PHÂN TÍCH GÓI TIN VỚI WIRESHARK

Ở bài trước, tôi đã hướng dẫn cách áp dụng Wireshark cơ phiên bản để capture các gói tin, lọc ra những gói tin buộc phải xem và thao tác với tệp tin pcap. Ở bài này mình đang làm những bài tập để thực hành cách áp dụng Wireshark để phân tích các gói tin bắt được với những yêu cầu cố kỉnh thể.

1. Sẵn sàng

Chỉ cần phải có Wireshark chạy xe trên một hệ điều hành và quản lý bất kỳ. Nếu chưa xuất hiện Wireshark trên sản phẩm công nghệ của mình, chúng ta cũng có thể tải về Wireshark phiên phiên bản mới nhất tại đây.

Tải về fileFTPlogin.pcapng, tiếp đến mở fileFTPlogin.pcapngbằng Wireshark.

2. Bắt đầu

Giao diện lúc mở 1 tệp tin chứa các gói tin bắt được trước kia hoặc lúc bắt gói tin trực tiếp gồm 3 phần như sau :

*
Packet List : Ở đây hiển thị các gói tin bắt được trên 1 card mạng, ở phần này từng gói tin là một trong dòng. Các gói tin được đánh số theo sản phẩm công nghệ tự to dần từ trên xuống dưới.

Bạn đang xem: Phân tích gói tin với wireshark

*
Packet Details : Ở phần này mục đầu tiên cho thấy dung lượng gói tin, mục đồ vật 2 cho thấy thêm các add MAC, mục máy 3 đến biết địa chỉ cửa hàng IP nguồn cùng đích, mục sản phẩm 4 cho biết thêm giao thức TCP port hoặc UDP port.
*
Packet Bytes : Hiển thị tài liệu dưới dạng hệ cơ số 16 cùng ASCII.
*

3. Kiếm tìm mật khẩu FTP

Tiếp tục thao tác với tệp tin FTPlogin.pcapng sẽ mở sống trên. Trên filter, nhập vào ftp nhằm lọc ra các gói tin áp dụng giao thức ftp

*

Khi lọc ra những gói tin thực hiện ftp, ta có thể dễ dàng thấy được thông tin tài khoản và mật khẩu đăng nhập FTP.

*

4. Kiếm tìm mật khẩu HTTP

Tải về filehttpLogin.pcapng, kế tiếp mở filehttpLogin.pcapngbằng wireshark và làm như sau:

Sử dụng filter nhằm lọc ra các gói tin sử dụng giao thức http

*

Sau đó kích vào gói tin số 49 như hình sau :

*

sau lúc kích vào gói tin, hãy chú ý xuống mụcPacket Detailsvà kích vào dòng xoáy số 6 đó chính là phần form điền tài khoản và mật khẩu đăng nhập trên web.

*

Sau lúc kích vào form, toàn cục thông tin về tài khoản và mật khẩu đang hiện ra. Ta hoàn toàn có thể dễ dàng thấy rằng user singin làIsaacvà mật khẩu đăng nhập làFlapper

*

nhưng kia chỉ là những tài khoản với mật khẩu người dùng đã nhập vào chưa dĩ nhiên đã là tài khoản dùng làm đăng nhập. Ta xét tiếp các gói tin tức thì sau gói tin đó, gói tin số 51 cất status code là 200. Kích vàoLine-basedđể xem bỏ ra tiết.

*

Sau lúc kích vàoLine-basedta thấy rằng đây là thông báo đăng nhập không chủ yếu xác. Như vậy là người dùng đã nhập sai tài khoản mật khẩu. Tiếp theo sau ta kiểm tra các gói tin tiếp sau để tìm kiếm gói tin chứa thông tin tài khoản và mật khẩu người dùng nhập thiết yếu xác.

Xem thêm: Cách Phân Biệt Các Dòng Laptop Dell 2021, Phân Biệt Các Dòng Laptop Dell

*

Tiếp theo ta thấy gói tin số 66 cũng là gói tin chứa thông tin đăng nhập khi người tiêu dùng nhập vào khung đăng nhập

*

Ta coi gói tin kế tiếp là gói tin số68cho biết đó cũng là tin tức đăng nhập không bao gồm xác.

*

Chuyển quý phái gói tin số 84, ta đang thấy tin tức đăng nhập người tiêu dùng nhập vào như sau:

*

Kiểm tra gói tin đựng mã trạng thái, gói tin số86thì ta thấy rằng thông tin đăng nhập đã có được chấp thuận. Tức là người dùng sau khá nhiều lần thử đang đăng nhập thành công bình userIsaacvà passwordSlapper.

*

Tìm mật khẩu đăng nhập HTTP Basic Authentication

HTTP Basic Authen áp dụng Base64 nhằm mã hóa mật khẩu trước lúc truyền đi. Điều này sẽ không khác gì nhiều so với truyền rằng 1 đoạn text thông thường vì wireshark sẽ auto giải mã nó.

Tải xuống fileBasicLogin.pcapđể thực hành phần này.

Mở fileBasicLogin.pcapngvà áp dụng filter để lọc ra những gói tin sử dụng giao thức HTTP, đang được kết quả như dưới đây

*

Từ những gói tin trên, ta thấy rằng gói tin số17có mã là 401 tức là yêu cầu cần đăng nhập trước khi truy vấn web.

*

Để tìm mật khẩu mà người dùng sử dụng để singin vào, ta coi gói tin tiếp theo, gói tin số37:

*

Tiếp theo kích vào giao thức HTTP

*

Ta thấy rằng gồm 2 ngôi trường làGETvàAuthorization, ta hy vọng xem password đăng nhậpHTTP Basic AuthenticationcủaWALDOnên ta đã kích vàoAuthorization.

*

Sau lúc kích vàoAuthorization, ta sẽ thấy được mật khẩu đăng nhập của userWALDOlàVERYSECURE

Kết luận

Như vậy mình đã hướng dẫn cách thực hiện wireshark để phân tích những gói tin bên dưới dạng các bài tập đi tìm mật khẩu của FTP cùng HTTP. Trên đây chỉ là 1 vài cách cơ phiên bản về cách thực hiện Wireshark để kiểm tra, phân tích dữ liệu và các gói tin trong hệ thống mạng, còn không ít thứ ta rất có thể làm cùng với wireshark như kiểm tra các vấn đề bảo mật, hoặc rất có thể khai thác những thông tin hơn nữa trên những gói tin bắt được.

Chúc các bạn thành công !

Tài liệu tìm hiểu thêm :

https://bowneconsultingcontent.com/pub/EH/proj/H420.htm


Khác, wireshark

wireshark

Previous postHướng dẫn sử dụng Wireshark cơ bảnNext postHướng dẫn tạo thành Local Yum Repository trên CentOS-7 cùng với đĩa iso-DVD

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *