Scribd Logo
Upload

Welcome to Scribd!

  • Thuchanh 8

    Uploaded by

    Huy Tô Quang
    2 views9 pages

    Original Title

    thuchanh8

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    2 views9 pages

    Thuchanh 8

    Uploaded by

    Huy Tô Quang

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 9

    HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG MÔN THỰC TẬP

    CƠ SỞ

    BÁO CÁO THỰC HÀNH


    Bài 8: Bắt dữ liệu mạng
    Họ và tên: Tô Quang Huy
    Mã sinh viên: B21DCAT104
    Nhóm môn học: 03
    Giảng viên hướng dẫn: Vũ Minh Mạnh
    Hà Nội, 2024
    I. Mục đích
    Bài thực hành này giúp sinh viên nắm được công cụ và cách thức bắt dữ liệu
    mạng, bao gồm:
    - Sử dụng tcpdump để bắt gói tin mạng
    - Sử dụng được Wireshark để bắt và phân tích gói tin mạng
    (HTTP/HTTPS/FTP / TCP/IP)
    - Sử dụng Network Miner để bắt và phân tích gói tin mạng
    II. Nội dung thực hành
    1. Tìm hiểu lý thuyết
    a. Tcpdump
    - TCPDUMP là công cụ hữu ích được ra đời và phát triển để phục vụ cho mục
    đích hỗ trợ phân tích các gói dữ liệu mang theo dòng lệnh đồng thời cho
    phép khách hàng thực hiện việc chặn, lọc và hiển thị các gói tin TCP/IP
    được truyền đi hoặc nhận trên một mạng có sự tham gia của máy tính.
    - Tính năng của tcpdump:
    o Hỗ trợ xem các bản tin DUMP trên terminal
    o Capture các bản tin và lưu dưới định dạng PCAP (hỗ trợ đọc bởi
    Wireshark)
    o Tạo các bộ lọc Filter để capture các bản tin http, ftp, ssh…
    o Hỗ trợ xem trực tiếp các bản tin điều khiển hệ thống Linux thông qua
    Wireshark
    - TCPDUMP là công cụ có khả năng capturing packets mạnh mẽ. Hoạt động
    trên network layer, TCPDUMP có thể capture tất cả các gói ra vào máy tính.
    Ngoài ra, TCPDUMP cũng được sử dụng để capture và save các gói tới một
    file cụ thể và phân tích sau.
    - TCPDUMP sẽ xuất ra màn hình nội dung các gói tin chạy trên card nhà
    mạng mà máy chủ đang lắng nghe sao cho phù hợp với biểu thức logic chọn
    lọc mà khách hàng đã sử dụng và nhập vào máy tính. Khách hàng có thể
    xuất ra các mô tả về gói tin thành một file pcap để phân tích sau dựa trên
    từng loại tùy chọn khác nhau. Để đọc được nội dung của file pcap này, bạn
    chỉ cần sử dụng các phần mềm khác như Wireshark hay với option -r của
    lệnh TCPDUMP.
    b. Wireshark
    - Wireshark là một ứng dụng dùng để bắt (capture), phân tích và xác định các
    vấn đề liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy
    cập bất thường. Phần mềm này cho phép quản trị viên hiểu sâu hơn các
    Network Packets đang chạy trên hệ thống, qua đó dễ dàng xác định các
    nguyên nhân chính xác gây ra lỗi.
    - Tính năng:
    o Hỗ trợ phân tích sâu hàng trăm giao thức và liên tục được cập nhật.
    o Live capture và phân tích offline.
    o Hoạt động đa nền tảng
    o Các gói tin đã capture có thể xem bằng giao diện hoặc sử dụng
    command line (tshark).
    o Display filter mạnh mẽ.
    o Hỗ trợ phân tích VoIP chuyên sâu
    - Như đã đề cập ở trên, đây là một công cụ dùng để capture và phân tích các
    packet. Nó capture các lưu lượng mạng trên mạng cục bộ, sau đó sẽ lưu trữ
    nó để phân tích offline. Có thể capture các lưu lượng mạng từ các kết nối
    Ethernet, Bluetooth, Wireless (IEEE.802.11), Token Ring, Frame Relay…
    c. Network Miner
    - NetworkMiner là công cụ giám sát mạng, mã nguồn mở dành cho hệ điều
    hành Window. Công cụ này cũng được hỗ trợ để cài đặt trên Linux, Mac OS
    X và FreeBSD. Có hai phiên bản miễn phí và pro (có trả phí) để lựa chọn,
    trong đó, phiên bản trả phí có tính năng cho phép tìm kiếm trực tuyến thông
    tin về địa chỉ IP mà máy chủ (cài networkminer) đang có kết nối tới.
    - Những tính năng chính của NetworkMiner:
    o Giám sát mọi gói tin trao đổi ra/vào máy chủ, trong đó cho phép phát
    hiện ảnh, các file dữ liệu và tài khoản đăng nhập.
    o Dữ liệu hiển thị trực quan
    o Dung lượng nhẹ
    - Thông tin về từng địa chỉ IP (tên máy chủ, hệ điều hành, cổng, phiên…) sẽ
    được gộp chi tiết vào một node, chỉ cần click vào là xem được các thông tin
    chi tiết.
    2. Các bước thực hiện
    a. Sử dụng tcpdump
    - Trên máy Linux attack trong mạng Internal, đăng nhập Linux Sniffer và xem
    tất cả các interfaces trong hệ thống (root@bt:~#ifconfig -a)
    - Trên máy Linux attack trong mạng Internal, kích hoạt interfaces(eth0) hoạt
    động ở chế độ hỗn hợp, sau đó khởi động tcpdump. Bắt gói tin trên dải mạng
    192.168.100.0/24 và gửi vào một file (thời gian chờ dữ liệu trong khoảng 5
    phút).
    - Trên máy Window victim, đăng nhập Window Server và tiến hành ping đến
    dải mạng internal và dải mạng external

    - Trên máy Linux attack, tiến hành bắt gói tin bằng tcpdump, và lưu dữ liệu
    vào file pcap.

    b. Sử dụng Wireshark để bắt và phân tích các gói tin


    - Tải Wireshark

    - Trên máy Linux attack, bật interfaces eth0 và khởi động Wireshark. Trong
    Capture Interfaces chọn Start ở dòng eth0 để bắt gói tin trên dải mạng
    192.168.100.0

    - Trên máy Windows victim kết nối tới ftp server (C:\ftp 192.168.100.201)
    - Trên Linux Sniffer dừng quá trình bắt gói tin và tiến hành lọc gói tin theo
    giao thức ftp

    c. Sử dụng Network Miner để bắt và phân tích các gói tin


    - Trên máy Windows Internal Attack khởi động Network Miner và chọn
    Socket: Intel® PRO/1000MT Network Connection(192.168.100.5) và bắt
    đầu bắt gói tin. Sử dụng Internet Explorer để kết nối đến trang web của
    Windows Server Internal Victim: http://192.168.100.201/. Sau đó dừng quá
    trình bắt gói tin.

    - Trong Network Miner, chọn File/ index.html để xem dữ liệu gói tin vừa bắt
    được.

    You might also like