Chủ đề forensics: Các kỹ thuật cơ bản với Wireshark cho newbie

vinamilk

W-------
20/08/2015
6
8 bài viết
Chủ đề forensics: Các kỹ thuật cơ bản với Wireshark cho newbie
Nhắc đến forensics chắc hẳn mọi người đều nghĩ đến ngay một số tool thân thuộc phổ biến mà bất kỳ ai nghiên cứu trong lĩnh vực này đều luôn phải mang theo bên mình. Trong số đó có lẽ mọi người đã quá quen “tay” với phần mềm mà tôi sắp nói tới ở đây đó là: Wireshark

Wireshark.png

Nhưng trong bài viết ngày hôm nay với kiến thức hạn hẹp của mình tôi sẽ chỉ hướng đến đối tượng là những người mới bắt đầu. Hi vọng nó sẽ bổ ích và giúp các bạn tiết kiệm được nhiều thời gian làm quen hơn, chứ không vất vả và hoa mắt với một đống xanh đỏ tím vàng hiện trên giao diện của wireshark như tôi ngày trước.

I/ Giới thiệu

Cái gì cũng đều có khởi nguồn của nó? Vậy Wireshark là gì? Ứng dụng của nó đối với forensics???

Wireshark là một công cụ phân tích các gói tin trên hệ thống mạng. Nó sẽ capture các gọi dữ liệu trên hệ thống mạng và hiển thị chúng lên giao diện của phần mềm này một cách chi tiết. Bạn có thể hiểu nó như một thiết bị đo lường nhằm khảo sát những thứ đang diễn ra bên trong hệ thống mạng.

Những công cụ có chức năng tương tự như wireshark trước kia thường rất đắt đỏ, hoặc là chỉ được sử dụng nội bộ mà không công bố rộng rãi. Tuy nhiên với sự ra đời của Wireshark, mọi chuyện đã thay đổi.

Wireshark được xem như một trong những phần mềm phân tích gói tin mã nguồn mở phổ biến và tốt nhất hiện nay.

Từ những giới thiệu ở trên ta có thể thấy được đây sẽ là một công cụ đắc lực đối với forensics mà cụ thể ở đây đó là Network Forensics với công việc chính là thu thập và phân tích các gói tin được truyền qua các thiết bị đầu cuối, từ đó phát hiện, cảnh báo các dấu hiệu bất thường trong hệ thống mạng.

II/ Làm quen với WireShark và các kỹ thuật hữu ích
Để nắm được một các khái quát nhất về các tiện ích mà Wireshark hỗ trợ cũng như làm quen với giao diện của Wireshark, tôi nghĩ có thể các bạn có thể tham khảo ở địa chỉ này:
http://forum.bkav.com.vn/forum/bkav...shark-de-thuc-hien-chuc-nang-giam-sat-mang-p2

Như đã đề cập trên tiêu đề bài viết, sau đây tôi sẽ nêu những thủ thuật mà được sử dụng nhiều trên wireshark, hỗ trợ đắc lực cho các bạn trong việc đọc hiểu những gì đang diễn ra trong hệ thống mạng cũng như giải quyết các vấn đề trong Network Forensics

1/ Filter

Filter là một công cụ rất hữu ích để lọc và tìm những gói tin mong muốn trong số rất nhiều các gọi tin mà wireshark bắt được.
Ở đây t sẽ lấy ví dụ với một file pcap mà tôi nhận được khi làm một bài CTF về forensic. Giao diện mà bạn nhận được sau khi dùng Wireshark để mở gói tin này như sau:


1.jpg

Bạn có thể thấy trường filter được hiển thị ngay trên giao diện chính. Bạn nhập thông tin ngay ở đây và và nhấn enter để tiến hành quá trình lọc lấy gói tin mà mình muốn khảo sát. Hoặc bạn cũng có thể sử dụng filter trong mục: Analyze=> Display filter

Thông tin nhập vào ô filter này có cấu trúc giống như một câu truy vấn và bạn cũng có thể sử dụng những toán tử thông thường như:

eq, == Equal
ne, != Not Equal
gt, > Greater Than
lt, < Less Than
ge, >= Greater than or Equal to
le, show các gói tin có địa chỉ IP đích là: value ( dst viết tắt destination )
Ví dụ: ip.dst==216.58.208.227


2.jpg

Tương tự nếu muốn lọc theo địa chỉ nguồn ta dung ip.src ( resource)

Gói tin được tìn thấy sẽ được làm nổi bật trên giao diện để tôi dễ dàng nhận ra.

2.Lọc theo protocol

Nếu muốn tìm tất cả những gói tin có cùng kiểu protocol ta chỉ cần nhập kiểu protocol và ô filter
Ví dụ:


3.jpg

Hay:


4.jpg

Hoặc một tạo filter mạnh hơn nữa: tcp.port == 80 => và nó sẽ trả về các packet có protocol là TCP và chạy qua cổng 80 ( ở địa chỉ nguồn hoặc đích ).


5.jpg

3.Lọc các gói tin HTTP GET/POST

Theo tôi thì đây là một filter rất hay vì khi điều tra về một vấn đề xảy ra trong mạng thì việc tìm những gói tin GET/POST thường ẩn chứa rất nhiều thông tin hữu ích.

Ta nhập vào ô filter theo cấu trúc:

http.request or http.response => trả về các gói tín mang tính chất được miêu tả trong mệnh đề:

6.jpg

7.jpg

Hoặc sử dụng các mệnh đề mạnh hơn: http.request.method == POST ( GET )


8.jpg

4.tcp.flags.reset==1

Filter này thì ít dung hơn nhưng cũng là một thủ thuật hay vì nó cho ta biết về trạng thái của các connection trong mạng. Đây cũng là một điểm mà hacker sử dụng để thực hiện các cuộc tấn công “forged TCP resets”

LƯU Ý: sau khi sử dụng ô filter bạn click vào Clear ở bên phải để trở về giao diện với đầy đủ các gói tin ban đầu nhé!
2/ CRL+F

Đây là một kỹ thuật mà ai cũng biết nhưng đôi khi rất hay quên. Đặc biệt là trong Wireshark thì nó là một công cụ quyền lực, nó thay thế hay hỗ trợ rất nhiều cho filter. Hộp tùy chọn khi sử dụng tổ hợp phím này như sau:


9.png

Ở đây có các tùy chọn: ( mình chỉ nếu vài cái chính và hay dùng )

Display Filter: có vai trò tương đương với ô filter ở giao diện chính

Hex value: Tìm những gói tin có các giá trị hexa tương ứng (khung dưới cùng ở giao diện)

String: Tìm những gói tin chứa string tương ứng

Còn các tùy chọn trong mục search in: Cho biết bạn muốn tìm những giá trị trên trong khung nào ( có 3 khung tương ứng từ trên xuống dưới )

  • Đây thực sự là một công cụ hữu ích nhất là khi bạn đã có chút manh mối nào đó về gói tin mà mình cần quan tâm ( một cái tên hay là một mã hex gì đó để nhận diện chả hạn )
3/ Follow TCP Stream

Đây là một tùy chọn trong mục Analyze mà chắc hẳn bất kì ai sử dụng Wireshark đều đã từng dùng qua: ( hoặc nhanh hơn bạn có thể click chuột phải vào gói tin cần khảo sát và chọn Follow TCP Stream)

Để thực hiên một giao tiếp giữa client và server thì không chỉ một mà có nhiều các gói tin được chuyển qua lại. Vì vây tùy chọn này rất có ích trong việc cho bạn một cái nhìn toàn thể và dễ hiểu về toàn bộ sự tương tác giữa 2 máy tính. Những thông tin ta thu được sẽ được hiển thị trong cửa sổ sau:


10.png

Đóng cửa sổ này lại và filter sẽ tự động được áp dụng, Wireshark tiếp tục hiển thị đầy đủ và chính xác các package có liên quan:
11.jpg

4/ Export HTTP Object

Đây là một tính năng rất được ưa thích. Bạn bắt được hàng trăm gói tin. Nhưng trong số đó chỉ có một số ít gói có chứa các đối tượng thông tin hữu ich, dễ nhận biết như một file ảnh hay một file text hay một đoạn html chả hạn. Vậy làm cách nào để bạn có thể tìm được những thứ đó trong một đống hỗn độn các gói tin như thế này. Câu trả lời chính là đây:

File=> object=>http

Và bạn sẽ thu được một list các đối tượng đã được chiết suất từ tất các gói tin mà wireshark bắt được:

148993994514.png


Ngoài ra thì Wireshark còn có mục Statistics trên menu cũng có rất nhiều các tính năng hấp dẫn và còn một số kỹ thuật hữu ích khác nhưng do đối tượng của bài viết là các bạn newbie cũng như thời gian có hạn nên mình xin tạm dừng ở đây.

III/ Kết luận

Thực ra cũng chẳng có gì nhiều để nói nhưng theo minh thì để có thể khai thác tốt nhất wireshark nói chung và phục vụ forensics nói riêng thì bạn nên có nền tảng kiến thức vững chắc về mạng máy tính trước đã. Vậy thôi! ^_^

Bài viết còn nhiều thiếu xót. Mong các pro góp ý thêm.

Cảm ơn các bạn đã đọc đến tận đây! kk
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Chủ đề forensics: Các kỹ thuật cơ bản với Wireshark cho newbie

Bài viết rất hay và chi tiết, tuy nhiên sai chính tả hơi nhiều :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Chủ đề forensics: Các kỹ thuật cơ bản với Wireshark cho newbie

Bài viết hay đấy, không biết bạn có thể ví dụ 1 bài for trong ctf nào có dùng Wireshark để mình rõ hơn không, cũng đang muốn tìm hiểu.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Chủ đề forensics: Các kỹ thuật cơ bản với Wireshark cho newbie

Cảm ơn về những góp ý chân thành của bạn! ;)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Chủ đề forensics: Các kỹ thuật cơ bản với Wireshark cho newbie

Mình có một bài tập về wireshark, mong các bạn chỉ giáo và cho đáp án nhé. Bài tập như sau:


Một hacker mũ trắng tên là A chạy Wireshark để bắt tất cả các gói tin ra/vào máy tính của mình qua card mạng. Sau đó ông A đã ghi tất cả các gói tin Wireshark bắt được vào file “Capture.libpcap (Link Đính kèm ).
Trong buổi làm việc đó ông A đã “ping” đến nhiều site khác nhau, trong đó có các site được liệt kê bên dưới.
Cho biết:
1. Ông A truy cập Internet qua kết nối ADSL.
2. ADSL Ethernet Router của ông A có địa chỉ MAC là 00:22:6b:ff:02:f8.
3. Máy của ông A có địa chỉ IP là 192.168.1.100
-------------------------------------------------------------------------------------------------------------------------
Hãy dùng wireshark để mở file “Capture.libpcap”, phân tích và trả lời các câu hỏi sau đây:

1. Địa chỉ MAC máy của ông A là gì?
2. Site số 1 có trả lời gói tin ICMP “Echo (ping) request” không? (trả lời có hoặc không):
3. Site số 2 có các địa chỉ IP sau (liệt kê tối đa 3 địa chỉ đầu tiên):
4. Nếu site 1 có trả lời, hãy cho biết số thứ tự các gói tin ICMP “Echo (ping) request” tới site 1 .
5. Nếu có trả lời, hãy cho biết số thứ tự các gói tin ICMP “Echo (ping) reply” tương ứng:
6. Có bao nhiêu site không trả lời lệnh ping của ông A: Có ... sites là (tên hoặc địa chỉ IP):
7. Có bao nhiêu site có trả lời lệnh ping của ông A, nhưng không trả lời 100% số gói tin ICMP “Echo (ping) request”:
8. Máy tính của ông A sử dụng card mạng (NIC) có dây hay không dây ? (trả lời có hoặc không):
9. Site 18 có (các) địa chỉ IP thuộc quốc gia nào?:
10. Ông A đã ping đến bao nhiêu sites khác nhau?
11. Trong số các site mà Ông A đã ping đến, site có nhiều địa chỉ IP nhất là .... địa chỉ IP; tên site đó là: ...
STTTên site
1. annonymous.online.fr
2. axn.jumboplay.com
3. basao.com
4. common-lisp.net[/URL]
5. freevideolectures.com
6. games.yahoo.com
7. home.vnn.vn
8. maps.google.com
9. navigators.com
10. new.music.yahoo.com
11. pcguide.com
12. smallbusiness.yahoo.com
13. sports.yahoo.com
14. support.mozilla.com
15. vietnamnet.net
16. wikimapia.org
17. wikipedia.org
18. williamstallings.com
19. windowsvn.net[/URL]
20. www.24h.com.vn[/URL]
21. www.aa.com[/URL]
22. www.acm.com[/URL]
23. www.acm.org[/URL]
24. www.ams.org[/URL]
25. www.auto-nomos.de[/URL]
26. www.baodatviet.vn[/URL]
27. www.baomoi.com[/URL]
28. www.bbc.com[/URL]
29. www.bigbigsale.vn[/URL]
30. www.cable-modems.org[/URL]
31. www.cramster.com[/URL]
32. www.cse.iitd.ernet.in
33. www.cse.usf.edu[/URL]
34. www.cut-the-knot.org[/URL]
35. www.dantri.com.vn[/URL]
36. www.diadiem.com[/URL]
37. www.diendantinhoc.com[/URL]
38. www.dulichkhachsan.com[/URL]
39. www.educypedia.be[/URL]
40. www.flashget.com[/URL]
41. www.google.com[/URL]
42. www.google.com.vn[/URL]
43. www.gsmworld.com[/URL]
44. www.hut.edu.vn[/URL]
45. www.i-today.com.vn[/URL]
46. www.icir.org[/URL]
47. www.isi.edu[/URL]
48. www.laodong.com.vn[/URL]
49. www.laynetworks.com[/URL]
50. www.lingoes.net[/URL]
51. www.mathpropress.com[/URL]
52. www.nhantaidatviet.vnn.vn[/URL]
53. www.pclehoan.com[/URL]
54. www.qdnd.vn[/URL]
55. www.techdictionary.com[/URL]
56. www.uwtv.org[/URL]
57. www.vatgia.com.vn[/URL]
58. www.vietnamairline.com.vn[/URL]
59. www.vnexpress.net[/URL]
60. www.vnu.edu.vn[/URL]
61. www.voa.com[/URL]
62. www.vtc.com.vn[/URL]
63. www.vuongquocgames.com[/URL]
64. www1.vtc.com.vn[/URL]
65. v.v.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Chủ đề forensics: Các kỹ thuật cơ bản với Wireshark cho newbie

nktung;27472 đã viết:
Mình có một bài tập về wireshark, mong các bạn chỉ giáo và cho đáp án nhé. Bài tập như sau:
...

Link tải “Capture.libpcaphỏng rồi kìa anh.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Chủ đề forensics: Các kỹ thuật cơ bản với Wireshark cho newbie

whf;27474 đã viết:
Link tải “Capture.libpcaphỏng rồi kìa anh.
Mình sửa lại rồi nhé
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
forensics wireshark
Bên trên