Xử Lý Sự Cố AT3 Thật Tế Với Wireshark (Practical Wireshark in Real)

Hướng Dẫn Xử Lý Sự Cố AT3 Thực Tế Với Wireshark

Wireshark là một công cụ mạnh mẽ dùng để phân tích lưu lượng mạng, hỗ trợ xác định và xử lý các sự cố mạng, bao gồm các vấn đề liên quan đến AT3 (Anomalies, Threats, Troubleshooting). Trong bài này, bạn sẽ học cách sử dụng Wireshark để xử lý sự cố thực tế, từ nhận diện vấn đề đến phân tích và khắc phục.

1. Tổng Quan về AT3

1. Anomalies (Bất thường):
   • Lưu lượng mạng không bình thường, ví dụ: tăng đột biến hoặc gói tin lạ.
2. Threats (Mối đe dọa):
   • Tấn công mạng như DDoS, phishing, hoặc malware.
3. Troubleshooting (Khắc phục sự cố):
   • Các vấn đề về kết nối, hiệu suất hoặc cấu hình sai.

Wireshark hỗ trợ giám sát và phân tích các loại sự cố này thông qua việc phân tích gói tin chi tiết.

2. Các Bước Sử Dụng Wireshark để Xử Lý Sự Cố AT3

Bước 1: Cài Đặt Wireshark

1. Tải Wireshark từ trang chính thức: https://www.wireshark.org/.
2. Cài đặt trên hệ điều hành của bạn (Windows, macOS, hoặc Linux).
3. Chạy Wireshark với quyền admin để có thể bắt gói trên tất cả giao diện mạng.

Bước 2: Bắt Lưu Lượng Mạng

1. Chọn giao diện mạng:
   • Từ giao diện Wireshark, chọn giao diện mà bạn muốn giám sát (Ethernet, Wi-Fi...).
2. Bắt đầu bắt gói (Capture):
   • Nhấn nút Start Capturing Packets (hình tam giác xanh) để bắt đầu.
3. Lọc lưu lượng (Filters):
   • Dùng bộ lọc để chỉ bắt các gói liên quan đến sự cố.
     • Ví dụ:
       • http: Chỉ bắt gói HTTP.
       • ip.addr == 192.168.1.10: Chỉ bắt lưu lượng từ/đến địa chỉ IP này.

Bước 3: Phân Tích Lưu Lượng Mạng

1. Xác định lưu lượng bất thường (Anomalies):

   • Statistics > I/O Graph: Hiển thị lưu lượng mạng qua thời gian, giúp bạn nhận ra các đợt tăng đột biến.
   • Protocol Hierarchy: Xem các giao thức được sử dụng và nhận diện lưu lượng bất thường.

2. Nhận diện mối đe dọa (Threats):

   • Tìm kiếm các gói có hành vi đáng ngờ:
     • TCP SYN Flood: Lưu lượng nhiều gói SYN nhưng không có ACK.
     • DNS Amplification: Trả lời DNS có kích thước lớn bất thường.
   • Bộ lọc:

     tcp.flags.syn == 1 && tcp.flags.ack == 0
     

     • Phát hiện tấn công SYN Flood.
   • Kiểm tra các domain hoặc địa chỉ IP đáng ngờ với VirusTotal.

3. Khắc phục sự cố (Troubleshooting):

   • Kiểm tra gói tin bị mất hoặc trễ:

     tcp.analysis.retransmission
     

     • Hiển thị các gói được truyền lại.
   • Phân tích hiệu suất:
     • Kiểm tra RTT (Round Trip Time) trong các gói TCP.

Bước 4: Lưu và Xuất File PCAP

1. Lưu file PCAP:
   • Sau khi bắt đủ gói tin, lưu lại bằng cách vào File > Save As.
2. Chia sẻ hoặc phân tích thêm:
   • File PCAP có thể được phân tích thêm bằng các công cụ khác như tcpdump, Tshark, hoặc CloudShark.

3. Các Tình Huống Xử Lý Sự Cố Thực Tế

Tình Huống 1: Phát Hiện Tấn Công DDoS

1. Mô tả:
   • Mạng bị chậm, máy chủ bị quá tải.
2. Giải pháp với Wireshark:
   • Bộ lọc:

     ip.addr == 
     

   • Kiểm tra lưu lượng từ các địa chỉ IP lạ gửi đến server với tần suất cao.
   • Chặn địa chỉ IP qua tường lửa hoặc cấu hình IDS/IPS.

Tình Huống 2: Sự Cố DNS

1. Mô tả:
   • Người dùng không thể truy cập Internet, DNS không hoạt động.
2. Giải pháp với Wireshark:
   • Bộ lọc:

     dns
     

   • Kiểm tra các gói DNS Request và Response.
   • Xác minh máy chủ DNS có trả lời đúng hay không.

Tình Huống 3: Mất Gói TCP

1. Mô tả:
   • Kết nối ứng dụng thường xuyên bị ngắt.
2. Giải pháp với Wireshark:
   • Bộ lọc:

     tcp.analysis.retransmission
     

   • Kiểm tra các gói bị mất và xác định nguyên nhân (băng thông, lỗi mạng...).

4. Công Cụ Hỗ Trợ Kết Hợp

1. tcpdump:
   • Dùng để bắt gói tin từ CLI và nhập vào Wireshark.

     tcpdump -i eth0 -w capture.pcap
     

2. Nmap:
   • Quét mạng để tìm các mối đe dọa.
3. VirusTotal:
   • Phân tích các IP hoặc URL đáng ngờ.

5. Kết Luận

Wireshark là công cụ phân tích mạng mạnh mẽ giúp xử lý các sự cố AT3 từ cơ bản đến phức tạp. Việc thực hành thường xuyên và sử dụng các bộ lọc phù hợp sẽ giúp bạn nhanh chóng phát hiện và khắc phục sự cố mạng trong thực tế.