Tải bản đầy đủ - 0 (trang)
CHƯƠNG I: TỔNG QUAN VỀ PHÂN TÍCH GÓI TIN

CHƯƠNG I: TỔNG QUAN VỀ PHÂN TÍCH GÓI TIN

Tải bản đầy đủ - 0trang

Khái niệm: phân tích nội dung gói tin là thực hiện thanh tra, phân tích nội

dung dữ liệu bên trong một hay nhiều gói tin. Q trình phân tích này thường

được tiến hành để xác định gói tin quan trọng, phát triển phân tích luồng dữ liệu

và xây dựng lại nội dung.

Phân tích nội dung gói tin đề cập đến nghệ thuật phân tích và thanh tra các

giao thức trong một tập các gói tin. Việc phân tích các gói tin để xác định các

gói tin cần quan tâm, hiểu rõ cấu trúc và mối quan hệ để thu thập chứng cứ và

tạo điều kiện cho việc phân tích sâu hơn giai đoạn sau. Để xác định gói tin cần

quan tâm người phân tích có thể sử dụng nhiều nhiều kỹ thuật khác nhau tuy

nhiên kỹ thuật chọn lọc là kỹ thuật phổ biến vầ hiệu quả để phân lập các gói tin

cần quan tâm dựa trên các trường của gói tin hay giao thức bên trong gói tin.

Ngồi ra người phân tích có thể tìm kiếm với các chuỗi hoặc mẫu trong nội

dung gói tin để xác định mục tiêu phân tích, các giao thức được sử dụng cho ý

đồ của kẻ lây nhiễm. Việc hiểu rõ cấu trúc gói tin là rất quan trọng trong việc tái

tạo thơng tin, dữ liệu tập tin hoặc bất kỳ dòng dữ liệu trao đổi nào giữa các bên

liên quan. Việc chia nhỏ gói tin hay một nhóm các gói tin thường xuyên sẽ giúp

cho chúng ta xác định được các công cụ thích hợp để khai phá bằng chứng và

khơi phục lại thơng tin đã mất.

Nhằm thực hiện phan tích gói tin, người phân tích có thể sử dụng một số

phương pháp phân tích gói tin như :

-



-



Thanh tra thủ cơng: thực hiện việc tìm kiếm văn bản. tìm kiếm mẫu nhị phân,

thanh tra gói tin và xác minh giao thức.

Phương pháp lọc: dựa trên các thông tin như địa chỉ MAC, địa chỉ ip, ngày/giờ

và mẫu. ngoài ra tổng hợp việc lọc dựa trên các thông tin ở trên như lọc gói tin

trong khoảng thời gian, lọc gói tin xuất phát từ những địa chỉ IP cụ thể. Phương

pháp lọc còn được sử dụng với sự hỗ trợ dựa trên biểu thức lọc phức tạp như

biểu thức chính quy.

Thống kê: thống kê dựa trên việc sử dụng băng thông, IP, ngày/giờ và dựa trên

giao thức (email, FTP, HTTP,...).

1.2. Phân tích giao thức



5



Phân tích giao thức thực hiện kiểm tra một hoặc nhiều trường dữ liệu trong

một giao thức, điều này rất cần thiết cho việc phân tích gói tin bởi vì việc thanh

tra gói tin cần thực hiện trên đúng cấu trúc truyền thơng để có thể hiểu được nội

dung gói tin hay luồng dữ liệu.

Phân tích thơng tin an ninh mạng ln phải được chuẩn bị để có thể phân

tích nắm vững các giao thức chưa từng được cơng bố. hơn nữa tin tặc đôi khi

phát triển các giao thức mới tùy biến hoặc mở rộng các giao thức trước đó nhằm

giao tiếp và đưa thêm một số chức năng mới để thực hiện ý đồ của tin tặc.

Phân tích giao thức bao gồm một số phương pháp cơ bản: xác định giao

thức, giải mã nội dung giao thức, trích xuất nội dung giao thức.

1.2.1. Xác định giao thức

Hiện nay người ta sử dụng một số phương pháp chính để xác định một giao

thức:

Dựa trên thông tin nhận dạng trong đóng gói giao thức, kĩ thuật này được

thực hiện thơng qua tìm kiếm các giá trị nhị phân/ thập lục phân/ ASCII phổ

biến thường được đi kèm trong một giao thức cụ thể.

Xác định giao thức thông qua cổng TCP/UDP gắn liền với các giao thức

dịch vụ quy chuẩn.

Dựa trên phân tích thơng tin từ địa chỉ đích địa chỉ nguồn.

a) Dựa trên thơng tin nhận dạng trong đóng gói giao thức

Hầu hết giao thức có chứa các chuỗi bit thường xuất hiện ở trong các gói

tin gắn liền với nhận dạng giao thức hay nói cách khác giao thức chứa thơng tin

chỉ ra kiểu giao thức được đóng gói do vậy người phân tích có thể lợi dụng đặc

điểm này để phân tích nhận dạng giao thức. Thơng thường người phân tích sẽ

tiến hành tìm kiếm các giá trị nhị phân /thập lục phân/ASCII phổ biến thường đi

kèm trong một giao thức cụ thể.

Trong ví dụ dưới đây người phân tích sử dụng cơng nghệ TCPdump để xác

định giao thức được sử dụng trong tập dữ liệu gói tin thu nhận được.



6



hình 1.1:Cơng nghệ TCPdump để xác định giao thức

Sử dụng công cụ Wireshark để hiển thị rõ nội dung gói tin như trong hình

dưới đây người phân tích có thể xác định giao thức được sử dụng ở tầng ứng

dụng, do byte thứ 9 trong phần đầu của gói tin IP theo định dạng sẽ chỉ ra giao

thức được đóng gói bên trong. Trong trường hợp này giá trị byte thứ 9 là 0x06

tương ứng với giao thức TCP. Dựa trên những thông tin này chúng ta có thể chỉ

ra giao thức TCP được sử dụng trong gói tin IP.



hình 1.2: Giao thức sử dụng trong gói tin TCP

b) Xác định giao thức thông qua các cổng TCP/UDP gắn liền với các giao

thức, dịch vụ quy chuẩn.

Thông thường các dịch vụ hay giao thức ở tầng mạng trong mơ hình

TCP/IP thường sử dụng giao thức ở tầng vận chuyển TCP hay UDP với các cổng

theo quy định.

Dựa theo tính chất này một cách đơn giản và phổ biến để xác định giao

thức bằng cách kiểm tra số cổng TCP hoặc UDP sử dụng. Theo cấu trúc định

7



dạng của TCP/UDP có tất cả 65535 cổng cho giao thức TCP và UDP. Tổ chức

cấp phát số hiệu Internet IANA đã công bố các cổng TCP/UDP tương ứng với

các giao thức, dịch vụ mạng. Chúng ta có thể xem danh sách này trên trang chủ

IANA. Ngoài ra, trong các hệ thống UNIX/LINUX cũng lưu trữ danh sách này

trong thư mục /etc/.

Tuy nhiên xác định giao thức dựa trên các cổng giao thức TCP/UDP có

nhược điểm là khơng phải lúc nào cũng đưa ra kết quả chính xác, bởi vì phía

máy chủ có thể cấu hình để sử dụng các cổng khơng quy chuẩn cho một dịch vụ

xác định.



hình 1.3: Giao thức sử dụng trong gói tin UDP

c) Phân tích thơng tin từ địa chỉ nguồn, địa chỉ đích

Thơng thường, tên máy chủ và các dịch vụ nó cung cấp có thể xác định các

giao thức sử dụng, cũng như thông tin hữu ích liên quan. Như ví dụ trong hình

1.3 chúng ta chưa xác định các giao thức nào sử dụng mặc dù Wireshark xác

định nhầm giao thức được sử dụng là SSL. Chúng ta có thể phân tích thơng tin

từ địa chỉ IP sẽ giúp chúng ta tìm ra giao thức thật sự ở bên trong. Ở đây địa chỉ

nguồn là “64.12.24.50”, chúng ta sử dụng WHOIS để khai thác thơng tin về địa

chỉ IP này như dưới đây



8



hình 1.4: công cụ WHOIS khai thác địa chỉ IP



-



Thông tin WHOIS cung cấp cho thấy địa chỉ này thuộc về tổ chức America

Online Inc và chúng ta có thể giả thiết rằng gói tin này thuộc về luồng dữ liệu sử

dụng giao thức được hỗ trợ bởi các dịch vụ AOL ví dụ như HTTP hoặc AIM.

1.2.2.

Giải mã nội dung giao thức

Giải mã giao thức là kỹ thuật thông dịch các dữ liệu trong gói tin theo một

cấu trúc, cho phép người phân tích hiểu đúng nội dung được truyền đi bởi giao

thức. Để giải mã lưu lượng mạng theo một đặc tả giao thức cụ thể thì chúng ta

cần:

Tận dụng bộ giải mã tự động tích hợp sẵn trong công cụ

Tham khảo các tài liệu được công bố công khai và tự giải mã\

Viết bộ giải mã cho riêng mình.



9



hình 1.5: Wireshark giải mã gói tin

Hình 1.5 minh họa sử dụng Wireshark để giải mã gói tin, kết quả giải mã

gói tin với giao thức AIM (AOL Instant Messenger) được sử dụng để hiển thị

trong hình 1.6 với thơng tin chi tiết liên quan bao gồm Channel ID, Sequence

Number, ICBM Cookie. Những thông tin này chỉ ra giao thức sử dụng đúng là

giao thức AIM và việc giải mã giao thức này là chính xác.



hình 1. 6: Giải mã giao thức AIM

1.2.3.



Trích xuất nội dung trong giao thức



Bước tiếp theo sau khi đã xác định được giao thức sử dụng và phương pháp

để giải mã là trích xuất nội dung “ cần quan tâm” trong giao thức. Người phân

10



tích sử dụng cơng cụ tshark để trích xuất nội dung ra PDML bằng cách sử dụng

tùy chọn “-T” như ví dụ dưới đây

$ tshark -r evidence . pcap -X lua_script : oft-tsk . lua -R “oft” -n -R

frame . number==112 -V

Frame 112 (310 bytes on wrie , 310 bytes captured



Oscar File Transfer Protocol (256)

Version : 0FT2

Length : 256

Type : Prompt (0x0101)

Cookie : 0000000000000000

Encryption : None (0)

Compression : None (0)

Total File(s) : 1

File(s) Left : 1

Total Parts : 1

Parts Left : 1

Total Size : 12008

Size : 12008

Modification Time : 0

Checksum : 0xb1640000

Received Resource Fork Checksumm : 0xffff 0000

Ressource Fork : 0

Creation Time Resource Fork Checksum, base : 0xffff0000

Bytes Received: 0

Received Checksum : 0xffff0000

Identification string : Cool Filex fer

Flags : 0x00

List Name Offset : 0

List Size Offset : 0

Dummy Block 0000000000000000000000000000000000000000…

Mac File Information:

Encoding : ASCII (0x0000)

11



Encoding subcode : 0x0000

Filename: recipe . docx

Để trích xuất một trường hợp cụ thể như tên tệp và dung lượng tệp, người

phân tích có thể sử dụng cờ “-T” và “-e” như sau:

$ tshark -r evidence . pcap -X lua_script : oft-tsk . lua -R “oft” -n -T

fields -e “oft.fillename” -e oft.totsize -R frame.number ==112

recipe.docx 12008

1.3. Phân tích chi tiết nội dung gói tin

Hiện nay người ta sử dụng 3 kỹ thuật cơ bản để phân tích chi tiết nội dung

gói tin: Khớp mẫu ( Pattern Matching), trích xuất các trường của giao thức

(Parsing Protocol Fields) và lọc chọn gói tin (Ơacket Filtering). Dưới đây sẽ

trình bày cụ thể về ba kỹ thuật cơ bản nói trên.

1.3.1. Khớp mẫu

Là phương pháp xác định các gói tin “ đáng quan tâm” bằng cách kết hợp

các giá trị cụ thể trong tập các gói tin cần phân tích. Chúng ta có thể tận dụng

các danh sách gói tin “ cần quan tâm” để phân tích các hoạt động an ninh của hệ

thống. Việc nhanh chóng tìm ra các gói tin “ cần quan tâm” này dựa trên các

chuỗi hoặc mẫu (hay còn gọi là từ khóa tìm kiếm) liên quan đến các hoạt động

an ninh mạng cần phân tích.

Người phân tích có thể sử dụng nhiều cơng cự khác nhau để tiến hành việc

khớp mẫu cho quá trình thu thập và phân tích gói tin. Một trong số các cơng cụ

thường được sử dụng đó là ngrep.

1.3.2. Trích xuất các trường trong giao thức

Trích xuất các nội dung của các trường của giao thức bên trong tập các gói

tin chúng ta quan tâm. Chúng ta sử dụng tshark để trích xuất tất cả dữ liệu AIM

từ tệp thu được tập tin sau:

$ tshark -r evidence01.pcap -d tcp.por t == 443 , aim -T fields -n -e

“aim.messeageblock.mesage”

Here’s the secret recipe. . . I just download it from the file server.

Just

coppy to a thump drive and you’re good to go > ; : =)

12








FACE=\”Arial\”

SIZE=2

COLOR=#000000>thanks

dude









can’t wait to sell it

on ebay






see you in hawaii!

Thông tin trong đoạn hội thoại sẽ cho biết nội dung tra đổi giữa hai bên và

những thơng tin này sẽ có ích cho việc phân tích sau này.

1.3.3. Lọc chọn gói tin

Lọc gói tin thực hiện tách các gói tin dựa trên các giá trị của các trường

trong giao thức. Thơng thường lọc chọn các gói tin bằng cách sử dụng bộ lọc

BPF hoặc bộ lọc hiển thị Wireshark.

Ngơn ngữ lọc gói tin Berkely (BPF)

Trong thực tế luồng dữ liệu truyền trên mạng có dung lượng rất lớn điều

này gây rất nhiều khó khăn cho người phân tích trong việc thu thập và phân tích

thơng tin an ninh mạng.

Libpcap cung cấp một ngơn ngữ lọc gói tin rất mạnh với tên gọi cú pháp

lọc gói tin Berkely (BPF). Sử dụng lọc gói tin BPF cho phép người phân tích

quyết định luồng dữ liệu nào được chặn bắt và phân tích, còn luồng dữ liệu nào

chúng ta bỏ qua. BPF cho phép chúng ta lọc luồng dữ liệu dựa trên việc so sánh

giá trị trong các trường ở giao thức tầng liên kết, tâng mạng và vận chuyển. BPF

được xây dựng sẵn các hàm “nguyên thủy” cho phần lớn các trường giao thức

phổ biến. BPF được xây dựng rất đơn giản từ các hàm “nguyên thủy” như “host”

và “port”. BPF có thể sử dụng các chuỗi điều kiện, sử dụng các hàm logic như

AND và OR. Đồng thời, cú pháp BPF được sử dụng rộng rãi và hỗ trợ cho các

cơng cụ thu thập và phân tích.

13



Ví dụ, người phân tích muốn chỉ xem luồng dữ liệu với địa chỉ IP

192.168.0.1 giao tiếp với hệ thống khác ngoại trừ 10.1.1.1 trên cổng 138, 139

hoặc 445, thực hiện câu lệnh BPF với cú pháp như sau:

Lọc gói tin theo từng byte, ví dụ ip[8] < 64

Lọc gói tin theo từng bit, ví dụ ip[0] & 0x0f > 0x05

Để giảm lưu lượng mạng, sử dụng công cụ tcpdum với bộ lọc BPF để tìm

ra các gói tin của địa chỉ IP nguồn và đích như dưới đây:

$ tcpdump -s 0 -r evidence01.pcap -w evidence01-talkers.pcap ‘host

64.12.24.50 and host 192.168.1.158’

Reading from file evidence01.pcap, link-type EN1CMB (Ethernet)

Sử dụng Wireshark để bắt các gói dữ liệu lọc và xem có thể nhận thêm

thơng tin về cuộc trao đổi giữa hai bên



14



hình 1.7: Nội dung trong gói tin được lọc chọn



15



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

CHƯƠNG I: TỔNG QUAN VỀ PHÂN TÍCH GÓI TIN

Tải bản đầy đủ ngay(0 tr)

×