Cách sử dụng Wireshark: Phân tích mạng, Phong cách 2020

Hơn 20 năm trước, Gerald Combs đã công bố Ethereal 0.2.0, phiên bản công khai đầu tiên của cái mà ngày nay chúng ta gọi là Wireshark. Được phát triển cho Solaris và Linux, Wireshark là một mạng phân tích gói và mạng nguồn mở. Dự án bắt đầu cuộc sống như Ethereal vào năm 1998, nhưng tên của nó đã được đổi thành Wireshark vào năm 2006 vì các vấn đề về quyền thương hiệu.


Ngày nay, Wireshark là nhà phân tích mạng hàng đầu thế giới, với hơn 600 tác giả đóng góp, nhiều giải thưởng và hội nghị nhà phát triển riêng của mình, SharkFest.

Hướng dẫn này sẽ giúp bạn đứng dậy và chạy với Wireshark. Chúng tôi sẽ tìm hiểu những điều cơ bản, chẳng hạn như cách tải xuống và chụp, xem và lọc các gói. Wireshark có nhiều tính năng nâng cao có thể được bao phủ trong phạm vi của bài viết này, nhưng có rất nhiều hướng dẫn về chúng tại wireshark.org.

Tải xuống và thiết lập Wireshark

Wireshark có sẵn để tải xuống thông qua trang tải xuống của nó. Để có được nó cho Windows hoặc macOS, hãy nhấp vào các liên kết tương ứng của chúng trong phần Phát hành ổn định của Wap. Nếu bạn cần một nguồn cho Linux, hãy cuộn xuống cuối trang và tìm bản tải xuống cho phiên bản của bạn trong các gói của bên thứ ba.

Tải về Wireshark

Sau khi bạn tải xuống ứng dụng, bạn có thể bắt đầu quá trình thiết lập. Nếu bạn là người dùng Windows, bạn sẽ cần cài đặt thư viện WinPcap, đây là thứ cho phép bạn nắm bắt lưu lượng truy cập mạng trực tiếp. Nếu không có nó, bạn sẽ chỉ có thể xem các gói bị bắt đã được lưu. Phiên bản mới nhất của Wireshark nên cài đặt WinPcap theo mặc định.

Tương tự, hãy đảm bảo cài đặt USBPcap, cho phép Wireshark nắm bắt lưu lượng truy cập từ các thiết bị USB.

Cách chụp gói với Wireshark

Wireshark được xây dựng dựa trên khả năng bắt các gói mạng và hiển thị chúng ở định dạng có thể được giải thích bởi những người bình thường. Nếu bạn không chắc chắn các gói mạng là gì, chúng tôi sẽ xem qua chúng trong hướng dẫn IPv4 so với IPv6.

Sau khi tải xuống và cài đặt, bạn đã sẵn sàng khởi chạy Wireshark và bắt đầu chụp các gói.

Wireshark-ra mắt

Để bắt đầu quá trình chụp, bạn sẽ cần chọn giao diện mạng của mình. Khi khởi chạy ứng dụng, bạn sẽ thấy các kết nối mạng khả dụng trong màn hình khởi chạy. Bạn cũng có thể thấy các tính năng nâng cao bằng cách nhấp vào chụp, bắt, chọn các tùy chọn.

Tùy chọn chụp

Chọn một kết nối để chụp bằng cách:

  • Bấm đúp vào tên của nó.
  • Sử dụng phím tắt CTRL + E.
  • Nhấp vào vây cá mập trên thanh công cụ, nằm ở góc xa bên trái.

Sau khi hoàn tất, kết nối được ghi sẽ được tô màu xanh lam hoặc xám và Wireshark sẽ bắt đầu ghi lưu lượng truy cập mạng và chi tiết hóa nó. Để dừng quá trình ghi, nhấn nút dừng màu đỏ bên cạnh nút vây cá mập. Ngoài ra, bạn có thể sử dụng phím tắt CTRL + E.

Khi chụp bằng Wireshark, chế độ lăng nhăng được bật theo mặc định. Nó cho phép thu thập tất cả các gói trên mạng, thay vì chỉ các gói được gửi đến máy tính hoặc bộ điều hợp mạng của bạn. Điều đó nói rằng, chế độ lăng nhăng không được hỗ trợ bởi tất cả các phần cứng và giao diện mạng. Nó có thể được thay đổi bằng cách nhấp vào chỉnh sửa, sau đó là ưu tiên.

Sở thích của Wireshark

Kiểm tra Câu hỏi thường gặp của Wireshark để biết thêm chi tiết về chế độ lăng nhăng.

Xem các gói đã chụp với Wireshark

Bây giờ bạn đã ghi lại dữ liệu, đã đến lúc để xem nó. Khi xem các gói, bạn sẽ thấy thông tin trải rộng trên ba bảng: danh sách gói, chi tiết gói và byte gói. Ngăn danh sách gói là cái trên cùng và nó hiển thị thời gian, nguồn, đích, giao thức và thông tin bổ sung.  

Wireshark-pack_pane1
 

Khung chi tiết gói nằm ở giữa. Như tên cho thấy, nó hiển thị chi tiết về gói đã chọn. Nó hiển thị loại giao thức, chẳng hạn như IPv4 hoặc IPv6 và địa chỉ, chẳng hạn như IP hoặc MAC, ở định dạng danh sách có thể thu gọn.

Wireshark-gói-pane2

Khung byte gói ở phía dưới. Nó chứa dữ liệu thô từ gói và hiển thị dưới dạng thập lục phân hoặc bit.

Wireshark-gói-pane3

Lọc gói với Wireshark

Bất cứ khi nào bạn phân tích lưu lượng truy cập mạng, bạn sẽ muốn tắt các ứng dụng gửi các gói bạn không muốn xem để thu hẹp lưu lượng. Thậm chí sau đó, bạn có thể còn lại rất nhiều gói còn lại để sàng lọc. Đó là nơi mà các bộ lọc Wireshark sắp ra mắt. Nó cung cấp các bộ lọc chụp và bộ lọc hiển thị và cả hai đều ảnh hưởng đến tệp chụp khác nhau.

Bộ lọc chụp được áp dụng cho tệp chụp trước khi quá trình ghi bắt đầu, cho phép bạn quyết định gói nào Wireshark sẽ chụp. Mặt khác, các bộ lọc hiển thị được áp dụng cho một tệp chụp, cho phép bạn chỉ nhìn thấy các gói đáp ứng các tiêu chí cụ thể của bạn.

Để thêm bộ lọc chụp, bấm vào trường nhập phía trên các giao diện được hiển thị trong cửa sổ khởi chạy. Bạn có thể nhập bộ lọc vào, chẳng hạn như TDP hoặc nhấp vào biểu tượng dấu trang ở bên trái và chọn từ danh sách thả xuống. Để có thêm tùy chọn, sau khi nhấp vào biểu tượng dấu trang màu xanh lục, hãy chọn quản lý bộ lọc bắt giữ.

Wireshark-chụp-bộ lọc

Phía trên trường chụp, bạn sẽ thấy một trường nhập khác cho biết, áp dụng bộ lọc hiển thị, bộ sách, nơi bạn có thể áp dụng bộ lọc hiển thị theo cách tương tự được mô tả để áp dụng bộ lọc chụp.

Wireshark-display-filter

Mã hóa màu với Wireshark

Quy tắc màu của Wireshark, cho phép bạn phân tách và cá nhân hóa các gói dựa trên màu được tô sáng của chúng. Bằng cách đó, bạn có thể xác định một số loại lưu lượng truy cập hoặc lỗi trong nháy mắt. Thư viện màu tích hợp của Wireshark, cung cấp khoảng 20 sắc thái, tất cả đều có thể được chỉnh sửa, vô hiệu hóa hoặc xóa.

Bạn có thể truy cập các tùy chọn tô màu bằng cách nhấp vào xem view xem trên thanh công cụ, thay vì chọn quy tắc tô màu.

Wireshark-màu sắc

Có thể vô hiệu hóa màu của gói bằng cách nhấp vào chế độ xem của Chế độ xem và bật / tắt danh sách gói màu của danh sách tùy chọn trong menu thả xuống.

Wireshark-colors2

Xem thống kê mạng trong Wireshark

Wireshark cung cấp nhiều loại dữ liệu và số liệu về mạng của bạn, có thể truy cập được thông qua menu thả xuống thống kê của các ứng dụng trên thanh công cụ. Các số liệu bao gồm địa chỉ được giải quyết, thống kê IPv4, thống kê IPv6 và các biểu đồ và đồ thị khác. Bạn cũng có thể sử dụng các bộ lọc hiển thị ở đó. Thống kê có thể được xuất ở các định dạng tệp khác nhau, chẳng hạn như .txt, .csv và .xml,.

Thống kê của Wireshark

Suy nghĩ cuối cùng

Wireshark là một công cụ phân tích mạng đơn giản nhưng linh hoạt và tốt nhất là nó miễn phí. Mặc dù hướng dẫn này nhằm chỉ cho bạn những điều cơ bản, nhưng chúng tôi chỉ bắt đầu vạch ra bề mặt của những gì Wireshark có thể làm. Nếu bạn đang tìm cách làm chủ Wireshark và viết mã trình phân tích giao thức của riêng bạn, hướng dẫn sử dụng chính thức của Wireshark là tài liệu tham khảo chính thức.

Wiki Wireshark là một tài nguyên tuyệt vời khác để sử dụng cùng với chương trình vì nó có hướng dẫn, chụp mẫu và các công cụ và plugin.

Để biết thêm phần mềm, hãy xem phần mềm chống vi-rút tốt nhất của chúng tôi, trình quản lý mật khẩu tốt nhất và phần mềm kế toán tốt nhất. Mặt khác, cảm ơn bạn đã đọc và cho chúng tôi biết trong một bình luận hoặc tweet nếu bạn có mẹo hoặc thủ thuật của Wireshark.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map