Báo cáo quản trị hệ thống mạng với công cụ Wireshark
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.09 MB, 32 trang )
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN TPHCM
KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG
BÀI BÁO CÁO MÔN
QUẢN TRỊ HỆ THỐNG MẠNG
Giáo viên hướng dẫn: Vũ Trí Dũng
Sinh viên :
Trần Minh Hiếu
07520122
Phạm Trương Hoàng Tuấn 07520386
Phạm Nguyên Huy
07520472
NỘI DUNG
1. Giới thiệu về WireShark
2. Phân tích gói tin với WireShark
3. So sánh WireShark với một vài tool khác.
4. Các ưu nhược điểm và một vài lời khuyên khi sử
dụng WireShark
5. Câu Hỏi
6. Tài Liệu Tham Khảo
1. Giới thiệu Wireshark
1.1 Lịch sử:
- Năm 1998, Gerald Combs là
người đầu tiên phát triển phần mềm
này. Phiên bản đầu tiên được gọi là
Ethereal.
- Năm 2006 ,đổi tên là WireShark.
1. Giới thiệu Wireshark
1.2 Giới thiệu:
- Wireshark là một bộ phân tích giao thức mạng, có
thể capture, thanh tra và hiển thị lưu lượng cho nhiều
giao thức mạng.
- Là phần mềm nguồn mở, chạy được trên nhiều nền
tảng: Windows, Linux, Mac OS X ... .
- Nó có một giao diện GUI dễ sử dụng
1. Giới thiệu Wireshark
1. Giới thiệu Wireshark
Wireshark gồm các phần :
1.Phần Menu
2.Phần Filters Toolbar
3.Phần Packet List Pannel
4.Phần Packet Details
5.Phần Packet Bytes
6.Phần StatusBar
1. Giới thiệu Wireshark
Kết quả hiển thị bắt gói tin ở phần Packet List Pannel
Các cột cơ bản của phần trên :
No : Hiển thị số thứ tự của gói tin
Time : Thời gian kể từ khi bắt đầu thực hiện bắt gói tin
Source : Địa chỉ nguồn của gói tin
Destination : Địa chỉ đích của gói tin
Protocol : giao thức của gói tin
Info : Thông tin nội dung gói tin
Nền đen chữ đỏ : gói tin TCP bị lỗi
Nền xanh nhạt : gói tin UDP
Nền xanh lá cây : gói tin HTTP
1. Giới thiệu Wireshark
Để biết rõ qui định màu của wireshark , vào mục View->
Coloring Rules để xem chi tiết
1. Giới thiệu Wireshark
Hệ thống tập tin của wireshark
2. Phân tích gói tin với Wireshark
Phân tích gói tin: mô tả quá trình bắt và phiên dịch các dữ
liệu sống như là các luồng đang lưu chuyển trong mạng
với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng.
Phân tích gói tin có thể giúp chung ta hiểu cấu tạo mạng,
xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra
những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ
ra các khả năng tấn công và các hành vi phá hoại, và tìm
ra các ứng dụng không được bảo mật.
2. Phân tích gói tin với Wireshark
Các bước nghe (phân tích) gói tin
Thu thập dữ liệu
Chuyển đổi dữ liệu
Phân tích
2. Phân tích gói tin với Wireshark
Ví Dụ 1
Tình huống : cả mạng download rất chậm
Tiến hành : đặt wireshark lắng nghe toàn bộ đầu
ra của mạng
2. Phân tích gói tin với Wireshark
Phân thích : hình ảnh dưới đây cho thấy có rất nhiều kết nối TCP,HTTP điều này
có nghĩa là có rất nhiều kết nối HTTP download dữ liệu về nên chiếm băng thông
của mạng.
2. Phân tích gói tin với Wireshark
Mở cửa sổ
Analyze->Expert
Infos để thấy
thêm thông tin ,
mặc định sẽ hiển
thị tất cả
Mục Severity
filter chọn
Error+Warn+No
te ta sẽ có các
thông tin như bên.
2. Phân tích gói tin với Wireshark
Hình trên cho thấy:
Có rất nhiều kết nối TCP do chương trình Window update mở
có hiện tượng TCP Previous segment lost packets và các gói tin TCP gửi đi bị
lặp ACK và bị drop, khiến TCP phải gửi lại gói tin.
Kết luận :
Nguyên nhân do download chậm là có nhiều chương trình
Windows update (có thể các máy để auto update) và hiện
tượng mất gói tin. Như vậy cần tắt bớt các chương trình
Windows update.
2. Phân tích gói tin với Wireshark
Ví dụ 2 :
Hiện tượng : máy tính của A khi duyệt web thì trình
duyệt tự động trỏ đến rất nhiều trang quảng cáo. Khi A
thay đổi bằng tay thì vẫn bị hiện tượng đó thậm chí khởi
động lại máy cũng vẫn bị như thế.
Thông tin chúng ta có :
A không thạo về máy tính lắm
Máy tính của A dùng Widows XP, IE
2. Phân tích gói tin với Wireshark
Tiến hành bắt gói tin trên máy tính A bằng phần mềm
wireshark
2. Phân tích gói tin với Wireshark
Xem xét chi tiết gói tin HTTP (gói tin thứ 5)
Từ máy tính gửi yêu cầu GET của HTTP đến địa chỉ như
trên hình:
Đây là địa chỉ mà A không hề truy cập đến , dùng chương trình Task Manager hay
Process Manager để xem thử có tiến trình nào lạ đang chạy không
2. Phân tích gói tin với Wireshark
Dùng chương trình task manager hay Process Explore để
xem có tiến trình nào lạ đang chạy không , nếu có thử tắt
và sau khi tắt có còn hiện tượng đó không
Kết Luận : Thông thường nhưng chương trình đó là virus
, spy hoặc trojan được gắn vào máy với mục đích có thể
là phá hoại hoặc là quảng cáo 1 chương trình của người
phá hoại
3. So sánh wireshark với một vài công cụ
khác
Wireshark & LANView
Giao diện
sử dụng
LANView
Wireshark & LANView
LANView là phần mềm thương mại có kích thước nhỏ
gọn, chỉ với 2.8 MB , trong khi đó wireshark là một phần
mềm mã nguồn mở hoàn toàn miễn phí
Giao diện cực kì đơn giản hơn wireshark nhiều nhưng
cũng có rất nhiều chức năng quan trọng
Có nhiều công cụ khác nhau như scan port và host,
network connection, broadcast message, remote
shutdown, lookup host ,hiện biểu đồ giao thông mạng ,
xem thông tin ip , host , địa chỉ MAC của một máy tính
dễ dàng hơn wireshark.
Wireshark & LANView
Cửa sổ tùy chọn bắt gói tin trong LANView
Wireshark & LANView
Kết luận : ta có thể sử dụng kết hợp công cụ này với
Wireshark để việc quản lý chính xác , đầy đủ hơn
Wireshark & Etherscan Analyzer
Giao diện của Etherscan
Wireshark & Etherscan Analyzer
Etherscan là phần mềm thương mại phân tích gói tin hoạt
động trên nền window ,
Tính năng lọc gói nâng cao
Ngoài việc bắt và phân tích gói tin trên giao tiếp mạng của
máy tính, Etherscan có thể lưu lại (save) và tải (load) những
gói tin trong file, có thể gửi 1 gói tin do mình tự tạo lên
mạng -> chức năng này Wireshark không có
