Computer Networking: Packet Analysis & Wireshark (Day 61) | FE Master

🎯 Mục tiêu bài học

Kỹ sư mạng không đoán mò. Họ nhìn vào từng bit.

1. Giải phẫu gói tin (Packet Anatomy) - Hex Dump

sequenceDiagram participant Client participant Server Client->>Server: SYN (Seq=0) Server->>Client: SYN, ACK (Seq=0, Ack=1) Client->>Server: ACK (Seq=1, Ack=1) Note over Client, Server: Connection Established Client->>Server: HTTP GET / (Seq=1, Ack=1) Server->>Client: HTTP 200 OK (Seq=1, Ack=100)

Hãy nhìn vào một gói tin thật sự bắt được bằng Wireshark.

0000   00 0c 29 4f 8e 35 00 50 56 c0 00 08 08 00 45 00
0010   00 3c 1c 46 40 00 40 06 b1 e6 c0 a8 01 0a 08 08
0020   08 08 ...

a. Ethernet Header (14 bytes đầu)

00 0c 29 4f 8e 35: Destination MAC (VMware).
00 50 56 c0 00 08: Source MAC.
08 00: EtherType = IPv4. (Nếu là 08 06 thì là ARP).

b. IP Header (20 bytes tiếp theo)

45: Version 4, Header Length = 5 (20 bytes).
00 3c: Total Length = 60 bytes.
40: TTL = 64 (Time To Live).
06: Protocol = TCP. (17=UDP, 1=ICMP).
c0 a8 01 0a: Source IP = 192.168.1.10.
08 08 08 08: Dest IP = 8.8.8.8.

2. ARP (Address Resolution Protocol) - "Hỏi đường"

Khi bạn Ping 192.168.1.1, máy bạn KHÔNG BIẾT gửi gói tin đi đâu. Vì switch chỉ hiểu MAC Address, không hiểu IP.

Bước 1: ARP Request (Broadcast)

"Alo cả làng ơi (MAC FF:FF:FF:FF:FF:FF), ai có IP 192.168.1.1 thì cho xin cái MAC!"

Bước 2: ARP Reply (Unicast)

"Tớ nè! MAC của tớ là AA:BB:CC..."

⚠️ ARP Spoofing (Man-In-The-Middle)

Hacker có thể trả lời ARP Reply giả mạo: "Tao là 192.168.1.1 nè (với MAC của Hacker)". -> Máy nạn nhân sẽ gửi toàn bộ dữ liệu cho Hacker thay vì Router.

3. Lab 10: Wireshark Hunting

Nhiệm vụ: Tìm mật khẩu FTP bị lộ.

Bật Wireshark, bắt gói tin trên card Wifi.
Kết nối đến một FTP Server (không dùng SFTP/FTPS).
Đăng nhập User/Pass.
Dừng Wireshark. Filter: ftp.
Chuột phải vào gói tin -> Follow TCP Stream.
Bạn sẽ thấy dòng: PASS mysecretpassword hiện nguyên hình (Clear Text).

👉 Bài học: Không bao giờ dùng giao thức không mã hóa (HTTP, FTP, Telnet) ở nơi công cộng.

🔥 Interview Q&A

Q: Tại sao Ping dùng ICMP lại không có Port?

A: Vì ICMP nằm ở lớp Network (Layer 3) chung với IP. Port là khái niệm của lớp Transport (Layer 4 - TCP/UDP). Nên không bao giờ có chuyện "Mở port cho Ping".

🎯 Mục tiêu bài học

Kỹ sư mạng không đoán mò. Họ nhìn vào từng bit.

1. Giải phẫu gói tin (Packet Anatomy) - Hex Dump

Hãy nhìn vào một gói tin thật sự bắt được bằng Wireshark.

0000   00 0c 29 4f 8e 35 00 50 56 c0 00 08 08 00 45 00
0010   00 3c 1c 46 40 00 40 06 b1 e6 c0 a8 01 0a 08 08
0020   08 08 ...

a. Ethernet Header (14 bytes đầu)

00 0c 29 4f 8e 35: Destination MAC (VMware).
00 50 56 c0 00 08: Source MAC.
08 00: EtherType = IPv4. (Nếu là 08 06 thì là ARP).

b. IP Header (20 bytes tiếp theo)

45: Version 4, Header Length = 5 (20 bytes).
00 3c: Total Length = 60 bytes.
40: TTL = 64 (Time To Live).
06: Protocol = TCP. (17=UDP, 1=ICMP).
c0 a8 01 0a: Source IP = 192.168.1.10.
08 08 08 08: Dest IP = 8.8.8.8.

2. ARP (Address Resolution Protocol) - "Hỏi đường"

Khi bạn Ping 192.168.1.1, máy bạn KHÔNG BIẾT gửi gói tin đi đâu. Vì switch chỉ hiểu MAC Address, không hiểu IP.

Bước 1: ARP Request (Broadcast)

"Alo cả làng ơi (MAC FF:FF:FF:FF:FF:FF), ai có IP 192.168.1.1 thì cho xin cái MAC!"

Bước 2: ARP Reply (Unicast)

"Tớ nè! MAC của tớ là AA:BB:CC..."

⚠️ ARP Spoofing (Man-In-The-Middle)

Hacker có thể trả lời ARP Reply giả mạo: "Tao là 192.168.1.1 nè (với MAC của Hacker)". -> Máy nạn nhân sẽ gửi toàn bộ dữ liệu cho Hacker thay vì Router.

3. Lab 10: Wireshark Hunting

Nhiệm vụ: Tìm mật khẩu FTP bị lộ.

Bật Wireshark, bắt gói tin trên card Wifi.
Kết nối đến một FTP Server (không dùng SFTP/FTPS).
Đăng nhập User/Pass.
Dừng Wireshark. Filter: ftp.
Chuột phải vào gói tin -> Follow TCP Stream.
Bạn sẽ thấy dòng: PASS mysecretpassword hiện nguyên hình (Clear Text).

👉 Bài học: Không bao giờ dùng giao thức không mã hóa (HTTP, FTP, Telnet) ở nơi công cộng.

🔥 Interview Q&A

Q: Tại sao Ping dùng ICMP lại không có Port?

A: Vì ICMP nằm ở lớp Network (Layer 3) chung với IP. Port là khái niệm của lớp Transport (Layer 4 - TCP/UDP). Nên không bao giờ có chuyện "Mở port cho Ping".

Mạng máy tính: Packet Analysis & Wireshark

lesson.content.title

🎯 Mục tiêu bài học

1. Giải phẫu gói tin (Packet Anatomy) - Hex Dump

a. Ethernet Header (14 bytes đầu)

b. IP Header (20 bytes tiếp theo)

2. ARP (Address Resolution Protocol) - "Hỏi đường"

⚠️ ARP Spoofing (Man-In-The-Middle)

3. Lab 10: Wireshark Hunting

🔥 Interview Q&A

Mạng máy tính: Packet Analysis & Wireshark

lesson.content.title

🎯 Mục tiêu bài học

1. Giải phẫu gói tin (Packet Anatomy) - Hex Dump

a. Ethernet Header (14 bytes đầu)

b. IP Header (20 bytes tiếp theo)

2. ARP (Address Resolution Protocol) - "Hỏi đường"

⚠️ ARP Spoofing (Man-In-The-Middle)

3. Lab 10: Wireshark Hunting

🔥 Interview Q&A