kiện Sguil với Squert
- Squert là một ứng dụng web được sử dụng để truy vấn và xem dữ liệu sự kiện được lưu
trữ trong cơ sở dữ liệu Sguil (thường là dữ liệu cảnh báo IDS). Squert là một công cụ
trực quan cố gắng cung cấp ngữ cảnh bổ sung cho các sự kiện thông qua việc sử dụng
siêu dữ liệu, biểu diễn chuỗi thời gian và các tập kết quả có trọng số và được nhóm hợp
lý.
1. Chức năng cơ bản
a. Hiển thị hàng đợi cảnh báo trên tab sự kiện:
b. Lọc theo "trojan" và "sự kiện hiện tại" trên trang tóm tắt:
c. Lọc theo IP truy cập: