75
CHƯƠNG 4. KỸ THUẬT PHÂN TÍCH CƠ BẢN
4.1 Phân tích gói tin
Khái nim: Phân tích ni dung gói tin là thc hin thanh tra, phân tích
ni dung d liu bên trong mt hay nhiu gói tin. Quá trình phân tích này
thường được tiến hành để xác định các gói tin quan trng, phát trin phân
tích lung d liu và xây dng li ni dung.
Phân tích nội dung gói tin được đề cập đến ngh thut phân tích
thanh tra các giao thc trong mt tp các gói tin. Việc phân tích gói tin để xác
định các gói tin quan tâm hiểu được cu trúc mi quan h đ thu thp
chng ctạo điều kin cho việc phân tích sâu hơn. Đ xác định các gói tin
quan tâm thì cn s dng k thut lọc để cô lp các gói tin dựa trên các trường
giao thc hoc danh sách ca nó. Ngoài ra còn có th tìm kiếm cho các chui
hoc mu nội dung gói tin đ xác định mc tiêu phân tích c các giao thc
s dng vẫn chưa được biết. Vic hiu cu trúc gói tin rt quan trng
trong vic tái to thông tin liên lc, tp tin chuyn giao, hoc bt k dòng d
liu nào. Vic chia nh mt gói tin, một nhóm các gói tin thường xuyên s
giúp cho chúng ta xác định được các công c thích hợp để khai phá bng
chng và khôi phc lại thông tin đã mất.
4.1.1 Phân tích giao thc
Phân tích giao thc tiến hành kim tra mt hoc nhiều trường trong
mt giao thức, điều này rt cn thiết cho vic phân tích gói tin bi vic
76
thanh tra gói tin phải được thc hiện trên đúng cấu trúc truyền thông đ có th
hiểu được ni dung gói tin hay lung d liu.
Vic phân tích thông tin an ninh mng luôn phải được chun b để
th phân tích nm vng các giao thức chưa từng được ph biến. Hơn nữa,
tin tc thnh thong phát trin các giao thc mi, hoc phát trin, m rng các
giao thức trước đó nhằm giao tiếp và đưa thêm một s chức năng mới đ thc
hiện ý đồ ca k tin tc.
Vic phân tích giao thc bao gm mt s phần bản: xác đnh giao thc,
gii mã giao thc, xut d liu và trích rút d liu.
4.1.1.1 Xác định giao thc
Hiện nay, người ta s dng mt s phương pháp chính để xác định mt giao
thc:
- Tìm kiếm các giá tr nh phân/thp lc phân/ASCII ph biến thường
được đi kèm trong mt giao thc c th.
- Thông tin nhn dạng trong đóng gói giao thc
- S dng các cng TCP/UDP, nhiu trong s đó liên quan đến dch v
đạt chun.
- Phân tích các chức năng của địa ch nguồn, đích của máy ch.
- Kim tra smt ca giao thc nhn biết.
a) Tìm kiếm các giá tr nh phân/thp lc phân/ASCII ph biển thường đi
kèm trong mt giao thc c th.
Hu hết các giao thc cha các chuỗi bit thường xut hin trong các gói
d liệu được kết hp vi giao thc, những nơi th đoán được. Theo
IANA.21 thì các giao thức đóng gói trong gói tin IP này giao thc TCP.
Một cách đơn giản để xác định giao thc kim tra các giao thc TCP/UDP
và s cổng được s dng. Có 65.535 s cng cho mi giao thc TCP và UDP.
IANA đã công bố danh sách các cổng TCP/UDP tương ng vi các dch v
mng lớp cao hơn.
77
Trong d này chúng ta th thy chui thp lục phân “0x4500” thưng
đánh dấu cho s bắt đu ca mt gói tin IPv4.
b) Thông tin nhn dạng trong đóng gói giao thức
Hình . Chi tiết giao thc IP trong Wireshark. Gói tin IP cha thông tin v giao
thức bên trên nó (trong trường hp này là giao thc TCP, 0x06).
Giao thức thường cha thông tin ch ra kiu giao thức được đóng gói, trong
hình 4.2 chúng ta th xác định giao thc tng 3 là giao thc IPv4. Byte
th 9 ca IP Header ch ra giao thức đóng gói bên trong gói tin IP. Trong
trường hp này, giá tr byte th 9 0x06, tương ng vi giao thc TCP. Da
trên nhng thông tin này chúng ta th ch ra giao thức TCP được s dng
trong gói tin IP này.
78
c) S dng các cng TCP/UDP, nhiu trong s đó liên quan đến dch v đạt
chun.
Một cách đơn giản ph biến để xác định giao thc này là bng cách kim
tra các s cng TCP hoc UDP s dng. 65.535 s cng th cho mi
giao thc TCP UDP. IANA đã công b danh sách các cng TCP / UDP
tương ng vi các dch v mng lp cao hơn c th. Bn th xem danh
sách trên trang web ca IANA, hu hết các thông tin tương tự cũng được
lưu giữ trong thư mục / etc / dch v tp tin trên hu hết các h thng UNIX /
Linux.
79
d) Phân tích các chức năng của địa ch nguồn, đích của máy ch
Thông thường, tên máy ch và các dch v cung cp th xác định các
giao thc s dng