BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO BÀI TẬP LỚN
MÔN: KỸ THUẬT TRUYỀN DỮ LIỆU
ĐỀ TÀI: TÌM HIỂU GIAO THỨC TCP VÀ DÙNG
PHẦM MỀM WIRESHARK BẮT GÓI TIN
Giảng viên hướng dẫn : Th.S Đoàn Văn Trung
Sinh viên thực hiện :
1. Nguyễn Mạnh Tiến
2. Nguyễn Thế Trọng
Lớp : CĐ tin3 – k12
Hà Nội, tháng 12 năm 2012
LỜI CÁM ƠN
Chúng em chân thành cảm ơn sự hướng dẫn chỉ bảo tận tình của thầy Đoàn
Văn Trung Giảng viên bộ môn kỹ thuật truyền dữ liệu trường ĐH Công Nghiệp Hà
Nội. Thầy đã cho chúng em nhiều kiến thức quý giá về kỹ thuật truyền dữ liệu.
Trong quá trình thực hiện đề tài này, do kiến thức chưa sâu sắc nên chúng em
còn nhiều sai sót, mong thầy và mọi người góp ý chân thành để giúp chúng em hoàn
thành đề tài này một cách tốt nhất.
Xin chân thành cảm ơn.
Mục Lục
Lời Nói Đầu
Phần I : Tìm Hiểu Giao Thức TCP
1. Giới Thiệu Và Khái Niệm
1.1 Giới Thiệu
Việc hiểu biết mỗi giao thức được xếp đặt vào trong mô hình OSI như thế nào là một
điều cần thiết cho mọi người quan tâm về mạng. Bài này phân tích TCP được xếp vào
loại “giao thức vận chuyển” như thế nào và cho ta một sự thấu hiểu điều gì mình có
thể mong đợi nơi giao thức này.
Việc sắp xếp TCP vào mô hình OSI
định vị trong tầng vận chuyển của mô hình OSI, công việc đầu tiên của nó là chuyển
dữ liệu từ nơi này tới nơi khác, bất kể đó là mạng vật lý nào hay nằm ở đâu.
Như phần lớn chúng ta đã biết, có hai loại giao thức vận chuyển. TCP là một, còn kia
là UDP. Sự khác biệt giữa hai giao thức vận chuyển này là TCP cho một phương pháp
vận chuyển dữ liệu mạnh mẽ và vô cùng đáng tin cậy, đảm bảo rằng dữ liệu chuyển đi
không bị hư hao cách này hay cách khác. Mặt khác, UDP cho một phương pháp
chuyển dữ liệu không đáng tin cậy vì nó không đảm bảo dữ liệu đã đến hay tính toàn
vẹn của nó khi nó đến nơi.
1.2. Khái Niệm
Giao thức TCP (Transmission Control Protocol - "Giao thức điều khiển truyền vận")
là một trong các giao thức cốt lõi của bộ giao thức TCP/IP. Sử dụng TCP, các ứng
dụng trên các máy chủ được nối mạng có thể tạo các "kết nối" với nhau, mà qua đó
chúng có thể trao đổi dữ liệu hoặc các gói tin. Giao thức này đảm bảo chuyển giao dữ
liệu tới nơi nhận một cách đáng tin cậy và đúng thứ tự. TCP còn phân biệt giữa dữ liệu
của nhiều ứng dụng (chẳng hạn, dịch vụ Web và dịch vụ thư điện tử) đồng thời chạy
trên cùng một máy chủ.
TCP hỗ trợ nhiều giao thức ứng dụng phổ biến nhất trên Internet và các ứng dụng kết
quả, trong đó có WWW, thư điện tử và Secure Shell.
Trong bộ giao thức TCP/IP, TCP là tầng trung gian giữa giao thức IP bên dưới và
một ứng dụng bên trên. Các ứng dụng thường cần các kết nối đáng tin cậy kiểu đường
ống để liên lạc với nhau, trong khi đó, giao thức IP không cung cấp những dòng kiểu
đó, mà chỉ cung cấp dịch vụ chuyển gói tinkhông đáng tin cậy. TCP làm nhiệm vụ
của tầng giao vận trong mô hình OSI đơn giản của các mạng máy tính.
Các ứng dụng gửi các dòng gồm các byte 8-bit tới TCP để chuyển qua mạng. TCP
phân chia dòng byte này thành các đoạn (segment) có kích thước thích hợp (thường
được quyết định dựa theo kích thước của đơn vị truyền dẫn tối đa (MTU) của tầng liên
kết dữ liệu của mạng mà máy tính đang nằm trong đó). Sau đó, TCP chuyển các gói
tin thu được tới giao thức IP để gửi nó qua một liên mạng tới mô đun TCP tại máy tính
đích. TCP kiểm tra để đảm bảo không có gói tin nào bị thất lạc bằng cách gán cho mỗi
gói tin một "số thứ tự" (sequence number). Số thứ tự này còn được sử dụng để đảm
ACK,TIME-WAIT,CLOSED
2.1 Thiết Lập Kết Nối
Để thiết lập một kết nối, TCP sử dụng một quy trình bắt tay 3 bước (3-way
handshake) Trước khi client thử kết nối với một server, server phải đăng ký một cổng
và mở cổng đó cho các kết nối: đây được gọi là mở bị động. Một khi mở bị động đã
được thiết lập thì một client có thể bắt đầu mở chủ động. Để thiết lập một kết nối, quy
trình bắt tay 3 bước xảy ra như sau:
a . Client yêu cầu mở cổng dịch vụ bằng cách gửi gói tin SYN (gói tin TCP) tới
server, trong gói tin này, tham số sequence number được gán cho một giá trị ngẫu
nhiên X.
b . Server hồi đáp bằng cách gửi lại phía client bản tin SYN-ACK, trong gói tin này,
tham số acknowledgment number được gán giá trị bằng X + 1, tham số sequence
number được gán ngẫu nhiên một giá trị Y
c . Để hoàn tất quá trình bắt tay ba bước, client tiếp tục gửi tới server bản tin ACK,
trong bản tin này, tham số sequence number được gán cho giá trị bằng X + 1 còn tham
số acknowledgment number được gán giá trị bằng Y + 1
Tại thời điểm này, cả client và server đều được xác nhận rằng, một kết nối đã được
thiết lập.
2.2 Truyền Dữ Liệu
Một số đặc điểm cơ bản của TCP để phân biệt với UDP:
• Truyền dữ liệu không lỗi (do có cơ chế sửa lỗi/truyền lại)
• Truyền các gói dữ liệu theo đúng thứ tự
• Truyền lại các gói dữ liệu mất trên đường truyền
• Loại bỏ các gói dữ liệu trùng lặp
• Cơ chế hạn chế tắc nghẽn đường truyền
Ở hai bước đầu tiên trong ba bước bắt tay, hai máy tính trao đổi một số thứ tự gói ban
đầu (Initial Sequence Number -ISN). Số này có thể chọn một cách ngẫu nhiên. Số thứ
tự này được dùng để đánh dấu các khối dữ liệu gửi từ mỗi máy tính. Sau mỗi byte
được truyền đi, số này lại được tăng lên. Nhờ vậy ta có thể sắp xếp lại chúng khi tới
máy tính kia bất kể các gói tới nơi theo thứ tự thế nào.
nhận) là tín hiệu về tình trạng đường truyền giữa 2 máy tính. Từ đó, hai bên có thể
thay đổi tốc độ truyền nhận dữ liệu phù hợp với điều kiện. Vấn đề này thường được đề
cập là điều khiển lưu lượng, kiểm soát tắc nghẽn.
TCP sử dụng một số cơ chế nhằm đạt được hiệu suất cao và ngăn ngừa khả năng
nghẽn mạng. Các cơ chế này bao gồm:cửa sổ trượt (sliding window), thuật toán slow-
start, thuật toán tránh nghẽn mạng (congestion avoidance), thuật toán truyền lại và
phục hồi nhanh, Hiện nay, vấn đề cải tiến TCP trong môi truyền truyền dẫn tốc độ
cao đang là một hướng nghiên cứu được quan tâm.
Kích thước cửa sổ TCP
Chuỗi số thứ tự gói và cửa sổ trong TCP hoạt động giống như một cái đồng hồ. Kích
thước của cửa sổ (đo bằng byte) được thiết lập bởi khả năng tiếp nhận của máy tính
nhận. Cửa sổ này được dịch đi mỗi khi máy tính nhận nhận được dữ liệu và gửi tin
báo nhận. Khi chuỗi thứ tự tăng đến tối đa thì lại quay lại về 0.
Kích thước của cửa sổ là chiều dài (byte) của khối dữ liệu có thể lưu trong bộ đệm của
bên nhận. Bên gửi chỉ có thể gửi tối đa lượng thông tin chứa trong cửa sổ này trước
khi nhận được tin báo nhận.
2.3 Dãn kích thước cửa sổ
Để tận dụng khả năng truyền dẫn của mạng thì cửa sổ dùng trong TCP cần được tăng
lên. Trường điều khiển kích thước cửa sổ của gói TCP có độ dài là 2 byte và do đó
kích thước tối đa của cửa sổ là 65.535 byte.
Do trường điều khiển không thể thay đổi nên người ta sử dụng một hệ số dãn nào đó.
Hệ số này được định nghĩa trong tài liệu RFC 1323 có thể sử dụng để tăng kích thước
tối đa của cửa sổ từ 65.535 byte lên tới 1 gigabyte. Tăng kích thước cửa sổ lớn hơn
nữa cũng cần thiết trong TCP Tuning.
Việc tăng kích thước cửa sổ chỉ được dùng trong giao thức bắt tay 3 pha. Giá trị của
trường co dãn cửa sổ thể hiện số bit cần được dịch trái đối với trường kích thước cửa
sổ. Hệ số dãn có thể thay đổi từ 0 (không dãn) tới 14 (dãn tối đa).
2.4 Kết Thúc Kế Nối
Để kết thúc kết nối hai bên sử dụng quá trình bắt tay 4 bước và chiều của kết nối kết
thúc độc lập với nhau. Khi một bên muốn kết thúc, nó gửi đi một gói tin FIN và bên
mail) và FTP (truyền file). Sự phổ biến của TCP chứng tỏ rằng nó đã được thiết kế rất
tốt.
Cơ chế điều khiển tránh tắc nghẽn của TCP ban đầu là TCP Reno và gần đây đã có
một số thuật toán khác được đề xuất:
High Speed TCP của Sally Floyd trong tài liệu RFC 3649
TCP Vegas của Brakmo và Peterson (làm việc tại Đại học Arizona)
TCP Westwood của Đại học California tại Los Angeles
BIC TCP của Injong Rhee (làm việc tại Đại học North Carolina)
H-TCP của Viện Hamilton
Fast TCP (Fast Active queue management Scalable Transmission Control
Protocol) của Caltech.
TCP Hybla của Đại học Bologna
Bên cạnh đó cũng có rất nhiều nghiên cứu so sánh sự công bằng và hiệu suất của TCP
khi sử dụng các thuật toán tránh tắc nghẽn khác nhau.
5. TCP Trên Mạng Không Dây
TCP cũng được sử dụng cho mạng không dây. Ở đây trường hợp mất gói tin cũng
được xem là nghẽn mạng và kích thước cửa sổ do đó cũng sẽ được giảm xuống. Tuy
nhiên trong nhiều trường hợp đối với các mạng không dây thì việc mất các gói tin
thường xẩy ra một cách ngẫu nhiên do ảnh hưởng của fading, chuyển giao giữa các
cell và chúng ta không thể xem đây là nghẽn mạng.
Do đó, việc giảm kích thước cửa sổ không đúng sẽ làm cho hiệu quả sử dụng đường
truyền giảm một cách đáng kể. Nhiều nghiên cứu đã tập trung để giải quyết vấn đề
này. Các giải pháp được đề ra có thể phân loại thành các nhóm: giải pháp đầu cuối
(liên quan tới việc thay đổi tại client/server), giải pháp tại tầng liên kết dữ liệu (chẳng
hạn giao thức RLP trong chuẩnCDMA2000) và giải pháp dựa trên proxy (thay đổi
trong mạng mà không cần thay đổi các thiết bị đầu cuối).
6. Gỡ Rối Trong Giao Thức TCP
Các phần mềm đọc gói (packet sniffer) TCP có thể sử dụng để gỡ rối/theo dõi bằng
cách đọc tất cả các gói TCP được truyền trong mạng. Ví dụ : Wireshark(trên Windows
và Linux), tcpdump(trên Linux)
64 Acknowledgement Number
96
Data
Offset
Reserved Flags Window
128 Checksum Urgent Pointer
160 Options (optional)
160/192+
Data
TCP cũng bộc lộ một số vấn đề khi
dùng trong môi trường truyền dẫn tốc
độ cao. Thuật toán tránh nghẽn mạng
làm việc tốt trong môi trường không
dự tính trước nhưng đối với môi
trường xác định hơn chẳng hạn như
ATM (Asynchronous Transfer Mode)
thì TCP không tận dụng được khả
năng của hệ thống bên dưới.
96 Data Offset Reserved Flags Window
128 Checksum Urgent Pointer
160 Options (optional)
160/192+
Data
8. Cấu Trúc Gói Tin
Một gói tin TCP bao gồm 2 phần
header
Đồng bộ lại số thứ tự
FIN
Không gửi thêm số liệu
Window
Số byte có thể nhận bắt đầu từ giá trị của trường báo nhận (ACK)
Checksum
16 bít kiểm tra cho cả phần header và dữ liệu. Phương pháp sử dụng được mô tả
trong RFC 793:
16 bít của trường kiểm tra là bổ sung của tổng tất cả các từ 16 bít trong gói tin. Trong
trường hợp số octet (khối 8 bít) của header và dữ liệu là lẻ thì octet cuối được bổ
sung với các bít 0. Các bít này không được truyền. Khi tính tổng, giá trị của trường
kiểm tra được thay thế bằng 0,
Nói một cách khác, tất cả các từ 16 bít được cộng với nhau. Kết quả thu được sau khi
đảo giá trị từng bít được điền vào trường kiểm tra. Về mặt thuật toán, quá trình này
giống với IPv4.
Điểm khác nhau chỉ ở chỗ dữ liệu dùng để tính tổng kiểm tra. Dưới đây là một header
của IP:
+ Bít 0 - 3 4 - 7 8 - 9 10 - 15 16 - 31
0 Source address
32 Destination address
64 Zeros Protocol TCP length
96 Source Port Destination Port
128 Sequence Number
160 Acknowledgement Number
192 Data Offset Reserved Flags Window
225 Checksum Urgent Pointer
257 Options (optional)
257/289+
Data
đoạn bị mất hay không đi đến đích được.
PHẦN II : PHÂN TÍCH GÓI TIN VỚI WIRESHARK
1.Giới Thiệu Về Phần Mềm Wireshark
WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần
mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám
năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo
đuổi một cơ hội nghề nghiệp khác.
Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã
thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần
còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal”
vào năm 2006, dự án tên là WireShark.
WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới
500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển
thêm.
Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có thể
đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa ra
nhiều tính năng để thu hút mỗi đối tượng khác nhau.
Các giao thực được hỗ trợ bởi WireShark:
WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại
phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Và
cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới
sẽ được thêm vào. Và có thể nói rằng không có giao thức nào mà Wireshark không thể
hỗ trợ.
• Thân thiện với người dùng: Giao diện của Wireshark là một trong
những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng
dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu. Không
như một số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao
diện đồ hoạ của Wireshark thật tuyệt vời cho những ai đã từng nghiên cứu
thế giới của phân tích giao thức.
trình Wireshark. Với mục đích để hỗ trợ một giao thức nào đó, một dessector cho giao
thức đó phải được tích hợp trong Wireshark. Wireshark sử dụng đồng thời vài
dissector để phiên dịch mỗi gói tin. Nó quyết định dissector nào được sử dụng bằng
cách sử dụng phân tích lôgic đã được cài đặt sẵn và thực hiện việc dự đoán. Thật
không may là Wireshark không phải lúc nào cũng đúng trong việc lựa chọn dissector
phù hợp cho một gói tin. Tuy nhiên, ta có thể thay đổi việc lựa chọn này trong từng
trường hợp cụ thể.
Following TCP Streams
Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng
TCP như là ở tầng ứng dụng. Tính năng này cho phép bạn phối hợp tất cả các thông
tin liên quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm chứa giống
như là người dùng cuối nhìn thấy trong ứng dụng. Còn hơn cả việc xem các dữ liệu
đang được truyền giữa máy trạm và máy chủ trong một mớ hỗn độn, tính năng này sắp
xếp dữ liệu để có thể xem một cách đơn giản. Bạn có thể sử dụng công cụ này để bắt
và giải mã một phiên instant messages được gửi bởi một người làm thuê (người này
đang bị nghi ngờ phát tán các thông tin tài chính của công ty).
Cửa sổ thống kê phân cấp giao thức
Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân bố các giao thức
trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và DHCP là bao
nhiêu phần trăm, Thay vì phải đếm từng gói tin để thu được kết quả, chúng ta có thể
sử dụng cửa sổ thống kê phân cấp giao thức của Wireshark. Đây là cách tuyệt với để
kiểm thử mạng của bạn. Ví dụ, nếu bạn biết rằng 10% lưu lượng mạng của bạn được
sử dụng bởi các lưu lượng ARP, và một ngày nào đó, bạn thấy lưu lượng ARP lên tới
50%, bạn hoàn toàn có thể hiểu rằng đang có một cái gì đó không ổn xảy ra.
Xem các Endpoints
Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể. Ví dụ, có hai
endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và nhận dữ liệu,
192.168.1.5 và 192.168.0.8. Một ví dụ ở tầng 2 có thể là kết nối giữa hai NIC vật lý và
địa chỉ MAC của chúng. Các NIC gửi và nhận dữ liệu, các MAC đó tạo nên các
endpoint trong kết nối.
Thu thập dữ liệu: đây là bước đầu tiên, chương trình nghe gói tin chuyển giao diện
mạng được lựa chọn sang chế độ Promiscuous. Chế độ này cho phép card mạng có thể
nghe tất cả các gói tin đang lưu chuyển trên phân mạng của nó. Chương trình nghe gói
sử dụng chế độ này cùng với việc truy nhập ở mức thấp để bắt các dữ liệu nhị phân
trên đường truyền.
Chuyển đổi dữ liệu: trong bước này, các gói tin nhị phân trên được chuyển đổi thành
các khuôn dạng có thể đọc được.
Phân tích: phân tích các gói tin đã được chuyển đổi.
Có vài chương trình khác nhau về nghe gói tin, trong tiểu luận này, chúng tôi xin giới
thiệu một chương trình điển hình với nhiều tính năng mạnh hỗ trợ việc bắt và phân
tích gói tin. Đó là WireShark.
Nội dung các phần chính:
Phần I: Các cách thức nghe gói tin trên mạng
Phần II: Giới thiệu WireShark
Phần III: Các tính huống với WireShark
Phần IV: Xử lý các tình huống mạng với WireShark
2. Các Cách Thức Nghe Gói Tín Trên Mạng
Để thực hiện việc bắt các gói tin trên mạng, ta phải chỉ ra những vị trí tương ứng để
đặt “máy nghe” vào hệ thống đường truyền của mạng. Quá trình này đơn giản là đặt
“máy nghe” vào đúng vị trí vật lý nào trong một mạng máy tính.
Việc nghe các gói tin không đơn giản chỉ là cắm một máy xách tay vào mạng và bắt
gói. Thực tế, nhiều khi việc đặt máy nghe vào mạng khó hơn việc phân tích các gói
tin. Thách thức của việc này là ở chỗ là có một số lượng lớn các thiết bị mạng phần
cứng được sử dụng để kết nối các thiết bị với nhau.
Lý do là vì 3 loại thiết bị chính (hub, switch, router) có nguyên lý hoạt động rất khác
nhau. Và điều này đòi hỏi ta phải nắm rõ được cấu trúc vật lý của mạng mà ta đang
phân tích.
Chúng ta sẽ nghiên cứu một số mạng thực tế để chỉ ra cách tốt nhất để bắt các gói tin
trong từng môi trường mạng sử dụng Hub, Switch và Router.
2.1 Living Promiscuously (chế độ bắt tất cả các gói tin đi qua)
Hubbing Out
Một cách đơn giản khác để bắt các lưu lượng của thiết bị mục tiêu trong một mạng
switch là hubbing out. Hubbing out là kỹ thuật mà trong đó bạn đặt thiết bị mục tiêu
và máy nghe vào cùng một phân mạng bằng cách đặt chúng trực tiếp vào một hub.
Rất nhiều người nghĩ rằng hubbing out là lừa dối, nhưng nó thật sự là một giải pháp
hoàn hảo trong các tình huống mà bạn không thể thực hiện port mirroring nhưng vẫn
có khả năng truy cập vật lý tới switch mà thiết bị mục tiêu cắm vào.
Trong hầu hết các tình huống, hubbing out sẽ giảm tính năng song công của thiết bị
mục tiêu (full to haft). Trong khi phương thức này không phải là cách sạch sẽ nhất để
nghe, và nó thường được bạn sử dụng như là một lựa chọn khi mà switch không hỗ trợ
port mirroring.
Khi hubbing out, chắc chắn rằng bạn sử dụng một cái hub chứ không phải là một
switch bị gắn nhầm nhãn. Khi mà bạn sử dụng hub, hãy kiểm tra để chắc chắn rằng nó
là một hub bằng cách cắm 2 máy tính vào nó và nhìn xem cái một máy có thể nhìn
thấy lưu lượng của cái còn lại không.
ARP Cache Poisoning
Địa chỉ tầng 2 (địa chỉ MAC) được sử dụng chung với hệ thống hệ thống địa chỉ tầng
2. Tất cả các thiết bị trong một mạng liên lạc với nhau thông qua địa chỉ IP. Do switch
làm việc tại tầng 2, vì vậy nó phải có khả năng phiên dịch địa chỉ tầng 2 (MAC) sang
địa chỉ tầng 3 (IP) hoặc ngược lại để có thể chuyển tiếp gói tin tới thiết bị tương ứng.
Quá trình phiên dịch được thực hiện thông qua một giao thức tầng 3 là ARP (Address
Resolution Protocol). Khi một máy tính cần gửi dữ liệu cho một máy khác, nó gửi một
yêu cầu ARP tới switch mà nó kết nối. Switch đó sẽ gửi một gói ARP broadcast tới tất
cả các máy đang kết nối với nó để hỏi.
Khi mà máy đích nhận được gói tin này, nó sẽ thông báo cho switch bằng cách gửi địa
chỉ MAC của nó. Sau khi nhận được gói tin phản hồi, Switch định tuyến được kết nối
tới máy đích. Thông tin nhận được được lưu trữ trong ARP cache của switch và switch
sẽ không cần phải gửi một thông điệp ARP broadcast mới mỗi lần nó cần gửi dữ liệu
tới máy nhận.
ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đường truyền trong
Network Maps
Để quyết định việc đặt máy nghe ở đâu, cách tốt nhất là bạn phải biết được một cách
rõ ràng mạng mà bạn định phân tích. Nhiều khi việc xác định vấn đề đã chiếm nửa
khối lượng công việc trong việc xử lý sự cố.
3. Cách Thức Dùng Wireshark Bắt Gói Tin TCP
Quản Trị Mạng - Wireshark, hay còn gọi là Ethereal, công cụ này có lẽ không quá xa
lạ với phần lớn người sử dụng chúng ta, vốn được xem là 1 trong những ứng dụng
phân tích dữ liệu hệ thống mạng, với khả năng theo dõi, giám sát các gói tin theo thời
gian thực, hiển thị chính xác báo cáo cho người dùng qua giao diện khá đơn giản và
thân thiện.
Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số đặc điểm cơ bản
cũng như cách dùng, phân tích và kiểm tra hệ thống mạng bằng wireshark.
Các bạn có thể tải wireshark phiên bản mới nhất tại http://www.wireshark.org Nếu
dùng Linux hoặc các hệ thống UNIX khác thì có thể tìm thấy wireshark trong
phần Package Repositories. Ví dụ, với Ubuntu thì wireshark sẽ có ở trong Ubuntu
Software Center. Tuy nhiên, các bạn cần lưu ý rằng không nên tự tiện sử dụng, vì có
công ty, tổ chức hoặc doanh nghiệp không cho phép dùng Wireshark trong hệ thống
mạng của họ.
Copyright: Tài liệu đại học ©