Báo cáo bài tập lớn đề tài: Tìm hiểu giao thức TCP và dùng phần mềm wireshark bắt gói tin

Chia sẻ: Nguyễn Hoàng Thùy My | Ngày: | Loại File: DOCX | Số trang:36

Thêm vào BST

Báo xấu

452
lượt xem 115
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Việc hiểu biết mỗi giao thức được xếp đặt vào trong mô hình OSI như thế nào là một điều cần thiết cho mọi người quan tâm về mạng. Bài này phân tích TCP được xếp vào loại “giao thức vận chuyển” như thế nào và cho ta một sự thấu hiểu điều gì mình có thể mong đợi nơi giao thức này. Việc sắp xếp TCP vào mô hình OSI Như mọi người đã biết, mỗi giao thức có chỗ của nó trong mô hình OSI. Mô hình OSI là một biểu thị tính phức tạp và độ thông minh của giao thức đó. Theo...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Báo cáo bài tập lớn đề tài: Tìm hiểu giao thức TCP và dùng phần mềm wireshark bắt gói tin

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO BÀI TẬP LỚN MÔN: KỸ THUẬT TRUYỀN DỮ LIỆU ĐỀ TÀI: TÌM HIỂU GIAO THỨC TCP VÀ DÙNG PHẦM MỀM WIRESHARK BẮT GÓI TIN Giảng viên hướng dẫn : Th.S Đoàn Văn Trung Sinh viên thực hiện : 1. Nguyễn Mạnh Tiến 2. Nguyễn Thế Trọng Lớp : CĐ tin3 – k12 Hà Nội, tháng 12 năm 2012
LỜI CÁM ƠN Chúng em chân thành cảm ơn sự hướng dẫn chỉ bảo tận tình của thầy Đoàn Văn Trung Giảng viên bộ môn kỹ thuật truyền dữ liệu trường ĐH Công Nghiệp Hà Nội. Thầy đã cho chúng em nhiều kiến thức quý giá về kỹ thuật truyền dữ liệu. Trong quá trình thực hiện đề tài này, do kiến thức chưa sâu sắc nên chúng em còn nhiều sai sót, mong thầy và mọi người góp ý chân thành đ ể giúp chúng em hoàn thành đề tài này một cách tốt nhất. Xin chân thành cảm ơn.
Mục Lục
Phần I : Tìm Hiểu Giao Thức TCP 1. Giới Thiệu Và Khái Niệm 1.1 Giới Thiệu Việc hiểu biết mỗi giao thức được xếp đặt vào trong mô hình OSI như thế nào là một điều cần thiết cho mọi người quan tâm về mạng. Bài này phân tích TCP được xếp vào loại “giao thức vận chuyển” như thế nào và cho ta một sự thấu hiểu điều gì mình có thể mong đợi nơi giao thức này. Việc sắp xếp TCP vào mô hình OSI Như mọi người đã biết, mỗi giao thức có chỗ của nó trong mô hình OSI. Mô hình OSI là một biểu thị tính phức tạp và độ thông minh của giao thức đó. Theo qui tắc tổng quát, khi chúng ta càng lên cao trong mô hình OSI, thì giao thức đó càng trở nên thông minh. Việc đặt vị trí của tầng cũng phản ánh mức độ làm việc nhiều của CPU, trong khi đó các tầng thấp hơn của mô hình OSI thì hoàn toàn ngược lại, nghĩa là, mức độ làm việc của CPU ít hơn và bớt thông minh hơn. TCP được đặt ở lớp thứ tư của mô hình OSI, mà người ta còn gọi là tầng vận chuyển. Tầng vận chuyển chịu trách nhiệm thiết lập phiên kết nối, chuyển dữ liệu và phân nhỏ các kết nối ảo. Với ý nghĩ này, chúng ta sẽ mong đợi bất cứ giao thức nào nằm trong tầng vận chuyển phải thực hiện một vài tính năng và đặc tính cho phép nó hỗ trợ những chức năng mà tầng vận chuyển quy định. Vì thế sau khi phân tích TCP, chúng ta chắc chắn rằng TCP phải được xếp vào tầngvận chuyển mà thôi. Sơ đồ bên dưới đây cho chúng ta thấy TCP header nằm ở vị trí nào trong frame do một máy tính đã tạo ra và gởi vào mạng. Nếu chúng ta xoay sơ đồ 90 độ qua trái, chúng ta cũng lại có được điều tương tự trong sơ đồ trước. Điều này dĩ nhiên vì mỗi tầng chức năng gắn thêm thông tin của mình, hay còn gọi là header .
Frame được tạo thành bởi 6 khối 3 chiều để chúng ta có thể thấy khối nào được thêm vào trong mỗi tầng OSI. Chúng ta có thể thấy rằng TCP header chứa đựng mọi tuỳ chọn mà giao thức hổ trợ, được đặt ngay đằng sau IP header (tầng 3), và trước phần dữ liệu chứa đựng các thông tin của các tầng cao hơn (các tầng 5,6,7) Ghi chú: khối FCS ở cuối cùng là một tổng kiểm tra đặc biệt do tầng datalink tạo ra để cho phép máy nhận phát hiện xem frame hiện thời có bị hư hỏng do quá trình vận chuyển hay không. Chúng ta sử dụng TCP ở đâu và vì sao phải sử dụng? Người ta dùng TCP hầu như cho mọi loại mạng. Là một giao thức, nó không bị hạn chế trong bất cứ một sơ đồ nối mạng nào, dù đó là mạng LAN hay mạng WAN. Là một giao thức vận chuyển, chúng ta gọi nó là một giao thức vận chuyển vì nó được định vị trong tầng vận chuyển của mô hình OSI, công việc đầu tiên của nó là chuyển dữ liệu từ nơi này tới nơi khác, bất kể đó là mạng vật lý nào hay nằm ở đâu. Như phần lớn chúng ta đã biết, có hai loại giao thức vận chuyển. TCP là một, còn kia là UDP. Sự khác biệt giữa hai giao thức vận chuyển này là TCP cho một phương pháp vận chuyển dữ liệu mạnh mẽ và vô cùng đáng tin cậy, đảm bảo rằng dữ liệu chuyển đi không bị hư hao cách này hay cách khác. Mặt khác, UDP cho một phương pháp chuyển dữ liệu không đáng tin cậy vì nó không đảm bảo dữ liệu đã đến hay tính toàn vẹn của nó khi nó đến nơi. 1.2. Khái Niệm Giao thức TCP (Transmission Control Protocol - "Giao thức điều khiển truyền vận") là một trong các giao thức cốt lõi của bộ giao thức TCP/IP. Sử dụng TCP, các ứng dụng trên các máy chủ được nối mạng có thể tạo các "kết nối" với nhau, mà qua đó chúng có thể trao đổi dữ liệu hoặc các gói tin. Giao thức này đảm bảo chuyển giao dữ liệu tới nơi nhận một cách đáng tin cậy và đúng thứ tự. TCP còn phân biệt giữa dữ liệu của nhiều ứng dụng (chẳng hạn, dịch vụ Web và dịch vụ thư điện tử) đồng thời chạy trên cùng một máy chủ. TCP hỗ trợ nhiều giao thức ứng dụng phổ biến nhất trên Internet và các ứng dụng kết quả, trong đó có WWW, thư điện tử và Secure Shell. Trong bộ giao thức TCP/IP, TCP là tầng trung gian giữa giao thức IP bên dưới và một ứng dụng bên trên. Các ứng dụng thường cần các kết nối đáng tin cậy kiểu đường ống để liên lạc với nhau, trong khi đó, giao thức IP không cung cấp những dòng kiểu đó, mà chỉ cung cấp dịch vụ chuyển gói tinkhông đáng tin cậy. TCP làm nhiệm vụ của tầng giao vận trong mô hình OSI đơn giản của các mạng máy tính. Các ứng dụng gửi các dòng gồm các byte 8-bit tới TCP để chuyển qua mạng. TCP phân chia dòng byte này thành các đoạn (segment) có kích thước thích hợp (thường
được quyết định dựa theo kích thước của đơn vị truyền dẫn tối đa (MTU) của tầng liên kết dữ liệu của mạng mà máy tính đang nằm trong đó). Sau đó, TCP chuyển các gói tin thu được tới giao thức IP để gửi nó qua một liên mạng tới mô đun TCP tại máy tính đích. TCP kiểm tra để đảm bảo không có gói tin nào bị thất lạc bằng cách gán cho mỗi gói tin một "số thứ tự" (sequence number). Số thứ tự này còn được sử dụng để đảm bảo dữ liệu được trao cho ứng dụng đích theo đúng thứ tự. Mô đun TCP tại đầu kia gửi lại "tin báo nhận" (acknowledgement) cho các gói tin đã nhận được thành công; một "đồng hồ" (timer) tại nơi gửi sẽ báo time-out nếu không nhận được tin báo nhận trong khoảng thời gian bằng một round-trip time(RTT), và dữ liệu (được coi là bị thất lạc) sẽ được gửi lại. TCP sử dụng checksum (giá trị kiểm tra) để xem có byte nào bị hỏng trong quá trình truyền hay không; giá trị này được tính toán cho mỗi khối dữ liệu tại nơi gửi trước khi nó được gửi, và được kiểm tra tại nơi nhận. 2.Hoạt Động Của Giao Thức TCP Không như giao thức UDP - giao thức có thể lập tức gửi gói tin mà không cần thiết lập kết nối, TCP đòi hỏi thiết lập kết nối trước khi bắt đầu gửi dữ liệu và kết thúc kết nối khi việc gửi dữ liệu hoàn tất. Các kết nối TCP chia làm 3 phần: a.Thiết lập kết nối b.Truyền dữ liệu c.Kết thúc kết nối Trước khi miêu tả các pha này, ta cần lưu ý các trạng thái khác nhau của một socket: LISTEN đang đợi yêu cầu kết nối từ một TCP và cổng bất kỳ ở xa (trạng thái này thường do các TCP server đặt) SYN-SENT đang đợi TCP ở xa gửi một gói tin TCP với các cờ SYN và ACK được bật (trạng thái này thường do các TCP client đặt) SYN-RECEIVED đang đợi TCP ở xa gửi lại một tin báo nhận sau khi đã gửi cho TCP ở xa đó một tin báo nhận kết nối (connection acknowledgment) (thường do TCP server đặt) ESTABLISHED cổng đã sẵn sàng nhận/gửi dữ liệu với TCP ở xa (đặt bởi TCP client và server) FIN-WAIT-1 đang đợi qua đủ thời gian để chắc chắn là TCP ở xa đã nhận được tin báo nhận về yêu cầu kết thúc kết nối của nó. Theo RFC 793, một kết nối có thể ở tại trạng thái TIME-WAIT trong vòng tối đa 4 phút. Còn 1 số trạng thái khác như : FIN-WAIT-2,CLOSE-WAIT,CLOSING,LAST- ACK,TIME-WAIT,CLOSED 2.1 Thiết Lập Kết Nối Để thiết lập một kết nối, TCP sử dụng một quy trình bắt tay 3 bước (3-way handshake) Trước khi client thử kết nối với một server, server phải đăng ký một cổng và mở cổng đó cho các kết nối: đây được gọi là mở bị động. Một khi mở bị động đã được thiết lập thì một client có thể bắt đầu mở chủ động. Để thiết lập một kết nối, quy trình bắt tay 3 bước xảy ra như sau:
a . Client yêu cầu mở cổng dịch vụ bằng cách gửi gói tin SYN (gói tin TCP) tới server, trong gói tin này, tham số sequence number được gán cho một giá trị ngẫu nhiên X. b . Server hồi đáp bằng cách gửi lại phía client bản tin SYN-ACK, trong gói tin này, tham số acknowledgment number được gán giá trị bằng X + 1, tham số sequence number được gán ngẫu nhiên một giá trị Y c . Để hoàn tất quá trình bắt tay ba bước, client tiếp tục gửi tới server bản tin ACK, trong bản tin này, tham số sequence number được gán cho giá trị bằng X + 1 còn tham số acknowledgment number được gán giá trị bằng Y + 1 Tại thời điểm này, cả client và server đều được xác nhận rằng, một kết nối đã được thiết lập. 2.2 Truyền Dữ Liệu Một số đặc điểm cơ bản của TCP để phân biệt với UDP: • Truyền dữ liệu không lỗi (do có cơ chế sửa lỗi/truyền lại) • Truyền các gói dữ liệu theo đúng thứ tự • Truyền lại các gói dữ liệu mất trên đường truyền • Loại bỏ các gói dữ liệu trùng lặp • Cơ chế hạn chế tắc nghẽn đường truyền Ở hai bước đầu tiên trong ba bước bắt tay, hai máy tính trao đổi một số thứ tự gói ban đầu (Initial Sequence Number -ISN). Số này có thể chọn một cách ngẫu nhiên. Số thứ tự này được dùng để đánh dấu các khối dữ liệu gửi từ mỗi máy tính. Sau mỗi byte được truyền đi, số này lại được tăng lên. Nhờ vậy ta có thể sắp xếp lại chúng khi tới máy tính kia bất kể các gói tới nơi theo thứ tự thế nào. Trên lý thuyết, mỗi byte gửi đi đều có một số thứ tự và khi nhận được thì máy tính nhận gửi lại tin báo nhận (ACK). Trong thực tế thì chỉ có byte dữ liệu đầu tiên được gán số thứ tự trong trường số thứ tự của gói tin và bên nhận sẽ gửi tin báo nhận bằng cách gửi số thứ tự của byte đang chờ. Ví dụ: Máy tính A gửi 4 byte với số thứ tự ban đầu là 100 (theo lý thuyết thì 4 byte sẽ có thứ tự là 100, 101, 102, 103) thì bên nhận sẽ gửi tin báo nhận có nội dung là 104 vì đó là thứ tự của byte tiếp theo nó cần. Bằng cách gửi tin báo nhận là 104, bên nhận đã ngầm thông báo rằng nó đã nhận được các byte 100, 101, 102 và 103. Trong trường hợp 2 byte cuối bị lỗi thì bên nhận sẽ gửi tin báo nhận với nội dung là 102 vì 2 byte 100 và 101 đã được nhận thành công. Giả sử ta có 10.000 byte được gửi đi trong 10 gói tin 1.000 byte và có 1 gói tin bị mất trên đường truyền. Nếu gói bị mất là gói đầu tiên thì bên gửi sẽ phải gửi lại toàn bộ 10 gói vì không có cách nào để bên nhận thông báo nó đã nhận được 9 gói kia. Vấn đề này được giải quyết trong giao thức SCTP (Stream Control Transmission Protocol - "Giao thức điều khiển truyền vận dòng") với việc bổ sung báo nhận chọn lọc. Số thứ tự và tin báo nhận giải quyết được các vấn đề về lặp gói tin, truyền lại những gói bị hỏng/mất và các gói tin đến sai thứ tự. Để phục vụ mục đích kiểm tra, các gói tin có trường giá trị tổng kiểm (checksum - Xem thêm phần #Cấu trúc gói). Với trình độ hiện tại, kỹ thuật kiểm tra tổng trong TCP không đủ mạnh. Các tầng liên kết dữ liệu với xác suất lỗi bit cao có thể cần được bổ sung các khả năng phát hiện lỗi tốt hơn. Nếu như TCP được thiết kế vào thời điểm hiện tại, nhiều khả
năng nó sẽ bao gồm trường kiểm tra độ dư tuần hoàn (cyclic redundancy check - CRC) với độ dài 32 bit. Điểm yếu này một phần được bù đắp bằng CRC hay những kỹ thuật khác tại tầng thứ 2 (trong mô hình 7 lớp OSI) ở bên dưới cả TCP và IP như trong các giao thức điểm-điểm (PPP) hoặc Ethernet. Tuy nhiên điều này cũng không có nghĩa là trường kiểm tra tổng của TCP là không cần thiết: thống kê cho thấy các sai sót do cả phần cứng và phần mềm gây ra giữa các điểm áp dụng kỹ thuật kiểm tra CRC là khá phổ biến và kỹ thuật kiểm tra tổng có khả năng phát hiện phần lớn các lỗi (đơn giản) này. Điểm cuối cùng là khả năng hạn chế tắc nghẽn.Tin báo nhận (hoặc không có tin báo nhận) là tín hiệu về tình trạng đường truyền giữa 2 máy tính. Từ đó, hai bên có thể thay đổi tốc độ truyền nhận dữ liệu phù hợp với điều kiện. Vấn đề này thường được đề cập là điều khiển lưu lượng, kiểm soát tắc nghẽn. TCP sử dụng một số cơ chế nhằm đạt được hiệu suất cao và ngăn ngừa khả năng nghẽn mạng. Các cơ chế này bao gồm:cửa sổ trượt (sliding window), thuật toán slow-start, thuật toán tránh nghẽn mạng (congestion avoidance), thuật toán truyền lại và phục hồi nhanh,... Hiện nay, vấn đề cải tiến TCP trong môi truyền truyền dẫn tốc độ cao đang là một hướng nghiên cứu được quan tâm. Kích thước cửa sổ TCP Chuỗi số thứ tự gói và cửa sổ trong TCP hoạt động giống như một cái đồng hồ. Kích thước của cửa sổ (đo bằng byte) được thiết lập bởi khả năng tiếp nhận của máy tính nhận. Cửa sổ này được dịch đi mỗi khi máy tính nhận nhận được dữ liệu và gửi tin báo nhận. Khi chuỗi thứ tự tăng đến tối đa thì lại quay lại về 0. Kích thước của cửa sổ là chiều dài (byte) của khối dữ liệu có thể lưu trong bộ đệm của bên nhận. Bên gửi chỉ có thể gửi tối đa lượng thông tin chứa trong cửa sổ này trước khi nhận được tin báo nhận. 2.3 Dãn kích thước cửa sổ Để tận dụng khả năng truyền dẫn của mạng thì cửa sổ dùng trong TCP cần được tăng lên. Trường điều khiển kích thước cửa sổ của gói TCP có độ dài là 2 byte và do đó kích thước tối đa của cửa sổ là 65.535 byte. Do trường điều khiển không thể thay đổi nên người ta sử dụng một hệ số dãn nào đó. Hệ số này được định nghĩa trong tài liệu RFC 1323 có thể sử dụng để tăng kích thước tối đa của cửa sổ từ 65.535 byte lên tới 1 gigabyte. Tăng kích thước cửa sổ lớn hơn nữa cũng cần thiết trong TCP Tuning.
Việc tăng kích thước cửa sổ chỉ được dùng trong giao thức bắt tay 3 pha. Giá trị của trường co dãn cửa sổ thể hiện số bit cần được dịch trái đối với trường kích thước cửa sổ. Hệ số dãn có thể thay đổi từ 0 (không dãn) tới 14 (dãn tối đa). 2.4 Kết Thúc Kế Nối Để kết thúc kết nối hai bên sử dụng quá trình bắt tay 4 bước và chiều của kết nối kết thúc độc lập với nhau. Khi một bên muốn kết thúc, nó gửi đi một gói tin FIN và bên kia gửi lại tin báo nhận ACK. Vì vậy, một quá trình kết thúc tiêu biểu sẽ có 2 cặp gói tin trao đổi. Một kết nối có thể tồn tại ở dạng "nửa mở": một bên đã kết thúc gửi dữ liệu nên chỉ nhận thông tin, bên kia vẫn tiếp tục gửi. 3. Các Cổng Của Giao Thức TCP TCP sử dụng khái niệm số hiệu cổng (port number) để định danh các ứng dụng gửi và nhận dữ liệu. Mỗi đầu của một kết nối TCP có một số hiệu cổng (là số không dấu 16-bit) được gán cho ứng dụng đang nhận hoặc gửi dữ liệu. Các cổng được phân thành ba loại cơ bản: nổi tiếng, được đăng ký và động/cá nhân. Các cổng nổi tiếng đã được gán bởi tổ chức Internet Assigned Numbers Authority (IANA) và thường được sử dụng bởi các tiến trình mức hệ thống hoặc các tiến trình của root. Ví dụ: FTP (21), TELNET (23), SMTP (25) và HTTP (80). Các cổng được đăng ký thường được sử dụng bởi các ứng dụng người dùng đầu cuối (end user application) với vai trò các cổng phát tạm thời (khi dùng xong thì hủy đăng ký) khi kết nối với server, nhưng chúng cũng có thể định danh các dịch vụ có tên đã được đăng ký bởi một bên thứ ba. Các cổng động/cá nhân cũng có thể được sử dụng bởi các ứng dụng người dùng đầu cuối, nhưng không thông dụng bằng. Các cổng động/cá nhân không có ý nghĩa gì nếu không đặt trong một kết nối TCP. Có 65535 cổng được chính thức thừa nhận. 4 . Sự Phát Triển Của Giao Thức TCP TCP là một giao thức phức tạp và vẫn còn tiếp tục được phát triển. Tuy nhiên, mặc dù có nhiều cải tiến đã được áp dụng và đề xuất nhưng các hoạt động cơ bản của giao thức vẫn giữ nguyên như mô tả ban đầu trong tài liệu RFC 793 ban hành năm 1981. Tài liệu RFC 1122 - Các yêu cầu của máy mạng Internet - đưa ra một số yêu cầu khi thực hiện TCP. RFC 2581 - Điều khiển tránh nghẽn mạng, một trong những tài liệu quan trọng trong bộ RFC trong những năm gần đây - mô tả thuật toán dùng để giảm khả năng tắc nghẽn mạng. Năm 2001, RFC 3168 mô tả một cơ chế báo hiệu chống nghẽn mạng có tên là Thông báo nghẽn mạng (Explicit Congestion Notification). Vào thời điểm đầu thế kỷ 21, khoảng 95% gói tin trên Internet là TCP. Các ứng dụng tiêu biểu sử dụng TCP là HTTP/HTTPS (World Wide Web), SMTP/POP3/IMAP (e- mail) và FTP (truyền file). Sự phổ biến của TCP chứng tỏ rằng nó đã được thiết kế rất tốt. Cơ chế điều khiển tránh tắc nghẽn của TCP ban đầu là TCP Reno và gần đây đã có một số thuật toán khác được đề xuất:  High Speed TCP của Sally Floyd trong tài liệu RFC 3649  TCP Vegas của Brakmo và Peterson (làm việc tại Đại học Arizona)  TCP Westwood của Đại học California tại Los Angeles  BIC TCP của Injong Rhee (làm việc tại Đại học North Carolina)
 H-TCP của Viện Hamilton  Fast TCP (Fast Active queue management Scalable Transmission Control Protocol) của Caltech.  TCP Hybla của Đại học Bologna Bên cạnh đó cũng có rất nhiều nghiên cứu so sánh sự công bằng và hiệu suất của TCP khi sử dụng các thuật toán tránh tắc nghẽn khác nhau. 5. TCP Trên Mạng Không Dây TCP cũng được sử dụng cho mạng không dây. Ở đây trường hợp mất gói tin cũng được xem là nghẽn mạng và kích thước cửa sổ do đó cũng sẽ được giảm xuống. Tuy nhiên trong nhiều trường hợp đối với các mạng không dây thì việc mất các gói tin thường xẩy ra một cách ngẫu nhiên do ảnh hưởng của fading, chuyển giao giữa các cell... và chúng ta không thể xem đây là nghẽn mạng. Do đó, việc giảm kích thước cửa sổ không đúng sẽ làm cho hiệu quả sử dụng đường truyền giảm một cách đáng kể. Nhiều nghiên cứu đã tập trung để giải quyết vấn đề này. Các giải pháp được đề ra có thể phân loại thành các nhóm: giải pháp đầu cuối (liên quan tới việc thay đổi tại client/server), giải pháp tại tầng liên kết dữ liệu (chẳng hạn giao thức RLP trong chuẩnCDMA2000) và giải pháp dựa trên proxy (thay đổi trong mạng mà không cần thay đổi các thiết bị đầu cuối). 6. Gỡ Rối Trong Giao Thức TCP Các phần mềm đọc gói (packet sniffer) TCP có thể sử dụng để gỡ rối/theo dõi bằng cách đọc tất cả các gói TCP được truyền trong mạng. Ví dụ : Wireshark(trên Windows và Linux), tcpdump(trên Linux)... 7. Các Lựa Chọn Khác Ngoài TCP Đối với một số ứng dụng thì TCP không thích hợp. Vấn đề lớn nhất là phía nhận không thể tiếp nhận các gói tin đến sau một gói bị lỗi trước khi chính gói bị lỗi được truyền lại. Điều này khiến TCP không thích hợp cho các ứng dụng thời gian thực (real-time) chẳng hạn như đa phương tiện trực tuyến, trò chơi trực tuyến và thoại trên nền IP (VoIP) bởi vì các ứng dụng này cần các gói tin kịp thời hơn là nhận đủ các gói tin theo đúng thứ tự. Ngoài ra sự phức tạp của TCP cũng gây ra vấn đề với các hệ thống nhúng (embedded system). Ví dụ tiêu biểu là netbooting sử dụng giao thức TFTP. Cuối cùng, độ phức tạp của TCP cũng gây khó khăn cho một số vấn đề khác như truyền thông tin giữa 2 máy tính nằm sau hệ thống chuyển đổi địa chỉ (NAT). Thông thường, khi TCP không thích hợp thì UDP được sử dụng. UDP cung cấp một số tính năng giống TCP như đa công và kiểm tra tổng nhưng nó không đảm bảo việc truyền lại gói tin lỗi hay thứ tự các gói tin. Vì thế, người phát triển ứng dụng có thể áp dụng các phương thức khác ở các tầng trên để giải quyết vấn đề tùy theo yêu cầu cụ thể. Giao thức điều khiển truyền vận dòng (Stream Control Transmission Protocol -SCTP) cũng là một giao thức dựa trên nền IP không khác nhiều so với TCP. SCTP được phát triển sau và có cấu trúc phức tạp hơn TCP. SCTP được thiết kế để sử dụng trong
điều kiện yêu cầu độ tin cậy và gần thời gian thực. Tuy nhiên SCTP chưa được sử dụng rộng rãi.
+ Bít 0 - 3 4-9 10 - 15 16 - 31 Source 0 Destination Port Port 32 Sequence Number 64 Acknowledgement Number Data 96 Reserved Flags Window Offset 128 Checksum Urgent Pointer 160 Options (optional) 160/192+ Data TCP cũng bộc lộ một số vấn đề khi dùng trong môi trường truyền dẫn tốc độ cao. Thuật toán tránh nghẽn mạng làm việc tốt trong môi trường không dự tính trước nhưng đối với môi trường xác định hơn chẳng hạn như ATM (Asynchronous Transfer Mode) thì TCP không tận dụng được khả năng của hệ thống bên dưới. Data 96 Reserved Flags Window Offset 128 Checksum Urgent Pointer 160 Options (optional) 160/192+ Data 8. Cấu Trúc Gói Tin Một gói tin TCP bao gồm 2 phần  header  dữ liệu
Phần header có 11 trường trong đó 10 trường bắt buộc. Trường thứ 11 là tùy chọn (trong bảng minh họa có màu nền đỏ) có tên là: options 8.1 HEADER Source port Số hiệu của cổng tại máy tính gửi. Destination port Số hiệu của cổng tại máy tính nhận .Sequence number Trường này có 2 nhiệm vụ. Nếu cờ SYN bật thì nó là số thứ tự gói ban đầu và byte đầu tiên được gửi có số thứ tự này cộng thêm 1. Nếu không có cờ SYN thì đây là số thứ tự của byte đầu tiên. Acknowledgement number Nếu cờ ACK bật thì giá trị của trường chính là số thứ tự gói tin tiếp theo mà bên nhận cần. Data offset Trường có độ dài 4 bít qui định độ dài của phần header (tính theo đơn vị từ 32 bít). Phần header có độ dài tối thiểu là 5 từ (160 bit) và tối đa là 15 từ (480 bít). Reserved Dành cho tương lai và có giá trị là 0. Flags (hay Control bits) Bao gồm 6 cờ: URG Cờ cho trường Urgent pointer ACK Cờ cho trường Acknowledgement PSH Hàm Push RST Thiết lập lại đường truyền SYN Đồng bộ lại số thứ tự FIN Không gửi thêm số liệu Window Số byte có thể nhận bắt đầu từ giá trị của trường báo nhận (ACK) Checksum 16 bít kiểm tra cho cả phần header và dữ liệu. Phương pháp sử dụng được mô tả trong RFC 793: 16 bít của trường kiểm tra là bổ sung của tổng tất cả các từ 16 bít trong gói tin. Trong trường hợp số octet (khối 8 bít) của header và dữ liệu là lẻ thì octet cuối được bổ sung với các bít 0. Các bít này không được truyền. Khi tính tổng, giá trị của trường kiểm tra được thay thế bằng 0,
Nói một cách khác, tất cả các từ 16 bít được cộng với nhau. Kết quả thu được sau khi đảo giá trị từng bít được điền vào trường kiểm tra. Về mặt thuật toán, quá trình này giống với IPv4. Điểm khác nhau chỉ ở chỗ dữ liệu dùng để tính tổng kiểm tra. Dưới đây là một header của IP: + Bít 0 - 3 4-7 8-9 10 - 15 16 - 31 0 Source address 32 Destination address 64 Zeros Protocol TCP length 96 Source Port Destination Port 128 Sequence Number 160 Acknowledgement Number 192 Data Offset Reserved Flags Window 225 Checksum Urgent Pointer 257 Options (optional) 257/289+ Data Các địa chỉ nguồn và đích là các địa chỉ IPv4. Giá trị của trường protocol là 6 (giá trị dành cho TCP, xem thêm: Danh sách số hiệu giao thức IPv4). Giá trị của trường TCP length field là độ dài của toàn bộ phần header và dữ liệu của gói TCP. Urgent pointer Nếu cờ URG bật thì giá trị trường này chính là số từ 16 bít mà số thứ tự gói tin (sequence number) cần dịch trái. Options Đây là trường tùy chọn. Nếu có thì độ dài là bội số của 32 bít. 8.2 Dữ Liệu Trường cuối cùng không thuộc về header. Giá trị của trường này là thông tin dành cho các tầng trên (trong mô hình 7 lớp OSI). Thông tin về giao thức của tầng trên không được chỉ rõ trong phần header mà phụ thuộc vào cổng được chọn. 9. Vận Chuyển Đáng Tin Cậy TCP vận chuyển đáng tin cậy vì nhờ các kỹ thuật khác nhau mà nó sử dụng để đảm bảo dữ liệu nhận được là không bị lỗi. TCP là một giao thức mạnh được dùng để vận chuyển tập tin mà lỗi của dữ liệu không thể nào là một sự tùy chọn. Khi chúng ta quyết định tải về một tập tin là 50MB từ một website, chúng ta không muốn phát hiện ra sau khi tải tập tin về hoàn tất mà tập tin thì bị lỗi. Mặc dù vậy trong thực tế, điều này vẫn xảy ra, để chỉ cho chúng ta thấy rằng chúng ta không thể nào hoàn thiện về 1 điều nào đó. Hình ảnh này cho thấy header của TCP trong khung ethernet II. Ngay dưới đây, các bạn sẽ thấy sơ đồ thứ hai thu nhỏ lại chỉ trong TCP header, hiển thị các trường mà giao thức chứa đựng
Sơ đồ bên trên cho thấy từng phần chia nhỏ là mỗi trường bên trong TCP header cùng với số bit. Trường phổ biến nhất trong TCP header là cổng nguồn (source port), cổng đích (destination port),và các bit mã (Code bits). Các bit mã này còn gọi là “cờ’ (flag) . Các trường còn lại giúp đảm bảo mọi đoạn TCP đi được đến đích và được ráp lại đúng thứ tự, nhưng trong cùng một lúc cung cấp một cơ chế khắc phục lỗi nếu có một vài đoạn bị mất hay không đi đến đích được.
PHẦN II : PHÂN TÍCH GÓI TIN VỚI WIRESHARK 1.Giới Thiệu Về Phần Mềm Wireshark WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark. WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm. Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau. Các giao thực được hỗ trợ bởi WireShark: WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Và cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được thêm vào. Và có thể nói rằng không có giao thức nào mà Wireshark không thể hỗ trợ. • Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu. Không như một số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thật tuyệt vời cho những ai đã từng nghiên cứu thế giới của phân tích giao thức. • Giá rẻ: Wireshark là một sản phẩm miễn phí GPL. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại. • Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở. • Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay. 1.1 Một số tính năng nâng cao của Wireshark Name Resolution Dữ liệu truyền trong mạng thông qua một vài hệ thống địa chỉ, các địa chỉ này thường dài và khó nhớ (Ví dụ: MAC). Phân giải điạch chỉ là quá trình mà một giao thức sử dụng để chuyển đổi một địa chỉ loại này thành một địa chỉ loại khác đơn giản hơn. Chúng ta có thể tiết kiệm thời gian bằng cách sử dụng một vài công cụ phân giải địa chỉ để file dữ liệu ta bắt được dễ đọc hơn. Ví dụ như là chúng ta có thể sử dụng phân giải tên DNS để giúp định danh tên của một máy tính mà ta đang có
gắng xác định như là nguồn của các gói cụ thể. Các kiểu công cụ phân giải tên trong Wireshark: có 3 loại • MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP tầng 3. Nếu việc phân giải này lỗi, Wireshark sẽ chuyển 3 byte đầu tiên của địa chỉ MAC sang tên hãng sản xuất đã được IEEE đặc tả, ví dụ: Netgear_01:02:03. • Network Name Resolution: chuyển đổi địa chỉ tầng 3 sang một tên DNS dễ đọc như là MarketingPC1. • Transport Name Resolution: chuyển đổi một cổng sang một tên dịch vụ tương ứng với nó, ví dụ: cổng 80 là http. Protocol Dissection Một protocol dissector cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích. ICMP protocol dissector cho phép Wireshark phân chia dữ liệu bắt được và định dạng chúng như là một gói tin ICMP. Bạn có thể nghĩ rằng một dissector như là một bộ phiên dịch giữa dòng dữ liệu trên đường truyền và chương trình Wireshark. Với mục đích để hỗ trợ một giao thức nào đó, một dessector cho giao thức đó phải được tích hợp trong Wireshark. Wireshark sử dụng đồng thời vài dissector để phiên dịch mỗi gói tin. Nó quyết định dissector nào được sử dụng bằng cách sử dụng phân tích lôgic đã được cài đặt sẵn và thực hiện việc dự đoán. Thật không may là Wireshark không phải lúc nào cũng đúng trong việc lựa chọn dissector phù hợp cho một gói tin. Tuy nhiên, ta có thể thay đổi việc lựa chọn này trong từng trường hợp cụ thể. Following TCP Streams Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP như là ở tầng ứng dụng. Tính năng này cho phép bạn phối hợp tất cả các thông tin liên quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm chứa giống như là người dùng cuối nhìn thấy trong ứng dụng. Còn hơn cả việc xem các dữ liệu đang được truyền giữa máy trạm và máy chủ trong một mớ hỗn độn, tính năng này sắp xếp dữ liệu để có thể xem một cách đơn giản. Bạn có thể sử dụng công cụ này để bắt và giải mã một phiên instant messages được gửi bởi một người làm thuê (người này đang bị nghi ngờ phát tán các thông tin tài chính của công ty). Cửa sổ thống kê phân cấp giao thức Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân bố các giao thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và DHCP là bao nhiêu phần trăm,... Thay vì phải đếm từng gói tin để thu được kết quả, chúng ta có thể sử dụng cửa sổ thống kê phân cấp giao thức của Wireshark. Đây là cách tuyệt với để kiểm thử mạng của bạn. Ví dụ, nếu bạn biết rằng 10% lưu lượng mạng của bạn được sử dụng bởi các lưu lượng ARP, và một ngày nào đó, bạn thấy lưu lượng ARP lên tới 50%, bạn hoàn toàn có thể hiểu rằng đang có một cái gì đó không ổn xảy ra. Xem các Endpoints Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể. Ví dụ, có hai endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và nhận dữ liệu, 192.168.1.5 và 192.168.0.8. Một ví dụ ở tầng 2 có thể là kết nối giữa hai NIC vật lý và địa chỉ MAC của chúng. Các NIC gửi và nhận dữ liệu, các MAC đó tạo nên các endpoint trong kết nối.
Hàng ngày, có hàng triệu vấn đề lỗi trong một mạng máy tính, từ việc đơn giản là nhiễm Spyware cho đến việc phức tạp như lỗi cấu hình router, và các vấn đề này không thể được xử lý tất cả lập tức. Tốt nhất là chúng ta có thể hi vọng thực hiện công việc đó bằng cách chuẩn bị đầy đủ các kiến thức và các công cụ tương ứng với các vấn đề. Tất cả các vấn đề trên mạng đều xuất phát ở mức gói, nơi mà không có gì được che dấu đối với chúng ta, nơi mà không có thứ gì bị ẩn đi bởi các cấu trúc menu, các hình ảnh bắt mắt hoặc là các nhân viên không đáng tin cậy. Không có gì bí mật ở đây, và chúng ta có thể điều khiển được mạng và giải quyết các vấn đề. Đây chính là thế giới của phân tích gói tin. 1.2 Thế Nào Là Phân Tích Gói Tin? Phân tích gói tin, thông thường được quy vào việc nghe các gói tin và phân tích giao thức, mô tả quá trình bắt và phiên dịch các dữ liệu sống như là các luồng đang lưu chuyển trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng. Phân tích gói tin thường được thực hiện bởi một packet sniffer, một công cụ được sử dụng để bắt dữ liệu thô trên đang lưu chuyển trên đường dây. Phân tích gói tin có thể giúp chung ta hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật. Có một vài kiểu chương trình nghe gói tin, bao gồm cả miễn phí và sản phẩm thương mại. Mỗi chương trình được thiết kế với các mục tiêu khác nhau. Một vài chương trình nghe gói tin phổ biến như là tcpdump (a command-line program), OmniPeek, và Wireshark (cả hai đều là chương trình có giao diện đồ hoạ). Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm đến một số vấn đề: các giao thức mà chương trình cần hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật và chương trình hỗ trợ cho hệ điều hành nào. 1.3 Các Bước Để Nghe Gói Tin Quá trình nghe gói tin được chia làm 3 bước: thu thập dữ liệu, chuyển đổi dữ liệu và phân tích. Thu thập dữ liệu: đây là bước đầu tiên, chương trình nghe gói tin chuyển giao diện mạng được lựa chọn sang chế độ Promiscuous. Chế độ này cho phép card mạng có thể nghe tất cả các gói tin đang lưu chuyển trên phân mạng của nó. Chương trình nghe gói sử dụng chế độ này cùng với việc truy nhập ở mức thấp để bắt các dữ liệu nhị phân trên đường truyền. Chuyển đổi dữ liệu: trong bước này, các gói tin nhị phân trên được chuyển đổi thành các khuôn dạng có thể đọc được. Phân tích: phân tích các gói tin đã được chuyển đổi. Có vài chương trình khác nhau về nghe gói tin, trong tiểu luận này, chúng tôi xin giới thiệu một chương trình điển hình với nhiều tính năng mạnh hỗ trợ việc bắt và phân tích gói tin. Đó là WireShark. Nội dung các phần chính: Phần I: Các cách thức nghe gói tin trên mạng Phần II: Giới thiệu WireShark Phần III: Các tính huống với WireShark
Phần IV: Xử lý các tình huống mạng với WireShark 2. Các Cách Thức Nghe Gói Tín Trên Mạng Để thực hiện việc bắt các gói tin trên mạng, ta phải chỉ ra những vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền của mạng. Quá trình này đơn giản là đặt “máy nghe” vào đúng vị trí vật lý nào trong một mạng máy tính. Việc nghe các gói tin không đơn giản chỉ là cắm một máy xách tay vào mạng và bắt gói. Thực tế, nhiều khi việc đặt máy nghe vào mạng khó hơn việc phân tích các gói tin. Thách thức của việc này là ở chỗ là có một số lượng lớn các thiết bị mạng phần cứng được sử dụng để kết nối các thiết bị với nhau. Lý do là vì 3 loại thiết bị chính (hub, switch, router) có nguyên lý hoạt động rất khác nhau. Và điều này đòi hỏi ta phải nắm rõ được cấu trúc vật lý của mạng mà ta đang phân tích. Chúng ta sẽ nghiên cứu một số mạng thực tế để chỉ ra cách tốt nhất để bắt các gói tin trong từng môi trường mạng sử dụng Hub, Switch và Router. 2.1 Living Promiscuously (chế độ bắt tất cả các gói tin đi qua) Trước khi nghe các gói tin trên mạng, ta cần một card mạng có hỗ trợ chế độ Promiscuous. Chế độ Promiscuous cho phép card mạng nhìn thấy thất cả các gói tin đi qua hệ thống dây mạng. Khi một card mạng không ở chế độ này, nó nhìn thấy một số lượng lớn các gói tin trên mạng nhưng không gửi cho nó, nó sẽ huỷ (drop) các gói tin này. Khi nó ở chế độ Promiscuous, nó bắt tất cả các gói tin và gửi toàn bộ tới CPU. 2.2 “Nghe” trong mạng có Hub Việc nghe trong một mạng có hub là một điều kiện trong mơ cho việc phân tích gói tin. Cơ chế hoạt động của Hub cho phép gói tin được gửi tất cả các cổng của hub. Hơn nữa, để phân tích một máy tinh trên một hub, tất cả các công việc mà bạn cần làm là cắm máy nghe vào một cổng còn trống trên hub. Bạn có thể nhìn thấy tất cả các thông tin truyền và nhận từ tất cả các máy đang kết nối với hub đó, của sổ tầm nhìn của bạn không bị hạn chế khi mà máy nghe của bạn được kết nối với một mạng hub. 2.3 “Nghe” trong mạng Switched Một môi trường switched là kiểu mạng phổ biến mà bạn làm việc. Switch cung cấp một phương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast, multicast. Switch cho phép kết nối song công (full-duplex), có nghĩa là máy trạm có thể truyền và nhận dữ liệu đồng thời từ switch. Khi bạn cắm một máy nghe vào một cổng của switch, bạn chỉ có thể nhìn thấy các broadcast traffic và những gói tin gửi và nhận của máy tính mà bạn đang sử dụng.
Có 3 cách chính để bắt được các gói tin từ một thiết bị mục tiêu trên mạng switch: port mirroring, ARP cache poisoning và hubbing out. Port Mirroring Port mirroring hay còn gọi là port spanning có thể là cách đơn giản nhất để bắt các lưu lượng từ thiết bị mục tiêu trên mạng switch. Với cách này, bạn phải truy cập được giao diện dòng lệnh của switch mà máy mục tiêu cắm vào. Tất nhiên là switch này phải hỗ trợ tính năng port mirroring và có một port trống để bạn có thể cắm máy nghe vào. Khi ánh xạ cổng, bạn đã copy toàn bộ lưu lượng đi qua cổng này sang một cổng khác.