Ý nghĩa khoa học và thực tiễn
Phần 2: Nội dung lý thuyết
Chương 1 Tổng quan về dữ liệu và mạng máy tính
1.1 Các khái niệm liên quan
1.5 Một số giao thức cơ bản v
1.6 Quá trình vận chuyển dữ liệu và bắt gói tin trên mạng
Chương 2 Tổng quan về xâm nhập mạng và hệ thống IDS
2.1 Khái niệm xâm nhập mạng
2.2 Các phương pháp phát hiện xâm nhập mạng
2.4 Dấu hiệu và cách phát hiện một số dạng tấn công mạng phổ biến
Chương 3 Xây dựng phần mềm phân tích dữ liệu và phát hiện xâm nhập mạng 3.1 Kiến trúc phần mềm
3.4 Thiết kế class và function
2 Hướng phát triển trong tương lai
STT Thời gian Công việc Ghi chú
Tìm hiểu yêu cầu và xác định mục tiêu đề tài
Viết đề cương Tìm hiểu về sniff packet bằng ngôn ngữ python
Tìm và tham khảo source code trên github, video hướng dẫn trên youtube (thenewboston)
Code sniff packet using python
4 16 tháng 5 – Fix lỗi môi trường python3 Lỗi do sử dụng môi vi
27 tháng 5 trường trên pycharm, tiến hành chạy trực tiếp trên hệ điều hành của máy ảo
Code nhận và phát hiện gói tin ping
Demo cơ bản test code sniff
Code bắt và đóng gói gói tin theo định dạng phục vụ việc kiểm tra gói tin
Code phát hiện được tấn công ping of death
Vẫn còn nhầm lẫn giữ ping thường và ping of death,
Code phát hiện được Xmas tree scan, Null scan
Máy hacker gửi gói tin quá nhanh dẫn đến việc hệ thống có thể bó sót một số gói tin
Code phát hiện Fin scan Code chức năng gửi mail, audio, sms
Hệ thống có thể phát hiện tấn công và cảnh báo audio, gửi mail, sms
Tìm hiểu source code DVWA để demo tấn công sql injection
Lỗi sms do dùng Sinchsms và Việt Nam nằm trong blacklist của ứng dụng
Dựng web server cơ bản trên ubuntu 18.04 dùng source code DVWA
Dựng thành công và demo tấn công sql injection
Lỗi do chưa đổi password MySQL Ý kiến của giáo viên hướng dẫn Ngày 8 tháng 7 năm 2019
(Ký và ghi rõ họ tên) Người viết đề cương Đỗ Minh Hậu vii
1 Lý do chọn đề tài 3
2 Mục tiêu và đối tượng nghiên cứu 3
3 Mục tiêu và nhiệm vụ 3
5 Ý nghĩa khoa học và thực tiễn 3
Chương 1 TỔNG QUAN VỀ DỮ LIỆU VÀ MẠNG MÁY TÍNH 4
1.1 Các khái niệm liên quan 4
1.1.5 Ý nghĩa việc phân tích dữ liệu mạng 5
1.2.2 Số hiệu cổng (Port Number) của socket 6
1.3.2 Chức năng giao thức giao tiếp 10
1.4.1 Mô hình kiến trúc TCP/IP 12
1.4.2 Vai trò và chức năng các tầng trong mô hình TCP/IP 13
1.4.3 Quá trình đóng gói dữ liệu Encapsulation 14
1.4.4 Quá trình phân mảnh dữ liệu Fragment 15
1.5 Một số giao thức cơ bản 16
1.5.1 Giao thức gói tin người sử dụng UDP (User Datagram Protocol) 16 viii
1.5.2 Giao thức điều khiển truyền TCP (Transmission Control Protocol) 17
1.5.4 Giao thức thông báo điều khiển mạng ICMP (Internet Control Message Protocol) 21 1.5.5 Giao thức phân giải địa chỉ ARP (Address Resolution Protocol) 23
1.5.6 Giao thức phân giải địa chỉ ngược RARP (Reverse Address Resolution Protocol) 25 1.5.7 Giao thức truyền tải siêu văn bảng HTTP (Hypertext Transper Protocol) 25
1.6 Quá trình vận chuyển dữ liệu và bắt gói tin trên mạng (Packet sniffer) 29
1.6.1 Quá trình xử lý và vận chuyển dữ liệu trên mạng 29
1.6.2 Bắt gói tin lưu thông trên mạng (Packet sniffer) 34
Chương 2 TỔNG QUAN VỀ XÂM NHẬP MẠNG VÀ HỆ THỐNG IDS 36
2.1 Khái niệm xâm nhập mạng 36
2.2 Các phương pháp phát hiện xâm nhập mạng 36
2.2.1 Nhận biết dựa vào dấu hiệu (Signature-base) 36
2.2.2 Nhận biết dấu hiệu bất thường (Anomaly-base) 36
2.2.3 Phân tích trạng thái giao thức (Stateful protocol analysis) 37
2.4 Dấu hiệu và cách phát hiện một số tấn công mạng phổ biến 38
2.5.2 Phân loại hệ thống IDS 43
Chương 3 XÂY DỰNG PHẦN MỀM PHÂN TÍCH DỮ LIỆU VÀ PHÁT HIỆN XÂM NHẬP MẠNG 46
3.2.1 Sơ đồ thành phần hệ thống 46
3.2.2 Sơ đồ thành phần phân tích dữ liệu mạng (sniffAnaly_use) 47
3.2.3 Sơ đồ thành phần kiểm tra tấn công (check_use) 48
3.2.4 Sơ đồ thành phần thông báo (alert_use) 48 ix
3.3.1 Sơ đồ Package hệ thống 49
3.4 Thiết kế class và function 50
3.4.1 Các class của hệ thống 50
3.4.2 Các function của hệ thống 52
3.5.1 Sơ đồ tuần tự hệ thống 59
4.3 Quá trình thực hiện và kết quả 60
2 Hướng phát triển trong tương lai 66
Bảng 1 1 Cổng mặc định một số dịch vụ mạng 7
Bảng 1 2: Một số phương thức dùng trong socket 10
Bảng 1 3: Một số thông điệp ICMP 22
Bảng 1 4: Một số phương thức HTTP – Request 28
Bảng 4 1: Chi tiết class Ethernet 50 Bảng 4 2: Chi tiết class HTTP 50
Bảng 4 3: Chi tiết class ICMP 51
Bảng 4 4: Chi tiết class IPv4 51
Bảng 4 5: Chi tiết class Pcap 51
Bảng 4 6: Chi tiết class TCP 51
Bảng 4 7: Chi tiết class UDP 52
Bảng 4 12: Hàm check_ping of death 55
Bảng 4 13: Hàm check_sql injection 56
Hình 1 2: Mô tả các cổng trong Socket 6
Hình 1 5: Tương quang mô hình OSI và mô hình TCP/IP 13
Hình 1 6: Mô hình OSI và mô hình kiến trúc TCP/IP 14
Hình 1 7: Đóng gói dữ liệu khi chuyển xuống tầng kề dưới 15
Hình 1 8: Cấu trúc gói tin UDP 16
Hình 1 9: Cấu trúc gói tin TCP (TCP Segment) 18
Hình 1 10: Cấu trúc gói tin IP 20
Hình 1 11: Cấu trúc gói tin ICMP trong Ethernet Frame 23
Hình 1 12: Cấu trúc gói tin ICMP 23
Hình 1 13: Cấu trúc gói tin ARP 24
Hình 1 14: Sơ đồ hoạt động của HTTP 26
Hình 1 15: Các thành phần của HTTP-Request 27
Hình 1 16: Các thành phần HTTP - Response 29
Hình 1 18: Định dạng dữ liệu mỗi tầng trong mô hình OSI 30
Hình 1 19: Mô phỏng một email khi được gửi qua mạng 31
Hình 1 20: Quá trình xử lý dữ liệu trên máy gửi 31
Hình 1 21: Quá trình xử lý dữ liệu trên máy nhận 33
Hình 1 22: Bắt được gói tin UDP 34
Hình 1 23: Bắt được gói tin TCP 34
Hình 1 24: Bắt được gói tin HTTP 35
Hình 2 2: Mô hình hệ thống NIDS 43
Hình 2 3: Mô hình hệ thống HIDS 45
Hình 3 1: Kiến trúc phần mềm 46
Hình 3 2: Sơ đồ tổng quan thành phần phần mềm 47
Hình 3 3: Sơ đồ thành phần sniffAnaly_use 47
Hình 3 4: Sơ đồ thành phần check_use 48
Hình 3 5: Sơ đồ thành phần alert_use 49
Hình 3 6: Sơ đồ package phần mềm 49
Hình 3 8: Code check fin scan 54
Hình 3 9: Code check null scan 54
Hình 3 11: Code check ping of death 56
Hình 3 12: code check sql injectino 56
Hình 3 13: Code check xmas tree scan 57
Hình 3 16: Sơ đồ tuần tự của phần mềm 59
Hình 4 1: Mô hình thực nghiệm 60
Hình 4 2: Khởi động phần mềm 61
Hình 4 3: Demo Xmas tree scan 61
Hình 4 4: Mail cảnh báo xmas tree scan 61
Hình 4 5: Dấu hiệu xmas tree scan trên file log 62
Hình 4 7: Mail cảnh báo fin scan 62
Hình 4 9: Mail cảnh báo null scan 63
Hình 4 10: Demo ping of death 63
Hình 4 11: Mail cảnh báo ping of death 63
Hình 4 12: Dấu hiệu ping of death đọc từ file log 64
Hình 4 14: Mail cảnh báo sql injection 64
Hình 4 15: Dấu hiệu tấn công sql injection đọc từ file log 65
1 Lý do chọn đề tài
Với sự phát triển nhanh chóng của Internet, bên cạnh những lợi ích, cũng xuất hiện nhiều vấn đề, đặc biệt là tấn công mạng và xâm nhập trái phép An ninh thông tin, đặc biệt là an ninh mạng, đang trở thành mối quan tâm lớn không chỉ ở Việt Nam mà trên toàn thế giới, nhất là sau những vụ tấn công nghiêm trọng Mặc dù đã có nhiều phương pháp như firewall và VPN được phát triển để bảo vệ hạ tầng mạng, nhóm nghiên cứu cho rằng để ngăn chặn và giảm thiểu hậu quả của các cuộc tấn công mạng, trước tiên cần xác định được việc xâm nhập trái phép và loại hình tấn công mà đối tượng xấu sử dụng Từ đó, các giải pháp phòng chống và ngăn chặn hiệu quả sẽ được đưa ra Vì vậy, nhóm đã chọn đề tài “Xây dựng phần mềm phân tích dữ liệu và phát hiện xâm nhập mạng”.
2 Mục tiêu và đối tượng nghiên cứu
Dữ liệu mạng, các giao thức cùng cách trao đổi thông tin của máy tính trên hệ thống mạng
Lập trình mạng sử dụng ngôn ngữ Python, các module hỗ trợ
Một số dạng tấn công phổ biến
Một số công cụ tấn công và phân tích dữ liệu mạng phổ biến
3 Mục tiêu và nhiệm vụ
Tìm hiểu và nghiên cứu các tài liệu về hoạt động mạng máy tính, các giao thức cùng cách thức trao đổi thông tin của máy tính trên mạng
Tìm hiểu một số công cụ cùng cách hoạt động của một số công cụ tấn công mạng phổ biến
Xây dựng hệ thống phân tích dữ liệu và phát hiện xâm nhập mạng
Tìm hiều cơ sở lý thuyết về mạng máy tính
Tìm hiểu lập trình mạng Python
Tìm hiểu một số công cụ tấn công mạng, cách thức hoạt động từ đó đưa ra dấu hiệu tấn công
Sử dụng các module hỗ trợ và ngôn ngữ Python, chúng tôi phát triển phần mềm phân tích dữ liệu nhằm phát hiện xâm nhập mạng dựa trên các dấu hiệu xâm nhập.
5 Ý nghĩa khoa học và thực tiễn
Tăng hiểu biết về hệ thống mạng máy tính và một số dạng tấn công mạng phổ biến hiện nay
Xây dựng hệ thống phân tích dữ liệu và phát hiện xâm nhập mạng dùng ngôn ngữ Python
TỔNG QUAN VỀ DỮ LIỆU VÀ MẠNG MÁY TÍNH
Một số giao thức cơ bản
Quá trình vận chuyển dữ liệu và bắt gói tin trên mạng (Packet sniffer)
Chương 2 Tổng quan về xâm nhập mạng và hệ thống IDS
2.1 Khái niệm xâm nhập mạng
2.2 Các phương pháp phát hiện xâm nhập mạng
2.4 Dấu hiệu và cách phát hiện một số dạng tấn công mạng phổ biến
Chương 3 Xây dựng phần mềm phân tích dữ liệu và phát hiện xâm nhập mạng 3.1 Kiến trúc phần mềm
3.4 Thiết kế class và function
2 Hướng phát triển trong tương lai
STT Thời gian Công việc Ghi chú
Tìm hiểu yêu cầu và xác định mục tiêu đề tài
Viết đề cương Tìm hiểu về sniff packet bằng ngôn ngữ python
Tìm và tham khảo source code trên github, video hướng dẫn trên youtube (thenewboston)
Code sniff packet using python
4 16 tháng 5 – Fix lỗi môi trường python3 Lỗi do sử dụng môi vi
27 tháng 5 trường trên pycharm, tiến hành chạy trực tiếp trên hệ điều hành của máy ảo
Code nhận và phát hiện gói tin ping
Demo cơ bản test code sniff
Code bắt và đóng gói gói tin theo định dạng phục vụ việc kiểm tra gói tin
Code phát hiện được tấn công ping of death
Vẫn còn nhầm lẫn giữ ping thường và ping of death,
Code phát hiện được Xmas tree scan, Null scan
Máy hacker gửi gói tin quá nhanh dẫn đến việc hệ thống có thể bó sót một số gói tin
Code phát hiện Fin scan Code chức năng gửi mail, audio, sms
Hệ thống có thể phát hiện tấn công và cảnh báo audio, gửi mail, sms
Tìm hiểu source code DVWA để demo tấn công sql injection
Lỗi sms do dùng Sinchsms và Việt Nam nằm trong blacklist của ứng dụng
Dựng web server cơ bản trên ubuntu 18.04 dùng source code DVWA
Dựng thành công và demo tấn công sql injection
Lỗi do chưa đổi password MySQL Ý kiến của giáo viên hướng dẫn Ngày 8 tháng 7 năm 2019
(Ký và ghi rõ họ tên) Người viết đề cương Đỗ Minh Hậu vii
1 Lý do chọn đề tài 3
2 Mục tiêu và đối tượng nghiên cứu 3
3 Mục tiêu và nhiệm vụ 3
5 Ý nghĩa khoa học và thực tiễn 3
Chương 1 TỔNG QUAN VỀ DỮ LIỆU VÀ MẠNG MÁY TÍNH 4
1.1 Các khái niệm liên quan 4
1.1.5 Ý nghĩa việc phân tích dữ liệu mạng 5
1.2.2 Số hiệu cổng (Port Number) của socket 6
1.3.2 Chức năng giao thức giao tiếp 10
1.4.1 Mô hình kiến trúc TCP/IP 12
1.4.2 Vai trò và chức năng các tầng trong mô hình TCP/IP 13
1.4.3 Quá trình đóng gói dữ liệu Encapsulation 14
1.4.4 Quá trình phân mảnh dữ liệu Fragment 15
1.5 Một số giao thức cơ bản 16
1.5.1 Giao thức gói tin người sử dụng UDP (User Datagram Protocol) 16 viii
1.5.2 Giao thức điều khiển truyền TCP (Transmission Control Protocol) 17
1.5.4 Giao thức thông báo điều khiển mạng ICMP (Internet Control Message Protocol) 21 1.5.5 Giao thức phân giải địa chỉ ARP (Address Resolution Protocol) 23
1.5.6 Giao thức phân giải địa chỉ ngược RARP (Reverse Address Resolution Protocol) 25 1.5.7 Giao thức truyền tải siêu văn bảng HTTP (Hypertext Transper Protocol) 25
1.6 Quá trình vận chuyển dữ liệu và bắt gói tin trên mạng (Packet sniffer) 29
1.6.1 Quá trình xử lý và vận chuyển dữ liệu trên mạng 29
1.6.2 Bắt gói tin lưu thông trên mạng (Packet sniffer) 34
Chương 2 TỔNG QUAN VỀ XÂM NHẬP MẠNG VÀ HỆ THỐNG IDS 36
2.1 Khái niệm xâm nhập mạng 36
2.2 Các phương pháp phát hiện xâm nhập mạng 36
2.2.1 Nhận biết dựa vào dấu hiệu (Signature-base) 36
2.2.2 Nhận biết dấu hiệu bất thường (Anomaly-base) 36
2.2.3 Phân tích trạng thái giao thức (Stateful protocol analysis) 37
2.4 Dấu hiệu và cách phát hiện một số tấn công mạng phổ biến 38
2.5.2 Phân loại hệ thống IDS 43
Chương 3 XÂY DỰNG PHẦN MỀM PHÂN TÍCH DỮ LIỆU VÀ PHÁT HIỆN XÂM NHẬP MẠNG 46
3.2.1 Sơ đồ thành phần hệ thống 46
3.2.2 Sơ đồ thành phần phân tích dữ liệu mạng (sniffAnaly_use) 47
3.2.3 Sơ đồ thành phần kiểm tra tấn công (check_use) 48
3.2.4 Sơ đồ thành phần thông báo (alert_use) 48 ix
3.3.1 Sơ đồ Package hệ thống 49
3.4 Thiết kế class và function 50
3.4.1 Các class của hệ thống 50
3.4.2 Các function của hệ thống 52
3.5.1 Sơ đồ tuần tự hệ thống 59
4.3 Quá trình thực hiện và kết quả 60
2 Hướng phát triển trong tương lai 66
Bảng 1 1 Cổng mặc định một số dịch vụ mạng 7
Bảng 1 2: Một số phương thức dùng trong socket 10
Bảng 1 3: Một số thông điệp ICMP 22
Bảng 1 4: Một số phương thức HTTP – Request 28
Bảng 4 1: Chi tiết class Ethernet 50 Bảng 4 2: Chi tiết class HTTP 50
Bảng 4 3: Chi tiết class ICMP 51
Bảng 4 4: Chi tiết class IPv4 51
Bảng 4 5: Chi tiết class Pcap 51
Bảng 4 6: Chi tiết class TCP 51
Bảng 4 7: Chi tiết class UDP 52
Bảng 4 12: Hàm check_ping of death 55
Bảng 4 13: Hàm check_sql injection 56
Hình 1 2: Mô tả các cổng trong Socket 6
Hình 1 5: Tương quang mô hình OSI và mô hình TCP/IP 13
Hình 1 6: Mô hình OSI và mô hình kiến trúc TCP/IP 14
Hình 1 7: Đóng gói dữ liệu khi chuyển xuống tầng kề dưới 15
Hình 1 8: Cấu trúc gói tin UDP 16
Hình 1 9: Cấu trúc gói tin TCP (TCP Segment) 18
Hình 1 10: Cấu trúc gói tin IP 20
Hình 1 11: Cấu trúc gói tin ICMP trong Ethernet Frame 23
Hình 1 12: Cấu trúc gói tin ICMP 23
Hình 1 13: Cấu trúc gói tin ARP 24
Hình 1 14: Sơ đồ hoạt động của HTTP 26
Hình 1 15: Các thành phần của HTTP-Request 27
Hình 1 16: Các thành phần HTTP - Response 29
Hình 1 18: Định dạng dữ liệu mỗi tầng trong mô hình OSI 30
Hình 1 19: Mô phỏng một email khi được gửi qua mạng 31
Hình 1 20: Quá trình xử lý dữ liệu trên máy gửi 31
Hình 1 21: Quá trình xử lý dữ liệu trên máy nhận 33
Hình 1 22: Bắt được gói tin UDP 34
Hình 1 23: Bắt được gói tin TCP 34
Hình 1 24: Bắt được gói tin HTTP 35
Hình 2 2: Mô hình hệ thống NIDS 43
Hình 2 3: Mô hình hệ thống HIDS 45
Hình 3 1: Kiến trúc phần mềm 46
Hình 3 2: Sơ đồ tổng quan thành phần phần mềm 47
Hình 3 3: Sơ đồ thành phần sniffAnaly_use 47
Hình 3 4: Sơ đồ thành phần check_use 48
Hình 3 5: Sơ đồ thành phần alert_use 49
Hình 3 6: Sơ đồ package phần mềm 49
Hình 3 8: Code check fin scan 54
Hình 3 9: Code check null scan 54
Hình 3 11: Code check ping of death 56
Hình 3 12: code check sql injectino 56
Hình 3 13: Code check xmas tree scan 57
Hình 3 16: Sơ đồ tuần tự của phần mềm 59
Hình 4 1: Mô hình thực nghiệm 60
Hình 4 2: Khởi động phần mềm 61
Hình 4 3: Demo Xmas tree scan 61
Hình 4 4: Mail cảnh báo xmas tree scan 61
Hình 4 5: Dấu hiệu xmas tree scan trên file log 62
Hình 4 7: Mail cảnh báo fin scan 62
Hình 4 9: Mail cảnh báo null scan 63
Hình 4 10: Demo ping of death 63
Hình 4 11: Mail cảnh báo ping of death 63
Hình 4 12: Dấu hiệu ping of death đọc từ file log 64
Hình 4 14: Mail cảnh báo sql injection 64
Hình 4 15: Dấu hiệu tấn công sql injection đọc từ file log 65
1 Lý do chọn đề tài
Với sự phát triển nhanh chóng của Internet, bên cạnh những lợi ích, vấn đề an ninh mạng và tấn công mạng trái phép đang ngày càng trở nên nghiêm trọng, không chỉ ở Việt Nam mà trên toàn thế giới Các vụ tấn công mạng đã gây ra hậu quả nặng nề, dẫn đến việc an ninh thông tin trở thành mối quan tâm hàng đầu Mặc dù đã có nhiều biện pháp như firewall và VPN được phát triển để bảo vệ hạ tầng mạng, nhóm chúng tôi cho rằng việc xác định xâm nhập mạng trái phép và loại hình tấn công là rất quan trọng để đưa ra giải pháp phòng ngừa hiệu quả Chính vì lý do này, nhóm đã chọn đề tài “Xây dựng phần mềm phân tích dữ liệu và phát hiện xâm nhập mạng”.
2 Mục tiêu và đối tượng nghiên cứu
Dữ liệu mạng, các giao thức cùng cách trao đổi thông tin của máy tính trên hệ thống mạng
Lập trình mạng sử dụng ngôn ngữ Python, các module hỗ trợ
Một số dạng tấn công phổ biến
Một số công cụ tấn công và phân tích dữ liệu mạng phổ biến
3 Mục tiêu và nhiệm vụ
Tìm hiểu và nghiên cứu các tài liệu về hoạt động mạng máy tính, các giao thức cùng cách thức trao đổi thông tin của máy tính trên mạng
Tìm hiểu một số công cụ cùng cách hoạt động của một số công cụ tấn công mạng phổ biến
Xây dựng hệ thống phân tích dữ liệu và phát hiện xâm nhập mạng
Tìm hiều cơ sở lý thuyết về mạng máy tính
Tìm hiểu lập trình mạng Python
Tìm hiểu một số công cụ tấn công mạng, cách thức hoạt động từ đó đưa ra dấu hiệu tấn công
Sử dụng các module hỗ trợ cùng ngôn ngữ Python, chúng tôi phát triển phần mềm phân tích dữ liệu nhằm phát hiện xâm nhập mạng dựa trên các dấu hiệu xâm nhập.
5 Ý nghĩa khoa học và thực tiễn
Tăng hiểu biết về hệ thống mạng máy tính và một số dạng tấn công mạng phổ biến hiện nay
Xây dựng hệ thống phân tích dữ liệu và phát hiện xâm nhập mạng dùng ngôn ngữ Python
PHẦN NỘI DUNG Chương 1 TỔNG QUAN VỀ DỮ LIỆU VÀ MẠNG MÁY TÍNH 1.1 Các khái niệm liên quan
Mạng máy tính là một hệ thống bao gồm nhiều máy tính riêng lẻ được liên kết với nhau thông qua các phương tiện truyền dẫn vật lý và tuân theo một kiến trúc mạng cụ thể.
Mạng viễn thông là một dạng mạng máy tính, trong đó các node chuyển mạch được kết nối qua các đường truyền dẫn Hệ thống này hoạt động truyền thông theo các tiêu chuẩn của mô hình tham chiếu OSI.
Kiến trúc mạng bao gồm hai thành phần chính: cấu trúc mạng (Topology) và giao thức mạng (Protocol) Cấu trúc mạng đề cập đến hình dạng và cách bố trí của các thực thể trong mạng, trong khi giao thức mạng là bộ quy tắc mà các thực thể này phải tuân thủ để thực hiện việc truyền thông hiệu quả.
Lưu lượng truy cập trong mạng đề cập đến lượng dữ liệu di chuyển qua mạng tại một thời điểm cụ thể Dữ liệu mạng thường được tổ chức thành các gói tin, đóng vai trò quan trọng trong việc cung cấp tải cho mạng Thuật ngữ lưu lượng mạng cũng thường được gọi là lưu lượng dữ liệu.
Lưu lượng mạng đóng vai trò quan trọng trong việc đo lường và quản lý băng thông Ngoài ra, các cấu trúc liên kết mạng có thể được thiết lập dựa trên lưu lượng mạng trong hệ thống.
Dữ liệu, hay còn gọi là cơ sở dữ liệu (CSDL), là một tập hợp thông tin có cấu trúc, thường được sử dụng trong công nghệ thông tin Thuật ngữ này đề cập đến một tập hợp liên kết các dữ liệu lớn, được lưu trữ trên các thiết bị như băng hay đĩa Dữ liệu được duy trì dưới dạng tập tin trong hệ điều hành hoặc trong các hệ quản trị cơ sở dữ liệu Nói một cách đơn giản, dữ liệu là thông tin mà máy tính lưu trữ, xử lý và truy xuất theo yêu cầu của người dùng hoặc theo tiến trình hoạt động của máy tính.
Dữ liệu trao đổi giữa các máy tính trên mạng gọi là dữ liệu mạng
Khi truyền dữ liệu qua mạng, một file lớn được chia thành nhiều gói tin nhỏ, mỗi gói không chỉ chứa dữ liệu gốc mà còn kèm theo thông tin cần thiết để định vị và ghép lại thành file nguyên gốc sau này Mỗi tầng trong mô hình mạng sử dụng các giao thức riêng, và mỗi giao thức này có cấu trúc gói tin khác nhau.
1.1.5 Ý nghĩa việc phân tích dữ liệu mạng
Phân tích chính xác dữ liệu mạng cung cấp cho các tổ chức những lợi ích sau:
Xác định các tắt nghẽn mạng: có thể có người dùng hoặc ứng dụng tiêu thụ băng thông lớn
An ninh mạng đóng vai trò quan trọng trong việc bảo vệ hệ thống thông tin Phân tích dữ liệu mạng giúp phát hiện các dấu hiệu bất thường, từ đó đưa ra các biện pháp hiệu quả để phát hiện xâm nhập và tấn công mạng.
Socket là điểm cuối của kênh giao tiếp hai chiều, cho phép kết nối giữa client và server thông qua một cổng cụ thể Các lớp Socket giúp định danh ứng dụng trong mô hình TCP/IP, cho phép dữ liệu được gửi đến đúng đích Chúng được sử dụng để kết nối với chương trình khác trên máy tính khác qua internet, và một máy có thể sử dụng nhiều socket, cho phép nhiều chương trình hoạt động song song trên internet.
1.2.2 Số hiệu cổng (Port Number) của socket Để có thể thực hiện các cuộc giao tiếp, một trong hai quá trình phải công bố số hiệu cổng của socket mà mình sử dụng Mỗi cổng giao tiếp thể hiện một địa chỉ xác định trong hệ thống Khi quá trình được gán một số hiệu cổng, nó có thể nhận dữ liệu gửi đến cổng này từ các quá trình khác Quá trình còn lại cũng được yêu cầu tạo ra một socket
Để giao tiếp hiệu quả, ngoài việc biết số hiệu cổng, hai bên cần phải biết địa chỉ IP của nhau Địa chỉ IP đóng vai trò quan trọng trong việc phân biệt các máy tính khác nhau trên mạng, trong khi số hiệu cổng giúp phân biệt các quá trình khác nhau trên cùng một máy tính.
Hình 1 2: Mô tả các cổng trong Socket
Trong hình trên, địa chỉ của quá trình B1 được xác định bằng hai thông tin: host
Số hiệu cổng của Socket phải duy nhất trên mỗi máy tính, với giá trị từ 0 đến 65535 (16 bit) Trong đó, các cổng từ 1 đến 1023 được gọi là cổng hệ thống, được dành riêng cho các quá trình của hệ thống.
Các cổng mặc định của một số dịch vụ mạng thông dụng:
Số hiệu cổng Quá trình hệ thống
Bảng 1 1 Cổng mặc định một số dịch vụ mạng
Dựa theo chế độ giao tiếp, thường thì socket được chia làm hai loại chính: Stream socket và Datagram socket
Dựa trên giao thức TCP (Transmission Control Protocol), việc truyền dữ liệu chỉ diễn ra giữa hai quá trình đã thiết lập kết nối, do đó hình thức này được gọi là socket hướng kết nối.
