Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ MỤC LỤC Phần 1: Mở đầu Phần II Giới thiệu công cụ TCPdump “Nghe” mạng sử dụng Router 10 Phần 1: Mở đầu Ngày nay, việc xây dựng hệ thống mạng đáp ứng nhu cầu người dùng không khó hầu hết những người quản trị mạng Xây dựng hệ thống đáp ứng nhu cầu người dùng quan trọng nhiên việc trì kiểm soát để hệ thống hoạt động ổn định quan trọng không Trong quá trình vận hành hệ thống, không thể tránh khỏi những sự cố, việc phát hiện và kịp thời sửa chữa là vấn đề đầu tiên được đặt cho người quản trị hệ thống mạng Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ Ngày nay, Có nhiều công cụ viết nhằm hỗ trợ người quản trị việc theo dõi giám sát hệ thống Để phần hiểu cách phát hiện sự cố và giải vấn đề phát sinh hệ thống mạng tìm hiểu Tcpdump, công cụ phân tích lưu lượng mạng người quản trị hệ thống sử dụng nhiều Đây đề tài nghiên cứu nhóm môn học: Quản trị hệ thống mạng GV: Vũ Trí Dũng hướng dẫn thực Xin gởi lời cám ơn sâu sắc tới thầy! Ngày 30 tháng11 năm 2010 Nhóm sinh viên thực Phần II Giới thiệu công cụ TCPdump Giới thiệu tổng quan Với mục đích giới thiệu công cụ kiểm tra, bảo mật, gỡ rối đơn giản cho người tìm hiểu vấn đề quản trị hệ thống mạng, viết trình bày cách đơn giản dễ hiểu cách sử dụng, ưu khuyết điểm mục đích giúp người đọc dễ dàng tiếp thu nắm bắt vấn đề Công cụ quản lý mạng Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ 2.1 Giới thiệu công cụ quản lý mạng Tcpdump viết vào năm 1987 Van Jacobson, Craig Leres Steven McCanne làm việc University of California.(1) Tcpdump tích hợp sẵn số dòng Linux, có vai trò trụ cột việc gỡ rối kiểm tra vấn đề kết nối mạng bảo mật hệ thống mạng, công cụ chuyên gia khắp giới tín nhiệm hữu dụng Tcpdump công cụ dòng lệnh họa tiết đẹp mắt so với công phân tích lưu lượng khác Ettercap Wireshark, nhiên tính đơn giản hiệu nên sử dụng rộng rãi 2.2 Các chức tcpdump Tcpdump cung cấp khả phân tích hành vi mạng, hiệu suất ứng dụng tạo nhận mạng Nó sử dụng để phân tích sở hạ tầng mạng cách xác định liệu tất kết nối nút mạng Nó sử dụng để lấy thông tin liên lạc người máy tính mạng cách bắt đọc gói tin gởi qua giao thức không mã hóa như: Telnet, HTTP… sử dụng tcpdump để xem ID đăng nhập, mật khẩu, URL nội dung trang web xem, hay thông tin khác không mã hóa Trước vào chức cụ thể tcpdump tìm hiểu cấu trúc câu lệnh cách thức vận hành tcpdump  Cú pháp tcpdump Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ Các miêu tả: Hình 1: Cú pháp miêu tả tùy chọn tcpdump (2) Hình 2: Môi trường làm việc tcpdump Để biết rõ cú pháp tùy chọn tcpdump ta dùng lệnh “man tcpdump” Cấu trúc dòng lệnh tcpdump: #tcpdump tùy chọn + biểu thức Để lọc và hiển thị kết đầu ra, tcpdump hỗ trợ tùy chọn biểu thức: A Các tùy chọn (3) • -A: In gói theo mã ASCII • -B : Định kích cỡ buffer_size Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ • -c N: Ký tự N số, tùy chọn thông báo cho tcpdump biết để thoát sau gói N • -C: Kiểm tra kích thước file trước ghi file • -d : Dump gói dạng chuẩn • -dd: Dump gói dạng code giống giống chương trình C • -ddd: Dump gói dạng code số thập phân • -D : Cho biết tổng số giao diện mạng • -e: In link-level header dòng • -E: Dùng giải mã gói IPsec • -f: In số lượng địa IPV4 • -F: Sử dụng tùy chọn để mở file ghi tcpdump • -G: Bắt số gói đơn vị thời gian • -i: interface: Capturre gói giao diện mạng • -I: Đặt giao diện chế độ theo dõi, hỗ trợ cho giao diện IEEE 802.11 Wi-Fi số hệ điều hành • -K: Không xác minh IP, TCP, UDP • -l: Chọn lọc đầu • -L: In danh sách kiểu liệu liên kết • -m: Load module SMI MIB • -n: Phân giải địa thành tên miền • -N: Không in tiền tố tên miền • -O: Không tối ưu hóa gói bắt • -p: Không đặt giao diện mạng chế độ promiscuous • -q: Cung cấp đầu lược bớt để dòng đầu ngắn Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ • -r filename: Đọc gói từ file cụ thể thay cho giao diện mạng, thường sử dụng sau gói liệu thô ghi vào file với tùy chọn –w • -S: In toàn gói giao thức liên quan • -s: Snarf snaplen từ gói tin • -T: Bỏ qua gói tin định • -t: Không in nhãn thời gian dòng đầu • -tt: In nhãn thời gian không định dạng dòng đầu • -ttt: Thêm khoảng trống dòng đầu • -tttt: In nhãn thời gian đặt mặc định theo ngày dòng • -ttttt: In nhãn thời gian đặt mặc định theo ngày dòng dòng đầu • -u: In NFS chưa xử lý • -U: Kết hợp với –w để tạo tập tin đầu đệm đầy • -v: Cung cấp đầu dài Dài với -vv, vào chí -vvv • -w filename: Ghi gói liệu thô vào file • -W: Sử dụng với tùy chọn C để hạn chế số lượng tập tin tạo • -x : In header liệu gói dạng hex, xx in cấp liên kết • -X: In header liệu gói dạng hex ASCII • -y: Thiết lập kiểu liệu liên kết bắt gói liệu liên kết • -z: Kết hợp với –C –G để chạy lệnh khác hệ thống B Các biểu thức(4)  primitive (mẫu), thuật ngữ Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ o dst foo (*): Chỉ định địa hostname nhằm hạn chế gói capture mặt lưu lượng gửi đến o host foo: Chỉ định địa hostname nhằm hạn chế gói capture mặt lưu lượng đến o net foo: Chỉ định mạng đoạn mạng sử dụng ghi CIDR để hạn chế capture gói o proto foo: Chỉ định giao thức nhằm hạn chế gói capturre mặt lưu lượng mạng sử dụng giao thức o src foo: Chỉ định địa hostname nhằm hạn chế gói capture lưu lượng gửi host (*): Đại diện cho địa IP host  Modifier (từ bổ nghĩa) o and: Sử dụng modifier nhằm ràng buộc mẫu muốn hạn chế gói capture để có yêu cầu cần thiết biểu thức hai phía and o not: Sử dụng modifier trước mẫu muốn hạn chế gói capturre để yêu cầu biểu thức theo sau o or: Sử dụng modifier nhằm trói buộc mẫu muốn hạn chế gói capture để có yêu cầu cần thiết nhiều biểu thức phía or Kết hợp tùy chọn biểu thức, người quản trị bắt xác gói tin cần thiết Qua dễ dàng phát khắc phục cố Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ Cấu trúc đầu của một dòng tcpdump tùy thuộc vào việc sử dụng tùy chọn biểu thức Sau dòng đầu sử dụng tùy chọn: #tcpdump -nne Trong đó: [1] [2] [3] [4] [5] [6] [7] TimeStamp SourceMac DestinationMac Network Protocol IP Packet Length Source IP Source Port [8] [9] [10] [11] [12] [13] [14] Destination IP Destination Port TCP Flags TCP Sequence Number TCP Last Sequence Number TCP Length ACK flag Vậy tcpdump bắt gói tin cách nào? Và sử dụng tcpdump để lắng nghe vị trí mạng hiệu nhất? Để trả lời câu hỏi tìm hiểu cách thức nghe gói tin số mạng Các cách thức nghe gói tin mạng:  Living Promiscuously (chế độ bắt tất gói tin qua) Chế độ Promiscuous cho phép card mạng nhìn thấy thất gói tin qua hệ thống dây mạng Khi card mạng không chế độ này, nhìn thấy số lượng lớn gói tin Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ mạng không gửi cho nó, huỷ (drop) gói tin Khi chế độ Promiscuous, bắt tất gói tin gửi toàn tới CPU  “Nghe” mạng có Hub Cơ chế hoạt động Hub cho phép gói tin gửi tất cổng hub Hơn nữa, để phân tích máy tinh hub, tất công việc cần làm cắm máy nghe vào cổng trống hub Chúng ta nhìn thấy tất thông tin truyền nhận từ tất máy kết nối với hub đó, sổ tầm nhìn không bị hạn chế mà máy nghe kết nối với mạng hub  “Nghe” mạng Switched Một môi trường switched kiểu mạng phổ biến mà làm việc Switch cung cấp phương thức hiệu để vận chuyển liệu thông qua broadcast, unicast, multicast Switch cho phép kết nối song công (full-duplex), có nghĩa máy trạm truyền nhận liệu đồng thời từ switch Khi cắm máy nghe vào cổng switch, nhìn thấy broadcast traffic gói tin gửi nhận máy tính sử dụng Trong trường hợp có cách để bắt gói tin từ thiết bị mục tiêu mạng switch là: o Port Mirroring: Port mirroring hay gọi port spanning cách đơn giản để bắt lưu lượng từ thiết bị mục tiêu mạng switch Khi ánh xạ cổng, có toàn lưu lượng qua cổng copy sang port Mirroring o Hubbing Out: Một cách đơn giản khác để bắt lưu lượng thiết bị mục tiêu mạng switch hubbing out Hubbing out kỹ thuật mà đặt Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ thiết bị mục tiêu máy nghe vào phân mạng cách đặt chúng trực tiếp vào hub o ARP Cache Poisoning ARP cache poisoning kỹ thuật nâng cao việc nghe đường truyền mạng switch ARP cache poisoning trình gửi thông điệp ARP với địa MAC giả mạo tới switch router nhằm mục đích nghe lưu lượng thiết bị mục tiêu  “Nghe” mạng sử dụng Router Tất kỹ thuật nghe mạng switch sử dụng mạng router Chỉ có việc cần quan tâm mà thực với mạng router quan trọng việc đặt máy nghe mà thực xử lý vấn đề liên quan đến nhiều phân mạng Broadcast domain thiết bị mở rộng gặp router Khi đó, lưu lượng chuyển giao sang dòng liệu router liên lạc với gói tin nhận ACK máy nhận trả Trong tình này, liệu lưu chuyển qua nhiều router, quan trọng để thực phân tích tất lưu lượng giao diện router  Một vài ví dụ tcpdump: #tcpdump -c 50 dst uit.edu.vn Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng 10 Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ Hình 3: Lệnh #tcpdump -c 50 dst uit.edu.vn Cho biết thông tin nhận nguồn lưu lượng nặng gửi đến làm tải máy chủ với hostname “uit.edu.vn”, lấy 50 gói #tcpdump -c 500 -w 'date +"%Y%j%T"'.log Hình 4: Lệnh #tcpdump -c 500 -w 'date +"%Y%j%T"'.log Ghi 500 gói vào file có tên time/date hành (ví dụ 2010111915:16:31.log) Ở date hàm hệ thống Bằng cách kết hợp tùy chọn, Primitive , Modifiers ta bắt gói tin mong muốn #tcpdump -w test.pcap -i eth1 tcp port 80 Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng 11 Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ Hình 5: Lệnh #tcpdump -w test.pcap -i eth1 tcp port 80 Trong ví dụ ta bắt gói tin TCP giao tiếp eth1 port 80 ghi vào file có tên “test.pcap” #tcpdump dst 192.168.1.22 and tcp port 21 Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng 12 Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ Hình 6: Lệnh #tcpdump dst 192.168.1.22 and tcp port 21 Bắt gói có địa đích 192.168.1.22 qua port 21 với giao thức TCP #tcpdump tcp portrange 20-24 Hình 7: Lệnh #tcpdump tcp portrange 20-24 Chỉ lắng nghe kết nối TCP dãy port định 2.3 Đánh giá công cụ 2.3.1 Điểm mạnh Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng 13 Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ • Là công cụ nhỏ gọn • Là công cụ mạnh, khả tùy biến cao • Chiếm tài nguyên hệ thống • Miễn phí Tuy không hỗ trợ giao diện đồ họa, xong tcpdump kết hợp với ngôn ngữ lập trình để tạo biểu đồ qua tạo thuận lợi cho người quản trị hệ thống có nhìn khái quát đánh giá xác tình hình hệ thống quản lý Hình 8: Thống kê truy cập kết hợp tcpdump + Perl Một điểm đáng ý tcpdump dùng để đánh cắp tài khoản người dùng Sau bảng so sánh tcpdump với số phần mềm khác tương tự Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng 14 Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ Công cụ Ưu điểm Nhược điểm +Là sở cho phần mềm sniff +Không có giao diện trực quan +Nhẹ, tích hợp sẵn OS +Miễn phí +Thao tác dòng lệnh +Thân thiện với người dùng +Miễn phí +Hỗ trợ nhiều giao thức +Chưa hỗ trợ số giao thức +Chạy nhiều hệ điều hành +Hỗ trợ nhiều giao thức +Có khả giả dạng gói tin +Giao diện sử dụng gây khó khăn cho người dùng +Miễn phí 2.3.2 Điểm yếu • Không hỗ trợ giao diện đồ họa gây khó khăn cho người sử dụng • Gây khó khăn cho người sử dụng phải nhớ số lượng lớn tùy chọn biểu thức • Đòi hỏi người sử dụng phải có kiến thức sở thời gian để nghiên cứu 2.4 Lời khuyên Để sử dụng hiệu công cụ tcpdump, cần phải: • Hiểu rõ hệ thống Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng 15 Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ • Hiểu rõ tùy chọn biểu thức tcpdump • Có khả phân tích đòi hỏi kiến thức lập trình Cách khắc phục điểm yếu công cụ: Để phát huy mạnh công cụ khắc phục khó khăn mặt giao diện nên kết hợp với chương trình hỗ trợ đồ họa kết hợp với ngôn ngữ lập trình để tạo nên đồ phân tích qua có nhìn khái quát tình hình hệ thống Thực tế người ta sử dụng tcpdump để bắt gói tin sau dùng phần mềm có hỗ trợ đồ họa để phân tích Điều làm tăng tính hiệu công việc Lưu ý: Để sử dụng công cụ tcpdump người dùng phải có quyền cao hệ thống(root) thuộc nhóm super users Phần III: Kết luận Tcpdump công cụ mạnh hỗ trợ tốt cho người quản trị hệ thống mạng, phục vụ đắc lực hoạt động theo dõi, giám sát khắc phục cố hệ thống, song để sử dụng hiệu công cụ đòi hỏi người sử dụng phải có kiến thức kinh nghiệm Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng 16 Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ Từ trình đời tồn công cụ này, ta thấy công cụ hay để sử dụng, học tập nghiên cứu Qua trình tìm hiểu công cụ chúng em có thêm nhiều kiến thức bổ ích phục vụ cho việc học tập làm việc sau Phần IV: Tài liệu tham khảo (1): (Monitoring with tcpdump, http://slac.stanford.edu/monitoring/passive/tcpdump.html) (Revised 17 August 1999, Ngày xem: 27/11/2010) (2): TCPDUMP - The Easy Tutorial http://openmaniak.com/tcpdump.php Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng 17 Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng _ (Last update: 02-09-2010, Ngày xem: 27/11/2010) (3): Tài liệu miêu tả lệnh “man” Ubuntu 10.10 (4): Bài viết Sử dụng tcpdump để phân tích lưu lượng (Link:http://www.quantrimang.com.vn/baomat/giaiphapbaomat/47439_Su-dungtcpdump-de-phan-tich-luu-luong.aspx) (Ngày viết: 28/07/2008 Ngày xem: 27/11/2010) Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng 18 ... vấn đề phát sinh hệ thống mạng tìm hiểu Tcpdump, công cụ phân tích lưu lượng mạng người quản trị hệ thống sử dụng nhiều Đây đề tài nghiên cứu nhóm môn học: Quản trị hệ thống mạng GV: Vũ Trí Dũng... nắm bắt vấn đề Công cụ quản lý mạng Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống mạng ... hiệu công cụ tcpdump, cần phải: • Hiểu rõ hệ thống Đề tài: Công cụ tcpdump GVHD: Ths.Vũ Trí Dũng 15 Trường Đại học Công Nghệ Thông Tin Môn: Quản trị hệ thống