Sniffing. 190 28 6E 65 74 77 6F 72 6B 20 77 69 72 65 74 61 70 (network.wiretap 1A0 2C 20 73 6E 69 66 66 65 72 29 20 46 41 51 3C 2F ,.sniffer).FAQ....This.docu 1C0 6D 65 6E 74 20 61 6E 73 77 65 72 73 20 71 75 65 ment.answers.que 1D0 73 74 69 6F 6E 73 20 61 62 6F 75 74 20 74 61 70 stions.about.tap 1E0 70 69 6E 67 20 69 6E 74 6F 20 0D 0A 63 6F 6D 70 ping.into...comp 1F0 75 74 65 72 20 6E 65 74 77 6F 72 6B 73 20 61 6E uter.networks.an ….. Trên đây là một “hexdump” chuẩn của một gói dữ liệu, trước khi chúng được giải mã (Decode). Hexdump gồm có 3 cột thông tin: cột thông tin nhận dạng theo dòng, dữ liệu ở dạng hexadecimal và cuối cùng là dữ liệu ở dạng ASCII. Gói tin này gồm có 14 bytes cho Ethernet Header, 20 bytes cho IP Header, 20 bytes cho TCP Header, HTTP Header chấm dứt sau hàng “(0D 0A 0D 0A)” và tiếp đó là dữ liệu truyền thông. Lý do mà một gói tin sử dụng cả Hex và ASCII, có trường hợp thì các dữ liệu hiển thị ở dạng Hex thì dễ đọc hơn và ngược lại ASCII cũng tương tự. Quá trình phân tích giao thức sẽ tiến hành chộp Hexdump và cố gắng hiển thị chúng một cách dễ hiểu: ETHER: Destination address : 0000BA5EBA11 ETHER: Source address : 00A0C9B05EBD ETHER: Frame Length : 1514 (0x05EA) ETHER: Ethernet Type : 0x0800 (IP) IP: Version = 4 (0x4) IP: Header Length = 20 (0x14) IP: Service Type = 0 (0x0) IP: Precedence = Routine IP: ...0.... = Normal Delay IP: ....0... = Normal Throughput IP: .....0.. = Normal Reliability IP: Total Length = 1500 (0x5DC) IP: Identification = 7652 (0x1DE4) IP: Flags Summary = 2 (0x2) IP: .......0 = Last fragment in datagram IP: ......1. = Cannot fragment datagram IP: Fragment Offset = 0 (0x0) bytes IP: Time to Live = 127 (0x7F) IP: Protocol = TCP - Transmission Control IP: Checksum = 0xC26D IP: Source Address = 10.0.0.2 IP: Destination Address = 10.0.1.201 TCP: Source Port = Hypertext Transfer Protocol TCP: Destination Port = 0x0775 TCP: Sequence Number = 97517760 (0x5D000C0) TCP: Acknowledgement Number = 78544373 (0x4AE7DF5) TCP: Data Offset = 20 (0x14) TCP: Reserved = 0 (0x0000) TCP: Flags = 0x10 : .A.... TCP: ..0..... = No urgent data TCP: ...1.... = Acknowledgement field significant TCP: ....0... = No Push function TCP: .....0.. = No Reset TCP: ......0. = No Synchronize TCP: .......0 = No Fin TCP: Window = 28793 (0x7079) TCP: Checksum = 0x8F27 TCP: Urgent Pointer = 0 (0x0) HTTP: Response (to client using port 1909) HTTP: Protocol Version = HTTP/1.1 HTTP: Status Code = OK HTTP: Reason = OK .... Quá trình phân tích giao thức thật sự không đơn giản, nó đòi hỏi người sử dụng phải có một hiểu biết nền căn bản về các giao thức mạng. Các thông tin được Hexdump và giải mã là những thông tin khá hữu ích cho các nhà quản trị, cũng như là những thông tin khá có giá trị cho những kẻ tấn công. 3.1 Hexadecimal là gì ? Như chúng ta đã biết trong thế giới PC, tất cả mọi dữ liệu đều được hiểu và ghi lại dưới dạng những con số theo hệ nhị phân, thập phân…Hexadecimal đơn giản là một hế số được sử dụng để ghi lại dữ liệu (hệ 16), là hệ được sử dụng để ghi lại các dữ liệu trên các hệ thống mạng. Hệ thập phân (Decimal) có nghĩa là các dữ liệu được sử dụng các ký tự trong hệ thập phân này: 0 1 2 3 4 5 6 7 8 9 Hệ 16 (Hexdecimal) tương tự như hệ thập phân nhưng chúng mở rộng ra một chút: 0 1 2 3 4 5 6 7 8 9 A B C D E F Cách hiển thị dữ liệu của hệ 16: 0000 = 0 0001 = 1 0010 = 2 0011 = 3 0100 = 4 0101 = 5 0110 = 6 0111 = 7 1000 = 8 1001 = 9 1010 = A 1011 = B 1100 = C 1101 = D 1110 = E 1111 = F Lưu ý: Các chữ số trong hệ 16 thường được đi kèm với một ký tự đặc biệt. Lấy ví dụ như số 12, nó thường được hiểu như sau: 0x12, x12, $12 3.2 ASCII là gì ? Đơn giản chỉ là một bảng mã chuẩn quy định cho việc hiển thị dữ liệu trên máy tính. 3.3 Mô hình 7 lớp mạng OSI Về mặt cơ bản, Internet là một hệ thống mạng máy tính lớn được dùng để kết nối các máy tính ở khắp nơi trên thế giới với nhau và bao gồm nhiều giao thức (Protocol). Các giao thức này được sắp xếp một cách hợp lý trong một mô hình mạng OSI (Open Systems Interconnect Refence Model) hay còn gọi là mô hình mạng 7 lớp:  Tầng 1 - Physcial: Thực hiện truyền thông tin ở cấp độ vật lý giữa các máy tính với nhau. Bao gồm các giao thức: Ethernet, Wireless, Serial Direct Cable Connection, Point to Point Protocol (PPP).  Tầng 2 - Data Link: Định nghĩa các quy luật để nhận và gửi thông tin từ máy ày đến máy khác. Bao gồm các giao thức: Ethernet, Wrieless, Serial Direct Cable Connection, Point to Point Protocol (PPP).  Tầng 3 - Network: Định hướng đường đI cho dữ liệu giữa các hệ thống lớn trên mạng để đảm bảo dữ liệu đến đúng đích. Bao gồm các giao thức: IP (Internet Protocol), ICMP (Internet Control Message Protocol), ARP (Address Resolution Protocol), RARP (Reverse Address Resolution Protocol).  Tầng 4 - Transport: Vận chuyển, kiểm tra, khắc phục và truyền lại dữ liệu. Bao gồm các giao thức: TCP (Tranmission Control Protocol), UDP (User Datagram Protocol).  Tầng 5 - Session: Giám sát truyền thông tin giữa các hệ thống bao gồm: bảo mật (Security), nhật ký - ghi nhớ (Logging) và các chức năng giám sát quản trị (IDS, Admin). Bao gồm các giao thức: TCP (Tranmission Control Protocol), UDP (User Datagram Protocol).  Tầng 6 - Presentation: Điều khiển định dạng thông tin để hiển thị hay in ra và mã hoá dữ liệu. Bao gồm các giao thức ứng dụng: Telnet, FTP (File Transfer Protocol), HTTP (Hyper Text Transfer Protocol), SMTP (Simple Mail Transfer Protocol), DNS (Domain Name Service)... 7: Applicationon 6: Presentationon 5: Sessionon 4: Transportrt 3: Networkrk 2: Datata Linknk 1: Physcialal -------------------- ]]> /hvaonline/posts/list/420.html#1036 /hvaonline/posts/list/420.html#1036 GMT /hvaonline/posts/list/420.html#1037 /hvaonline/posts/list/420.html#1037 GMT /hvaonline/posts/list/420.html#1038 /hvaonline/posts/list/420.html#1038 GMT