Hướng dẫn phân tích file pcap có kết nối c&c
|
Bài 1 Show
BẮT & PHÂN TÍCH GÓI TIN VỚI WIRESHARK 1.1 Chuẩn bị Tải và cài đặt Wireshark: Cách 1 : Tải file từ địa chỉ: Cách 2 : Mở trình duyệt, gõ Vào thư mục ToolWireshark tải các file: WiresharkPortable.rar, WinPcap v4.1.2.exe 2. Cài đặ t WinPcap v4.1.3.exe 3. Chạy WiresharkPortable.rar để giải nén vào thư mục C:\WiresharkPortable 4. Vào thư mục C:\WiresharkPortable , chạy file WiresharkPortable.exe • Giao diện chương trình WireShark • Chọn Card mạng Wireless để bắt gói tin. 1.2 Bắt và phân tích gói tin 1.2.1 Xem nội dung các gói tin bắt được trên cửa sổ WireShark 1.2.1.1 Tại panel thứ 1: Xem địa chỉ nguồn, đích, giao thức của từng gói tin Xem thông tin bắt được: cho biết địa chỉ nguồn, địa chỉ đích, giao thức, chiều dài, nội dung của từng gói tin … 1 0.000000 ZioncomE_7f:ce:78 Broadcast ARP 42 Who has 192.168.0.10? Tell 192.168.0.1 2 0.472307 192.168.0.7 13.107.136.9 TLSv1.2 1694 Application Data 3 0.472533 192.168.0.7 13.107.136.9 TLSv1.2 305 Application Data 4 0.494403 13.107.136.9 192.168.0.7 TCP 54 443 → 553 02 [ACK] Seq=1 Ack=1413 Win=1025 Len=0 5 0.494832 13.107.136.9 192.168.0.7 TCP 66 [TCP Dup ACK 4 1] 443 → 55302 [ACK] Seq=1 Ack=1413 Win=1025 Len=0 SLE=1641SRE=1892 6 0.494832 13.107.136.9 192.168.0.7 TCP 54 443 → 55302 [ACK] Seq=1 Ack=1892 Win=1024 Len=0 7 0.543695 13.107.136.9 192.168.0.7 TLSv1.2 1355 Application Data 8 0.549629 ZioncomE_7f:ce:78 Broadcast ARP 42 Who has 192.168.0.10? Tell 192.168.0.1 9 0.594844 192.168.0.7 13.107.136.9 TCP 54 55302 → 443 [ACK] Seq=1892 Ack=1302 Win=507 Len=0 10 1.045030 52.111.240.9 192.168.0.7 TLSv1.2 85 Encrypted Alert 11 1.045030 52.111.240.9 192.168.0.7 TCP 54 443 → 55384 [FIN, ACK] Seq=32 Ack=1 Win=63 Len=0 Công cụ 8 không thể cài trực tiếp trên 2 do 2 không hỗ trợ 4 gây khó khăn cho người dùng 💡 FACT Trên 2 ta sử dụng công cụ 6 để bắt các gói tin vào file 7 2.Bài tập 5💡 MÔ HÌNH Xây dụng mô hình máy ảo như sau : Tạo thư mục và các fileTạo các file và thư mục như hình bên dưới : Bằng cách sử dụng các lệnh sau : Thiết lập các fileSử dụng 8 để cấu hình các file lần lượt như sau: :::: tabs ::: tab lab.conf ::: ::: tab pc1.startup ::: ::: tab pc2.startup ::: ::: tab pc3.startup ::: ::: tab router1.startup ::: ::: tab router2.startup ::: :::: Khởi tạo hệ thống máy ảoSử dụng lệnh 2 sau để khởi động các máy ảo: Sau đó thực hiện lệnh 0 cho từng thiết bị để kiểm tra vạch đường đi chính xác như mô hình hay chưa Phân tích các gói tin gửi tinBật phân tích các gói tin từ các thiết bị 1, 2, 3 bằng lệnh sau : 💡 GIẢI THÍCH 4 : xác định kích thước của gói tin theo 5 6 : 1536 byte theo tuỳ chọn 4 8: xuất file ra đường dẫn ⚠️ LƯU Ý Nếu bạn muốn xuất ra file mà mà máy thật có thể truy cập được, hãy để 9 là 0 VD: 1 Từ đó, sử dụng lệnh 2 từ 3 tới 1 💡 MẸO Để tắt nóng lệnh trên 5, sử dụng tổ hợp phím 6 Truy cập file7 trên 8 Trên thư mục 9, sẽ có thư mục 0, nơi đó là thư mục chung của máy thật và mảy ảo 2 Mở file 2 bằng 9 :
💡 NHẬN XÉT
Huỷ hệ thống máy ảoSử dụng lệnh 9 để huỷ các máy ảo hiện có 3.Bài tập 6💡 MÔ HÌNH Xây dựng mô hình như sau : Tạo thư mục và các fileTạo các file và thư mục như hình bên dưới : Bằng cách sử dụng các lệnh sau : 0 Thiết lập các fileSử dụng 8 để cấu hình các file lần lượt như sau : :::: tabs ::: tab lab.conf 1 ::: ::: tab pc1.startup 2 ::: ::: tab pc2.startup 3 ::: ::: tab pc3.startup 4 ::: ::: tab router1.startup 5 ::: ::: tab router2.startup 6 ::: :::: Khởi tạo hệ thống máy ảoSử dụng lệnh sau để khởi động các máy ảo : Sau đó sử dụng lệnh 0 trên từng thiết bị để kiểm tra vạch đường đã đúng như mô hình như chưa : Phân tích các gói tin gửi điSử dụng lệnh 2 trên thiết bị 1, 3, 3 Dùng lần lượt các lệnh 6 các thiết bị 1, 2, 3 💡 GIẢI THÍCH 4 : xác định kích thước của gói tin theo 5 6 : 1536 byte theo tuỳ chọn 4 8: xuất file ra đường dẫn ⚠️ LƯU Ý Nếu bạn muốn xuất ra file mà mà máy thật có thể truy cập được, hãy để 9 là 0 VD: 07 Sau đó sử dụng lệnh 08 từ 3 tới 1 💡 MẸO Để tắt nóng lệnh trên 5, sử dụng tổ hợp phím 6 Sau đó sử dụng lệnh 2 trên các thiết bị 1, 3, 3 💡 NHẬN XÉT
Phân tích file21 bằng 8 Vào trong folder 0 sẽ thấy các file đã 6 từ thiết bị máy ảo Mở file 25 bằng 8 và chọn khung vật lý số 27 : 💡 NHẬN XÉT
Huỷ hệ thống máy ảoSử dụng lệnh sau để huỷ hệ thống máy ảo : 4.Bài tập 7💡 MÔ HÌNH Cho mô hình như sau : Tạo thư mục và các fileĐây là một hệ thống phức tạp, nên ta sẽ làm theo các bước như sau : Xác định 53 thiết bị có trong hệ thống : 54, 1, 3, 2, 3, 59 9 Thiết lập các file
Bước 2: Xác định mạng của các thiết bị 61 :::: tabs ::: tab pc1.startup 1 ::: ::: tab pc2.startup 2 ::: ::: tab pc3.startup 3 ::: :::: 💡 MẸO
:::: tabs ::: tab router1.startup 4 ::: ::: tab router2.startup 5 ::: ::: tab router3.startup 6 ::: :::: 🤔 MẸO
Cũng như tính chất đó nên mỗi 63 có 5 nhánh mạng cấu hình bằng 75 và 4 vạch đường đi qua các 63 khác |
