Tài liệu Nghiên cứu phương pháp giám sát phân tích thông tin ra vào hệ thống mạng doanh nghiệp

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------------------- NGUYỄN XUÂN TRƯỜNG NGHIÊN CỨU PHƯƠNG PHÁP GIÁM SÁT, PHÂN TÍCH THÔNG TIN VÀO RA HỆ THỐNG MẠNG DOANH NGHIỆP Chuyên ngành: Kỹ thuật Điện tử Mã số: 60.52.70 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NÔI - 2012 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS. Trịnh Anh Tuấn Phản biện 1: …………………………………………… Phản biện 2: …………………………………………… Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ........ Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 1 MỞ ĐẦU Xã hội hiện đại ngày nay, việc sử dụng mạng máy tính đã trở nên quen thuộc đối với mọi người trong xã hội, như xã hội điện tử (chính phủ điện tử, cổng thông tin điện tử, ngân hàng điện tử, chợ điện tử... ). Cùng với sự phát triển của công nghệ thông tin và nhu cầu của con người, mạng máy tính cũng càng ngày càng mở rộng và trở thành một phần không thể thiếu của đời sống. Tuy nhiên, cùng với sự phát triển của mạng máy tính, rất nhiều vấn đề liên quan cũng được đặt ra đối với người sử dụng như lỗi đường truyền, virus, sự tấn công của các tin tặc hacker làm rối loạn, gây hỏng hóc và trộm cắp thông tin quan trọng.... Để góp phần giải quyết những vấn đề này thì việc kiểm soát lượng thông tin vào ra trong 1 mạng cơ quan doanh nghiệp, mang một ý nghĩa rất quan trọng. Chính vì vậy em lựa chọn thực hiện đồ án tốt nghiệp là “Nghiên cứu phương pháp giám sát, phân tích thông tin vào ra, hệ thống mạng doanh nghiệp ” nhằm mục đích cung cấp một công cụ hữu ích cho việc kiểm soát lưu lượng thông tin vào ra cho doanh nghiệp của mình được an toàn. Luận văn tập trung chủ yếu đến một số nội dung cơ bản sau: Chương I: Tổng quan đề tài Chương này đề cập một cách tổng quan về nguy cơ đối với an ninh mạng, các hình thức tấn công qua mạng hiện đại, các phương pháp quản lý giám sát an ninh phòng chống, từ đó đặt ra vấn đề nghiên cứu của luận văn. Chương II: Kỹ thuật chặn bắt và phân tích gói tin 2 Chương này cho ta hiểu biết khái quát chung, thế nào là chặn bắt và phân tích gói tin, các khái niệm liên quan, và cách thức nguyên lý hoạt động, cũng như cấu tạo của chương trình sniffer. Các phương pháp kỹ thuật được sử dụng trong chương trình chặn bắt Chương III: Ứng dụng của chương trình chặn bắt và phân tích gói tin Chương này ở phần 1 chúng ta tìm hiểu về giao thức TCP/IP và khuôn dạng đóng gói dữ liệu của các gói tin theo giao thức khác nhau. Phần 2 chúng ta tìm hiểu về chương trình chặn bắt và phân tích gói tin wireshark. 3 CHƯƠNG I – TỔNG QUAN ĐỀ TÀI PH N 1. GI I THI U Đ TÀI 1.1 Nguy c đ i v i an ninh m ng a) Mất an ninh mạng có thể xảy đến với toàn mạng và bất cứ phần tử nào của mạng. Sự mất an toàn có thể xảy đến với thông tin lưu trữ trong một host, một web server, một router, một mail server, proxy server, … hay đối với các thông tin lưu thông trong mạng và cả băng thông của mạng. b) Mất an ninh mạng có thể đến từ ngoài và cả bên trong nội bộ hệ thống mạng, trong đó Internet không phải là nguồn duy nhất. Hacker có thể là người hoàn toàn xa lạ từ bên ngoài thâm nhập vào mà cũng có thể là nhân viên ở phòng bên cạnh hay chính là một trong những người sử dụng mạng nội bộ. c) Mất an ninh mạng có thể đến từ người sử dụng hợp pháp lẫn không hợp pháp. Người sử dụng hợp pháp thì thường có sẵn những quyền nhất định đối với hệ thống mạng nên nếu họ có ý định hack một phần tử nào đó của mạng thì tổn thất cũng sẽ lớn hơn. d) Mất an ninh mạng có thể do hành động cố ý hoặc chỉ là vô tình. Ngoài những hành động cố ý phá hoại thì có thể chúng ta sẽ vô tình để lộ những dấu vết, điểm yếu của hệ thống mạng trong khi sử dụng, vô tình sử dụng một phần mềm có hại, từ đó dẫn đến việc hacker có thể lợi dụng 4 Hình 1.2: Mô hình các loại tổ chức bị tin tặc hacker tấn công 1.2 M c đích nghiên c u c a đ tài Đánh giá phân tích lưu lượng thông tin đi vào và đi ra của doanh nghiệp, qua đó giám sát được an ninh bảo mật về các luồng thông tin vào ra này có bị dòm ngó bởi các cuộc tấn công từ bên ngoài cũng như lỗ hổng bảo mật, điểm yếu phát sinh từ bên trong, mà người quản trị sẽ lường trước được rủi ro sẽ xảy ra, từ đó đưa ra các phương án chính sách phòng chống hợp lý, tránh trường hợp xấu và đáng tiếc xảy ra như (mất dữ liệu, mất thông tin password, nghẽn mạng, thông tin đưa lên bị sai lệch nội dung, bị lợi dụng làm phần tử tham gia vào các cuộc tấn công mà không hề biết...., ảnh hưởng không nhỏ đến lợi ích của doanh nghiệp cũng như lợi ích của từng cá nhân bên trong doanh nghiệp. 1.3 M c tiêu và mong mu n k t qu đ t đ c c a đ tài a) Mục tiêu của đề tài là nghiên cứu xây dựng được 1 hệ thống giám sát thông tin cho cơ quan với số lượng người sử dụng khoảng 500, đảm bảo được an ninh, an toàn cho người sử 5 dụng mạng trong cơ quan trao đổi thông tin với nhau bên trong, cũng như đi ra bên ngoài internet. b) Mong muốn kết quả đạt được của đề tài là đem lại sự hiểu biết sâu sắc hơn cho người quản trị mạng, và người sử dụng mạng về việc làm thế nào để biết được và phân tích được gói tin đi vào và đi ra của mình trên mạng sao cho an toàn, đảm bảo không bị mất mát dữ liệu, thông tin, hay bị dòm ngó bới hacker.... và hướng cho người quản trị biết cách phát hiện và phòng tránh cũng như sử dụng biện pháp ngăn chặn hữu ích nhất cho hệ thống. c) Tóm tắt các tiêu chí đặt ra cho mục tiêu như sau - Phân tích hiệu năng làm việc hoặc sự cố mạng. - Nhận biết sự xâm nhập mạng, rò rỉ thông tin - Quản lý sử dụng mạng. - Tập hợp thông tin báo cáo về trạng thái mạng. - Sửa lỗi, bảo trì các hình thái, giao thức mạng. - Lọc lấy thông tin cần thiết được lưu chuyển trên mạng, đưa về dạng phù hợp để con người có thể đọc. - Hiểu được cấu tạo mạng, biết được ai đang sử dụng băng thông mạng, phát hiện các điểm yếu, các khả năng tấn công và các hành vi phá hoại - Chặn bắt, giải mã và phân tích nội dung phần header của gói tin, nhằm phát hiện nguồn gốc của gói tin, cũng như mã độc ẩn chứa bên trong gói tin 6 Hình 1.3: Mô hình hệ thống tường lửa, giám sát mạng 1.4 Đ i t ng và ph m vi nghiên c u c a đ tài Áp dụng đối với doanh nghiệp, công ty, đơn vị nhà nước vừa và nhỏ. Trong phạm vi của đề tài sẽ được thực hiện trên hệ điều hành Window và sử dụng bộ giao thức TCP/IP Ethernet nên trong phần này, sẽ trình bày những vấn đề cơ bản nhất của mạng Ethernet. 1.5 Ph ng pháp nghiên c u c a đ tài Phân tích nội dung gói tin vào ra mạng bằng phương pháp sử dụng phần mềm sniffer để bắt giữ gói tin lại, sau đó đưa vào xử lý phân tích Packet Analyzer. Cuối cùng đưa ra màn hình hiển thị thông báo cảnh báo cho người quản trị hệ thống PH N 2. GI I THI U CÁC HÌNH TH C T N CÔNG 1. Các hình th c t n công 1.1. T n công t ch i d ch v DoS/DdoS Đây là dạng tấn công phá hoại, làm lụt máy chủ bằng cách gửi rất nhiều request đến (từ rất nhiều địa chỉ IP) làm cho máy chủ 7 không đủ khả năng xử lý (đo bằng số request/giây), thường hacker giả mạo địa chỉ IP nguồn, giả mạo nhiều địa chỉ và dùng các giao thức khác nhau (TCP, IP) để bước qua hệ thống an ninh, nạn nhân khó phân biệt giữa hacker và người sử dụng bình thường 1.2. Gi m o đ a ch IP - IP Spoofing Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi. 1.3. T n công tr c ti p Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. 1.4. Nghe tr m Việc nghe trộm thông tin trên mạng có thể để lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập truy cập hệ thống. 8 1.5. Vô hi u hóa các ch c năng c a h th ng m c tiêu Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. 1.6. S d ng l i c a ng i qu n tr h th ng Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. 2. Các k thu t xâm nh p m ng 2.1. RÌNH MÒ (SNOOPING) Đa số người sử dụng đều nghĩ rằng dữ liệu truyền đi từ máy tính của mình sẽ được bảo vệ và có thể chu du khắp Internet mà không bị một kẻ nào đó chặn lại. Nhưng thực ra đây là một quan niệm sai lầm. Sự kết hợp của các máy tính bị tấn công và các lỗ hổng trong mạng không dây đã làm tăng đáng kể khả năng xâm nhập vào luồng thông tin đang lưu chuyển của bạn. 2.2. ĐÁNH LỪA (SPOOFING), (ĐÁNH LỪA IP,…) Đây là sự giả mạo địa chỉ IP hoặc khống chế tập lưu trữ thông tin về địa chỉ này trong hệ thống mạng. Hacker thường dùng cách này để mạo danh là máy tính hợp pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn công. 9 2.3. ĐIỆP VIÊN( AGENT) Hiện nay, việc sử dụng Keylogger khá phổ biến ở Việt Nam. Các chương trình này được truyền nhau thông qua các diễn đàn (forum) trên mạng PH N 3. CÁC PH NG PHÁP QU N LÝ GI M SÁT AN NINH PHÒNG CH NG 1. H th ng t ng l a ISA Hệ thống ISA là hệ thống đáp ứng nhu cầu bảo vệ và chia sẻ băng thông trong các công ty có quy mô trung bình, hệ thống này dùng để kiểm soát các luồng dữ liệu vào ra hệ thống mạng nội bộ của công ty, kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian, và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp. 2. H th ng phát hi n xâm nh p trái phép IDS và ngăn ng a xâm nh p trái phép IPS Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập các cuộc tấn công, và tự động ngăn chặn các cuộc tấn công đó. IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó. 10 3. H th ng qu n lý giám sát, b t gi và phân tích chuyên sâu gói tin DPI (Deep packet inpection) wireshark Wireshark là 1 trong những ứng dụng phân tích dữ liệu gói tin lưu chuyển trên hệ thống mạng, với khả năng theo dõi, giám sát các gói tin theo thời gian thực, hiển thị chính xác, báo cáo cho người dùng qua giao diện khá đơn giản và thân thiện. Wireshark dùng để phân tích các giao thức của mạng, cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích hiệu năng làm việc hoặc sự cố mạng, nhận biết sự xâm nhập mạng, rò rỉ thông tin. 4. Nh n xét đánh giá so sánh u nh c đi m Để đảm bảo bảo mật an toàn tuyệt đối hệ thống mạng doanh nghiệp, thì phải kết hợp cả 3 loại phương pháp trên, bởi vì mỗi phương pháp có một ưu điểm nổi trội mạnh mẽ riêng của nó, cũng như nhược điểm của nó chưa có được mà phương pháp khác lại có được, ví dụ như ISA nó có ưu điểm chia sẻ băng thông, vpn, tăng tốc mạng, firewall, nhưng lại không phát hiện ra được có sự xâm nhập trái phép của hacker nhanh như IDS và nó cũng không thể nào biết được nội dung bên trong của gói tin đi vào đi ra doanh nghiệp có chứa hay tiềm ẩn mã độc hay không, mà phải nhờ vào sự phân tích chuyên sâu của hệ thống DPI wireshark. KẾT LUẬN CHƯƠNG: Chương này đưa ra cho chúng ta cái nhìn khái quát mọi vấn đề về an ninh an toàn hệ thống mạng hiện tại và các phương pháp phòng tránh nâng cao hiệu quả bảo 11 vệ thông tin, dữ liệu. Nhiệm vụ cấp thiết đề ra và mong muốn kết quả đạt được của đề tài này. CH NG II. K THU T CH N B T VÀ PHÂN TÍCH GÓI TIN 1. T ng Quan V Ch n B t Gói Tin (Sniffer) 1.1 Th nào là ch n b t và phân tích gói tin Phân tích gói tin, thông thường được quy vào việc nghe các gói tin và phân tích giao thức, mô tả quá trình bắt và phiên dịch các dữ liệu sống (thời gian thực) như là các luồng đang lưu chuyển trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng. Phân tích gói tin thường được thực hiện bởi một packet sniffer, một công cụ được sử dụng để bắt dữ liệu thô trên đang lưu chuyển trên đường dây. Phân tích gói tin có thể giúp chung ta hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật. 1.2 Các khái ni m liên quan  Packet là một đơn vị dữ liệu được định dạng để lưu chuyển trên mạng.  Network Traffic là lưu lượng thông tin vào/ra hệ thống mạng. Để có thể đo đạc, kiểm soát Network Traffic ta cần phải chặn bắt các gói tin (Packet capture).  Packet capture là hành động chặn bắt các packet dữ liệu được lưu chuyển trên mạng. Packet capture gồm có: 12 o Deep Packet Capture (DPC): là hành động chặn bắt toàn bộ các gói tin trên mạng (bao gồm cả phần header và payload). Các gói tin chặn bắt được sẽ được lưu trữ lại trong bộ nhớ tạm thời hoặc lâu dài. o Deep Packet Inspection (DPI): là quá trình kiểm tra, đánh giá để tìm ra nguyên nhân của những vấn đề của mạng, xác định nguy cơ an toàn bảo mật, chắc chắn mạng hoạt động chính xác về kỹ thuật và luật pháp. 1.3 ng d ng c a sniffer Bắt gói tin đối với mạng LAN có dây thì phụ thuộc vào cấu trúc của mạng (sử dụng hub hay switch) ta có thể chặn bắt toàn bộ hay một phần các thông tin trên mạng từ một nút duy nhất nằm trong mạng. Đối với hub ta có thể chặn bắt tất cả các gói tin truyền tải qua mạng, nhưng đối với switch cần phải có một số phương thức đặc biệt như ARP snoofing. Đối với mạng LAN không dây thì các gói tin được chặn bắt trên các kênh riêng biệt. 2. Cách Th c Ho t Đ ng 2.1. Theo dõi Network Traffic Trong phạm vi của báo cáo thực tập tốt nghiệp chỉ xét tới môi trường mạng có dây trong WindowXP, hay chính xác hơn là trong phạm vi chuẩn Ethernet. Ethernet được xây dựng dựa trên khái niệm chia sẻ. Tất cả các máy trong một mạng nội bộ đều được chia sẻ chung một đường dây. Điều đó chỉ ra rằng tất cả các máy trong mạng đều có thể “nhìn thấy” traffic trong đường dây đó. 13 Do đó, phần cứng Ethernet sẽ có một bộ lọc “filter” bỏ qua tất cả nhưng traffic không phải dành cho nó (bằng cách bỏ qua tất cả các frame có địa chỉ MAC không phù hợp). 2.2. Phân tích Network Traffic Khi dữ liệu được gửi trên đường dây, nó sẽ được chia nhỏ, đóng gói thành nhiều packet và được gửi đi một cách riêng biệt. Sniffer là chương trình sẽ chặn bắt các packet này. Sau khi đã tiến hành chặn bắt thành công các gói tin, chúng ta sẽ có được các packet mang thông tin. Tuy nhiên, để lấy được thông tin cần thiết phục vụ cho các mục đích khác nhau, chúng ta phải thực hiện việc phân tích các gói tin đó (Packet Analysis). 2.3. Các thành ph n c a m t ch ng trình sniffer Hardware: Phần cứng thỏa mãn các tiêu chuẩn của network adapter. Ngoài ra có thể có các tính năng đặc biệt bổ sung để kiểm tra lỗi CRC, lỗi điện thế, lỗi cáp... Capture driver : Là phần quan trọng nhất. Nó có nhiệm vụ bắt lấy network traffic trên đường dây, lưu trữ dữ liệu vào buffer và lọc lấy thông tin cần thiết. Buffer : Dữ liệu sau khi được lấy về sẽ được lưu trữ tạm thời tại buffer. Thường có 2 phương pháp sử dụng buffer: ghi vào cho tới khi buffer đầy, hoặc ghi theo phương pháp vòng tròn khi mà dữ liệu mới nhất sẽ thay thế dữ liệu cũ nhất. Real-time analysis: Phân tích traffic về protocol, kiểm tra lỗi khi capture packet. Decode: Giải mã và hiển thị nội dung của network traffic dưới dạng phù hợp tùy thuộc vào yêu cầu. 14 Packet editting/transmission: Một vài chương trình cho phép chúng ta tự tạo cho mình những packet và đưa chúng lên mạng. 2.4. Phòng ch ng sniffer Trước tiên, chắc chắn rằng không một máy riêng biệt nào có thể lắng nghe hay chặn bắt toàn bộ mạng Internet. Thứ hai, để có thể lắng nghe một liên kết, cần phải truy nhập được vào dây nối vật lý của liên kết đó (hay có thể tham gia vào giữa đường truyền vật lý của các gói tin). Vậy nên trước hết để phòng chống sniffer là ngăn chặn không để sniffer được cài đặt hay chạy trên bất kì máy nào trong mạng cũng như kiểm tra cẩn thận dây nối trong mạng (đối với mạng có dây). 3. Các ph ng pháp s d ng cho k thu t ch n b t 3.1. Raw Socket – m c h đi u hành Socket là một phương pháp để thiết lập kết nối truyền thông giữa một chương trình yêu cầu dịch vụ ( client) và một chương trình cung cấp dịch vụ (server) trên mạng LAN, WAN hay Internet và đôi lúc là giữa những quá trình ngay bên trong máy tính. Mỗi socket có thể được xem như một điểm cuối trong một kết nối. Một socket trên máy yêu cầu dịch vụ có địa chỉ mạng được cấp sẵn để “gọi” một socket trên máy cung cấp dịch vụ. Một khi socket đã được thiết lập phù hợp, hai máy tính có thể trao đổi dịch vụ và dữ liệu. 3.2. Pcap: M c network adapter Pcap (packet capture) bao gồm những giao diện lập trình ứng dụng (API) dùng để chặn bắt network traffic. Đối với các hệ 15 thống thuộc họ Unix ta có thư viện libpcap, còn đối với Window ta có thư viện được port từ libpcap là winpcap. 3.3. So sánh Raw Socket và Pcap Raw socket và pcap đều có thể được sử dụng để viết chương trình sniffer. Tuy nhiên socket chỉ có thể làm việc từ tầng thứ 4 trong mô hình OSI trở lên (transport layer trong TCP/IP) và raw socket có thể làm việc được với tầng thứ 3 trong mô hình OSI trở lên (network layer trong TCP/IP) còn pcap có thể làm việc với tầng thứ 2 trở lên trong mô hình OSI (link layer trong TCP/IP). Kết luận: Để xây dựng một ứng dụng sniffer, ta hoàn toàn có thể sử dụng bất kỳ một trong hai phương pháp trên. Tuy nhiên, tùy vào nhiều yếu tố khác nhau mà ta có thể chọn một trong hai phương pháp hay kết hợp cả hai phương pháp. 3.4. Winsock Là viết tắt của từ Window Socket. Là một thư viện socket, nó được dùng như là giao diện giữa TCP/IP và Windows. Winsock là một thư viện liên kết động .DLL chạy trên nên hệ điều hành Windows. WINSOCK.DLL liên hệ với TCP từ đó giao tiếp ra ngoài mạng Internet. Winsock thực sự như một tầng giữa các ứng dụng winsock và ngăn xếp TCP/IP. 3.5. NET Socket .NET Socket tương tự như Winsock là một thư viện lập trình socket cho window nhưng hoạt động trên nền .NET. Nói cách khác, .NET Socket là một giao diện lập trình “managed code” của Window Socket (Winsock), tức là nó hoạt động trên nền 16 Winsock. Do vậy, ta hầu như có thể coi lập trình với .NET Socket giống như lập trình với Winsock. Trong .NET Socket. 3.6. Winpcap Sử dụng Winpcap để xây dựng sniffer có nghĩa là thực hiện chặn bắt ở mức network adapter. Winpcap là một thư viện mã nguồn mở dành cho việc chặn bắt và phân tích gói tin trên nền hệ thống Win32. Rất nhiều các ứng dụng mạng hiện nay dựa trên Socket truy cập mạng dựa vào hệ điều hành do hệ điều hành đã thực hiện hầu như các công việc ở mức thấp. 4. Các b c th c hi n b t gi và phân tích t ng h p gói tin Trong phần này chúng ta sẽ phân tích phương hướng và giải thuật thực hiện chương trình mà không quan tâm tới công nghệ cụ thể. Để chặn bắt và phân tích gói tin, chương trình được cài đặt trên một máy độc lập có thể là máy chủ (gateway). Hình 2.1: Mô hình tổng quát xử lý của chương trình KẾT LUẬN CHƯƠNG: Chương này đem lại cho chúng ta sự hiểu biết về việc bắt giữ và phân tích gói tin như thế nào, dùng giải thuật và phương pháp nào để bắt giữ, sau đó phân tích các dữ liệu đó ra sao, các việc đó đem lại lợi ích gì, tư vấn cho 17 chúng ta biết cách nên lựa chọn giải thuật nào cho phù hợp, để đem lại lợi ích cao nhất CH NG III. NG D NG CH NG TRÌNH CH N B T, PHÂN TÍCH GÓI TIN 1. Tìm hi u v giao th c TCP/IP và các khuôn d ng d li u Đóng gói d li u trong TCP/IP Bộ giao thức TCP/IP dùng sự đóng gói dữ liệu nhằm trừu tượng hóa các giao thức và dịch vụ, nói cách khác là các giao thức ở tầng cao hơn sử dụng các giao thức ở tầng thấp hơn nhằm đạt được mục đích của mình bằng cách đóng gói dữ liệu Hình 3.1: Mô hình các tầng trong giao thức TCP/IP Các giao th c chính và khuôn d ng d li u Ethernet: Là giao th c n m trong t ng liên k t hay là m t chu n công ngh dành cho m ng c c b (LAN) đ c quy đ nh trong IEEE 802. ARP (address resolution protocol) Giao thức phân giải địa chỉ ARP là phương pháp tìm địa chỉ tầng liên kết (hay địa chỉ vật lý) khi biết địa chỉ tầng Internet (IP) hoặc một vài kiểu địa chỉ tầng mạng khác. 18 RARP (reserve address resolution protocol) Là giao thức ngược lại so với ARP, tìm địa chỉ logic khi biết địa chỉ vật lý. IP (internet protocol): Giao th c liên m ng IP h t nhân c a b giao th c TCP/IP. IP là m t giao th c h ng d li u đ cs d ng trong m ng chuy n m ch gói. IP là m t giao th c ho t đ ng theo ph ng th c không liên k t và không đ m b o truy n (không có s trao đ i thông tin đi u khi n). ICMP (internet control message protocol) Giao thức ICMP cung cấp cơ chế thông báo lỗi và các tình huống không mong muốn cũng như điều khiển các thông báo trong bộ giao thức TCP/IP. Giao thức này được tạo ra để thông báo các lỗi dẫn đường cho trạm nguồn. TCP (Transmission Control Protocol) Giao thức điều khiển truyền TCP là một giao thức hoạt động theo phương thức có liên kết. Trong bộ giao thức TCP/IP, nó là giao thức trung gian giữa IP và một ứng dụng phía trên, đảm bảo dữ liệu được trao đổi một cách tin cậy và đúng thứ tự. UDP (User Datagram Protocol) Đây là một giao thức “không liên kết” được sử dụng thay thế trên IP theo yêu cầu của các ứng dụng. Khác với TCP, UDP không có các chức năng thiết lập và giải phóng liên kết. Nó cũng không cung cấp các cơ chế báo nhận, không sắp xếp tuần tự các đơn vị dữ liệu đến và có thể dẫn tới tình trạng dữ liệu mất hoặc trùng mà không hề có thông báo lỗi cho người gửi.