Nếu bạn là một người am hiểu về công nghệ thông tin, chắc chắn sẽ từng nghe qua về WireShark. Vậy bạn có biết WireShark là gì không?
Đây là ứng dụng bắt gói tin số 1 được sử dụng trong việc theo dõi, giám sát và nghiên cứu và phân tích traffic Network. Bài viết này Vietnix sẽ hướng dẫn sử dụng toàn tập từ cơ bản đến nâng cao : setup, cách bắt gói tin, cách đọc gói tin, cách nghiên cứu và phân tích gói tin, cách viết Wireshark Expression để filter traffic khi capture hoặc khi nghiên cứu và phân tích .
Nội dung bài viết
Wireshark là gì?
Wireshark là một ứng dụng dùng để bắt (capture), phân tích và xác định các vấn đề liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy cập bất thường. Phần mềm này cho phép quản trị viên hiểu sâu hơn các Network Packets đang chạy trên hệ thống, qua đó dễ dàng xác định các nguyên nhân chính xác gây ra lỗi.
Website chính thức: https://www.wireshark.org/
WireShark là gì?
Sử dụng WireShark có thể capture các packet trong thời gian thực (realtime), lưu trữ chúng lại và phân tích chúng offline. Ngoài ra, nó cũng bao gồm các filter, color coding và nhiều tính năng khác, cho phép người dùng tìm hiểu sâu hơn về lưu lượng mạng cũng như inspect (kiểm tra) các packets.
Ứng dụng được viết bằng ngôn từ C và hệ điều hành quản lý Cross-platform, ngoài những hiện này gồm có những bản phân phối Linux, Windows, OS X, FreeBSD, NetBSD và OpenBSD. Đây là một ứng dụng mã nguồn mở, được cấp phép GPL, và do đó không lấy phí sử dụng, tự do san sẻ và sửa đổi .
Từng được biết đến với cái tên Ethereal, phần mềm được xây dựng bởi Gerald Combs vào năm 1998. Hiện nay, có một tổ chức toàn cầu gồm nhiều chuyên gia mạng, cũng như các Developer phần mềm hàng đầu tham gia cùng The WireShark Team phát triển phần mềm này. Đội ngũ chuyên gia này không ngừng cập nhật các công nghệ và giao thức mới.
Đây là phần mềm hoàn toàn an toàn để sử dụng. Nhiều cơ quan chính phủ, tập đoàn, tổ chức phi lợi nhuận và tổ chức giáo dục đều sử dụng Wireshark để khắc phục các sự cố, cũng như ứng dụng vào việc giảng dạy. Có thể nói, cách tốt nhất để tìm hiểu về mạng chính là sử dụng để theo dõi các lưu lượng truy cập.
Được dùng nhiều ở các cơ quan chính phủ, tập đoàn, tổ chức phi lợi nhuận và tổ chức giáo dục
Dĩ nhiên, đây là một công cụ có năng lực dò tìm tài liệu trong những packet rất can đảm và mạnh mẽ. Do đó cũng có nhiều câu hỏi được đặt ra xoay quanh tính hợp pháp của nó. Nhiều người dùng cũng như chuyên viên đã nhấn mạnh vấn đề rằng, chỉ nên sử dụng trên những mạng mà mình có thẩm quyền. Việc dùng Wireshark để xem những packet không được được cho phép trọn vẹn không được khuyến khích .
Phiên bản không thay đổi nhất lúc bấy giờ là 2.2.6 ra đời ngày 12 tháng 4 năm 2017 ; 4 năm trước .
Wireshark hoạt động như thế nào?
Để rõ hơn Wireshark là gì ? Tìm hiểu ngay cách hoạt động giải trí Wireshark ngay tại đây .
Như đã đề cập ở trên, đây là một công cụ dùng để capture và phân tích các packet. Nó capture các lưu lượng mạng trên mạng cục bộ, sau đó sẽ lưu trữ nó để phân tích offline. Có thể capture các lưu lượng mạng từ các kết nối Ethernet, Bluetooth, Wireless (IEEE.802.11), Token Ring, Frame Relay…
Bắt các lưu lượng mạng kết nối Ethernet, Wireless, Bluetooth,..
Wireshark được cho phép thiết lập filter ( bộ lọc ) trước khi khởi đầu capture hoặc thậm chí còn là trong quy trình nghiên cứu và phân tích. Do đó, ta hoàn toàn có thể thu hẹp khoanh vùng phạm vi tìm kiếm trong quy trình theo dõi mạng .
Lấy ví dụ, ta hoàn toàn có thể đặt một filter để xem lưu lượng TCP giữa hai địa chỉ IP, hoặc đặt filter chỉ hiển thị những packet được gửi từ một máy tính. Tiện ích filter cũng chính là một trong những nguyên do khiến nó trở thành công cụ tiêu chuẩn để nghiên cứu và phân tích những packet .
Chức năng của Wireshark là gì?
Các tài liệu capture ở dạng binary được chuyển thành định dạng giúp bạn thuận tiện đọc được. Với hơn 2000 giao thức mạng được tương hỗ, điều này giúp xác lập lưu lượng truy vấn đang đi qua mạng lưới hệ thống mạng của bạn .
Chức năng và các tính năng nổi bật
Với khối lượng lưu lượng khổng lồ truyền mạng lưới hệ thống mạng, những công cụ của Wireshark sẽ giúp lọc những lưu lượng đó ra để nghiên cứu và phân tích chúng. Bộ capture filter sẽ chỉ tích lũy những loại lưu lượng truy vấn mà bạn chăm sóc. Sau đó, hiển thị chi tiết cụ thể lưu lượng mà bạn muốn kiểm tra. Module nghiên cứu và phân tích giao thức mạng cũng cung ứng những công cụ tìm kiếm, những biểu thức và tô màu, giúp dễ nghiên cứu và phân tích hơn .
Các tính năng nổi bật của phần mềm bắt gói tin Wireshark:
- Hỗ trợ phân tích sâu hàng trăm giao thức và liên tục được cập nhật.
- Live capture và phân tích offline.
- Hoạt động đa nền tảng: Windows, Linux, MacOS, Solaris, FreeBSD, OpenBSD…
- Các gói tin đã capture có thể xem bằng giao diện hoặc sử dụng command line (tshark).
- Display filter mạnh mẽ.
- Hỗ trợ phân tích VoIP chuyên sâu.
- Hỗ trợ read/write nhiều định dạng: tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (compressed and uncompressed), Sniffer® Pro, and NetXray®, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek …
- File capture được nén bằng gzip có thể được giải nén “on the fly”.
- Capture dữ liệu từ Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI …
- Hỗ trợ decryption của nhiều giao thức như: IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and WPA/WPA2.
- Coloring rules cho phép thiết lập màu sắc cho các packet giúp phân tích nhanh và hiệu quả hơn.
- Output có thể export sang XML, PostScript®, CSV, hoặc plain text.
Hướng dẫn tải và cài đặt Wireshark
Tải và setup Wireshark tương đối thuận tiện. Phiên bản cơ bản hiện đang trọn vẹn không tính tiền .
Đối với Windows
Phần mềm này có tương hỗ Windows phiên bản 32 bit và 64 bit. Hãy chọn phiên bản đúng mực cho hệ quản lý đang sử dụng. Tính đến thời gian viết thì Wireshark 3.4.5 là phiên bản mới nhất .
Dành cho Windows phiên bản mới nhất
Đối với macOS
Bản setup chính thức cho macOS đã được tương hỗ trên trang chủ, bạn chỉ việc tải về và mở file. dmg để mở màn setup, kéo thả hình tượng của Wireshark vào thư mục / Applications để hoàn tất .
Đối với Ubuntu
Từ terminal prompt, chạy lệnh sau :
sudo apt-get install wireshark
sudo dpkg-reconfigure Wireshark-common
sudo adduser $USER wiresharkCác lệnh giúp tải package xuống, update package và thêm những độc quyền cho người dùng để khởi chạy .
Đối với RedHat Fedora
Từ Terminal Prompt, chạy lệnh sau :
sudo dnf install Wireshark-qt
sudo usermod -a -G Wireshark usernameTrong đó, dòng lệnh tiên phong sẽ setup GUI và phiên bản CLI của WireShark. Dòng lệnh thứ hai sẽ thêm quyền sử dụng cho nó, thay username thành user hiện tại bạn đang sử dụng .
Đối với Kali Linux
Hiện tại, Wireshark đã được thiết lập sẵn trong những bản phân phối Kali Linux. Hãy kiểm tra menu ở option “ Sniffing và Spoofing ” để sử dụng .
Hướng dẫn sử dụng Wireshark
Sử dụng Wireshark để bắt gói tin
Sau khi download và cài đặt, ta có thể khởi động nó bằng cách double-click vào tên của Network interface trong danh sách phía dưới “Capture” để bắt đầu bắt gói tin trên card mạng đó. Đường biểu diễn phía sau tên Interface thể hiện lưu lượng mạng đang sử dụng.
Ví dụ: Nếu muốn bắt gói tin trong mạng wifi, hãy double click vào “Wi-Fi” (hoặc “Wireless Interface”). Ngoài ra, chúng ta cũng có thể thiết lập các biểu thứ ở phần “…using this filter” để lọc và capture những packet chỉ định khi thỏa mãn yêu cầu.
Bắt gói tin mạng wifi
Sau đó, những packet sẽ khởi đầu hiển thị theo thời hạn thực. Wireshark sẽ capture từng packet được gửi đến hoặc đi từ mạng lưới hệ thống của ta .
Nếu chính sách Promiscuous được enable ( theo mặc định ), ta cũng hoàn toàn có thể xem toàn bộ những packet khác trên mạng thay vì chỉ những packet được gửi đến network adapter của mình .
Để kiểm tra chế độ Promiscuous, click vào Capture > Options và kiểm tra xem hộp “Enable promiscuous mode on all interfaces” có được kích hoạt chưa (nằm ở dưới cùng của cửa sổ).
Click vào nút “Stop” màu đỏ (ở góc trên bên trái của cửa sổ – hoặc chọn “Capture > Stop”) nếu muốn dừng việc capture lại.
Dừng bắt gói tin
Ngoài cách bắt gói tin và sử dụng giao diện như trên, bạn cũng hoàn toàn có thể dùng cách bắt gói tin bằng cách sử dụng command line được đề cập ở phần nâng cao phía dưới bài viết .
Giao diện WireShark
Bạn sẽ dành rất nhiều thời hạn để thao tác trên giao diện chính của ứng dụng này. Đây là nơi liệt kê list những packet đã được capture, parse và biểu lộ dưới định dạng mà tất cả chúng ta hoàn toàn có thể thuận tiện đọc thông tin và nghiên cứu và phân tích chúng .
Giao diện gồm: Packet List, Packet Detail, Packet Byte
Giao diện chính của Wireshark được chia thành 3 phần:
- Packet List: Chứa danh sách toàn bộ packet của file capture hiện tại. Nó thể hiện số thứ tự của gói tin, thời gian mà mà gói tin được bắt, source và destination IP, protocol của packet, chiều dài gói tin và các thông tin tổng quan khác.
- Packet Details: Khi bạn chọn một gói tin ở phần Packet List, thông tin chi tiết của gói tin sẽ được thể hiện ở phần Packet Detail. Các thông tin chi tiết có thể được collapsed hoặc expanded bằng cách click vào mũi tên hình tam giác ở đầu dòng.
- Packet Bytes: Thể hiện packet ở định dạng raw dưới dạng hex hoặc binary. Thể hiện cách mà packet được truyền trên đường truyền.
Mở gói tin và lưu gói tin
Để mở gói tin bằng Wireshark, chọn “File > Open” và tìm đến đường dẫn của file cần mở.
Mở gói tin
Để lưu gói tin đã capture, click vào “File > Save”, sau đó chọn dường dẫn để lưu trữ, đặt tên cho file capture và định dạng sẽ lưu.
Phân tích gói tin với Wireshark
Tìm kiếm gói tin (Find Packet)
Để tìm kiếm gói tin, chúng ta có thể sử dụng thanh công cụ “Find Packet” bằng cách bấm phím Ctrl + F, một hộp thoại mới sẽ xuất hiện nằm giữa thanh Filter và Packet List:
Tìm kiếm gói tin
Chúng ta có thể tìm kiếm packet dựa vào:
- Display Filter: nhập vào một biểu thức filter (expression-based filter), Wireshark sẽ tìm kiếm các gói tin khớp với biểu thức này.
- Hex value: Tìm kiếm dựa trên giá trị Hex.
- String: tìm kiếm dựa trên chuỗi dữ liệu.
- Regular Expression: Tìm kiếm dựa trên biểu thức Regex.
| Options | Ví dụ |
|---|---|
| Display filter | tcp.src port==80 hoặc ip.src==192.168.1.1 |
| Hex | 010108ffff |
| String | Quantrilinux.vn hoặc GET / |
| Regular Expression | GET .* HTTP |
Tip: Sử dụng Ctrl + N để đi đến kết quả tiếp theo, Ctrl + B để lùi lại kết quả trước đó.
Wireshark Filter
Filter cho phép bạn lọc ra những packet nào sẽ dùng để phân tích. Sử dụng Wireshark filter bằng cách khai báo một biểu thức để quy định việc thêm vào (inclusion) hoặc loại bỏ (exclusion) các gói tin. Nếu có những gói tin bạn không cần phân tích, có thể viết filter để loại bỏ chúng. Ngược lại, có những gói tin quan trọng bạn muốn phân tích kỹ, có thể viết filter để lọc riêng chúng ra. Có hai loại filter chính:
- Capture Filters: Chỉ định các packet sẽ được capture và quá trình bắt gói tin chỉ capture những packet thỏa điều kiện này.
- Display filters: Áp dụng filter lên các gói tin đã được capture, mục tiêu là để ẩn đi những packet không cần thiết và chỉ thể hiện những packet thỏa điều kiện chỉ định.
Capture Filter và Display Filter sử dụng cấu trúc ngữ pháp khác nhau nên chúng ta sẽ xem xét chi tiết từng loại.
Capture Filter
Được vận dụng trong quy trình bắt gói tin để số lượng giới hạn số lượng gói tin sẽ được bắt. Lý do chính để sử dụng filter này nhằm mục đích cải tổ performance và số lượng giới hạn số lượng tài liệu capture được chỉ chứa những thông tin tất cả chúng ta chăm sóc, giúp việc nghiên cứu và phân tích trở nên hiệu suất cao hơn. Điều này cực kỳ có ích khi vận dụng bắt gói tin bằng Wireshark trên những mạng lưới hệ thống có lưu lượng mạng cao, tài liệu trao đổi lớn .
Chúng ta có thể khai báo biểu thức cho Capture Filter ở “Capture > Capture Filters” hoặc khai báo ở phần “…using this filter” khi lựa chọn card mạng:
Khai báo Capture Filter
Wireshark Capture Filter sử dụng cú pháp của Berkeley Packet Filter (BPF):
- Mỗi filter gọi là một expression.
- Mỗi expression chứa một hoặc nhiều primitives. Các primitives được kết hợp với nhau bằng các “Logical Operator” như AND (&&), OR (||) và NOT (!) .
- Mỗi primitives chứa một hoặc nhiều qualifiers, theo sau là một ID name hoặc number. Các BPF Qualifiers bao gồm:
| Qualifiers | Mô tả | Ví dụ |
|---|---|---|
| Type | Chỉ định ID name hoặc number ta sẽ tham chiếu | host, net, port |
| Dir | Chỉ định hướng của dữ liệu (transfer direction) | src, dst |
| Proto | Protocol | ether, ip, tcp, udp, http, ftp |
- Cú pháp tổng quan: Bắt các gói tin gửi đến host 192.168.0.10 và sử dụng giao thức TCP, port 80:
Cú pháp tổng quan để bắt gói tin
Một vài Wireshark Expression tham khảo cho phần Capture Filter:
| Expression | Ý nghĩa |
|---|---|
| host 172.18.5.4 | Wireshark filter by IP: Bắt gói tin liên quan đến IP 172.18.5.4 |
| src 192.168.0.10 | Wireshark filter source IP: Bắt các gói tin có source IP là 192.168.0.10 |
| dst 192.168.0.1 | Wireshark filter destination IP: Bắt các gói tin có destination IP là 192.168.0.1 |
| net 192.168.0.0/24 hoặc: net 192.168.0.0 mask 255.255.255.0 |
Bắt gói tin liên quan đến subnet 192.168.0.0/24 |
| src net 192.168.0.0/24 hoặc: src net 192.168.0.0 mask 255.255.255.0 |
Bắt các gói tin có source IP thuộc subnet 192.168.0.0/24 |
| dst net 192.168.0.0/24 hoặc: dst net 192.168.0.0 mask 255.255.255.0 |
Bắt các gói tin có destination IP thuộc subnet 192.168.0.0/24 |
| port 53 | Wireshark port filter: Bắt gói tin DNS |
| port 67 or port 68 | Bắt gói tin DHCP |
| host 192.168.1.1 and not (port 80 or 443) hoặc: host 192.168.1.1 and not port 80 and not port 443 |
Capture tất cả traffic liên quan đến IP 192.168.1.1 nhưng không phải traffic HTTP/HTTPS |
| (tcp[0:2] > 1500 and tcp[0:2] < 1550) or (tcp[2:2] > 1500 and tcp[2:2] < 1550) hoặc: tcp portrange 1501-1549 |
Capture các packet nằm trong range port từ 1501-1549 |
| ip | Wireshark IPv4 filter |
| ip6 | Wireshark IPv6 filter |
| tcp | Bắt gói tin TCP |
| udp | Bắt gói tin UDP |
| icmp | Bắt gói tin ICMP |
| http | Wireshark HTTP filter |
| https | Wireshark HTTPS filter |
| tcp[13] & 32 == 32 | TCP packets với cờ URG được bật |
| tcp[13] & 16 == 16 | TCP packets với cờ ACK được bật |
| tcp[13] & 8 == 8 | TCP packets với cờ PSH được bật |
| tcp[13] & 4 == 4 | TCP packets với cờ RST được bật |
| tcp[13] & 2 == 2 | TCP packets với cờ SYN được bật |
| tcp[13] & 1 == 1 | TCP packets với cờ FIN được bật |
| icmp[0:2] == 0x0301 | ICMP destination unreachable, host unreachable |
>> Xem thêm: Destination host unreachable là gì
Display Filter
Display Filter giúp lọc ra những packet thỏa điều kiện kèm theo trong file capture để biểu lộ lên cho người dùng. Display filter chỉ lọc và bộc lộ packet thỏa điều kiện kèm theo chứ không xóa bỏ những packet không thỏa điều kiện kèm theo, tài liệu trong file capture trọn vẹn không bị tác động ảnh hưởng .
Sử dụng Display Filter bằng cách nhập biểu thức ( expression ) vào Filter textbox phía trên phần Packet List. Bạn cũng hoàn toàn có thể nhấp vào phần “ Expression ” để lựa chọn những pre-defined filters có sẵn ứng với từng giao thức .
Nhập expression vào Filter textbox
Cú pháp của Wireshark Display Filter phần lớn tuân theo cú pháp:
protocol.feature.subfeature COMPARISION_OPERATOR value LOGICAL_OPERATOR protocol.feature.subfeature COMPARISION_OPERATOR valueVí dụ: ip.addr==192.168.0.1 and tcp.flags.syn==1
Trong đó, Comparison Operators bao gồm:
| Operator | Ý nghĩa |
|---|---|
| == | Bằng (equal to) |
| != | Không bằng (not equal to) |
| > | Lớn hơn (greater than) |
| < | Nhỏ hơn |
| >= | Lớn hơn hoặc bằng (greater than or equal) |
| <= | Nhỏ hơn hoặc bằng (less than or equal) |
Logical Operators bao gồm:
| Operator | Ý nghĩa |
|---|---|
| and | tất cả các điều kiện phải được thỏa mãn |
| or | một trong các điều kiện được thoả mãn |
| xor | một và chỉ một điều kiện được thỏa mãn |
| not | không điều kiện nào được phép thảo mãn |
Một vài Wireshark Expression tham khảo cho phần Display Filter:
| Expression | Ý nghĩa |
|---|---|
| tcp.port eq 25 or icmp | Lọc gói tin TCP liên quan port 25 hoặc sử dụng giao thức ICMP |
| ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16 | Lọc traffic trao đổi trong mạng LAN của subnet 192.168.0.0/16 |
| tcp.window_size == 0 && tcp.flags.reset != 1 | TCP buffer full và source kết nối báo hiệu cho Destination ngừng gửi dữ liệu |
| udp contains 81:60:03 | UDP packet chứa 3 bytes 81:60:03 ở vị trí bất kỳ trong header hoặc payload |
| http.request.uri matches “gl=se$” | HTTP request có URL tận cùng bằng chuỗi “gl=se” |
| ip.addr == 192.168.0.1 hoặc: ip.src == 192.168.0.1 or ip.dst == 192.168.0.1 |
Wireshark filter by ip: Lọc tất cả traffic liên quan đến IP 192.168.0.1 |
| ! ( ip.addr == 192.168.0.1 ) hoặc: ! (ip.src == 192.168.0.1 or ip.dst == 192.168.0.1) |
Lọc tất cả traffic KHÔNG liên quan đến IP 192.168.0.1 |
| tcp.flags.syn == 1 | Các gói tin TCP có cờ SYN được bật |
| tcp.flags.syn == 1 && tcp.flags.ack == 1 | Các gói tin TCP có cờ SYN/ACK được bật |
| http.host == “quantrilinux.vn” | HTTP request có Host header là “quantrilinux.vn” |
| http.response.code == 404 | Các HTTP request có response status code là 404 |
| smtp || imap || pop | Traffic liên quan đến email (SMTP, IMAP, POP) |
| ! tcp.port == 22 | Loại bỏ traffic SSH |
| ! arp | Loại bỏ traffic ARP |
| ip.version == 4 | Wireshark IPv4 filter: Lọc tất cả các gói tin IP version 4 |
| tcp.srcport == 80 | Wireshark port filter: Lọc tất cả gói tin TCP có source port là 80 |
| tcp.port == 80 | Lọc tất cả các gói tin có liên quan đến port 80 |
| udp.port == 67 or udp.port == 68 | Traffic DHCP |
| dns | Filter traffic liên quan DNS |
| http | Wireshark http filter |
| https | Wireshark https filter |
| ip.src == 192.168.0.1 | Wireshark filter source ip |
| ip.dst == 192.168.0.1 | Wireshark filter destination ip |
Ví dụ Display Filter
Ngoài ra, người dùng có thể Click vào Analyze > Display Filters để chọn một filter trong các filter mặc định. Từ đây, ta có thể thêm hoặc custom các filter và lưu chúng để có thể dễ dàng truy cập sau này.
Chọn Filter mặc định trong WireShark
Một tính năng hữu ích khác là “Follow TCP stream”, chọn một packet rồi click chuột phải vào packet chọn “Follow > TCP Stream”. Sau đó, một hộp thoại sẽ hiện ra cho thấy dữ liệu trao đổi giữa Client và Server trong luồng tương ứng và các packet liên quan. Ta có thể click vào các giao thức khác trong menu Follow để xem đầy đủ các đoạn hội thoại, nếu có thể.
Xem đầy đủ đoạn hội thoại trong Display Filter
Cuối cùng, đóng cửa sổ lại và một filter sẽ được áp dụng tự động. Bây giờ, Wireshark đang hiển thị các packet tạo nên đoạn hội thoại đó.
Hiển thị các packet trong đoạn hội thoại
Cách đọc gói tin trong Wireshark
Click vào một packet để chọn nó, sau đó xem thêm cụ thể về nó .
Phân tích chi tiết gói tin
Ở khung cửa sổ Paket List sẽ cung ứng cho tất cả chúng ta những thông tin như :
- No: Số thứ tự của gói tin trong file capture hiện tại.
- Time: Thời gian tương đối mà gói tin này được bắt, tính từ lúc bắt đầu quá trình bắt gói tin.
- Source: địa chỉ source IP của kết nối.
- Destination: địa chỉ destination IP của kết nối.
- Length: chiều dài của gói tin.
- Protocol: giao thức của gói tin
- Info: các thông tin tổng quan liên quan đến gói tin.
Ở khung hành lang cửa số của Packet Details sẽ cho ta thông tin cụ thể từng Layer của packet như :
- Frame: Interface
- Ethernet: Destination, Source, Mac Address
- Internet: Source IP, Destination IP, TTL, Protocol, Flags, Checksum, Identification, Total Length…
- TCP/UDP/ICMP: Source Port, Destination Port, Sequence Number, ACK Number, Flags, TCP Options …
- Application Layer: HTTP, DNS, SMTP…
Chúng ta hoàn toàn có thể click vào hình mũi tên ở đầu mỗi dòng để bộc lộ thêm thông tin chi tiết cụ thể .
Ở khung hành lang cửa số của Packet Bytes biểu lộ gói tin ở dạng Hex. Khi tất cả chúng ta click chọn 1 trường nào đó ở phần Packet Details, những bytes tương quan đến phần đó sẽ được tô đậm ở phần Packet Bytes tương ứng .
Phân tích gói tin bằng Wireshark
Ta cũng có thể tạo thêm các filter ở đây. Chỉ cần click chuột phải vào một trong số các chi tiết, rồi chọn Apply as Filter để tạo một filter dựa theo đó.
Tạo filter
WireShark nâng cao
Bên cạnh năng lực capture và filter nổi tiếng, còn có 1 số ít tính năng Wireshark nâng cao khác biến đây trở thành công cụ lợi hại cho những nhà quản trị mạng và nghiên cứu và phân tích bảo mật thông tin .
Tùy chọn chỉnh màu trong WireShark
Người dùng có thể tô màu cho các packet ở trong Packet List theo Display Filter, nhằm nhấn mạnh các packet cần đánh dấu. Ta cũng có thể thêm vào các quy tắc ở đây để tô màu cho các packet theo chỉ định.
Tùy chỉnh màu trong Packet List
Chế độ Promiscuous trong WireShark
Theo mặc định, Wireshark chỉ capture các packet đến và đi từ máy tính mà nó chạy. Tuy nhiên, ta có thể chỉnh chạy ở Promiscuous Mode trong Capture Settings. Khi đó, ngoài việc capture các packet được chỉ định cho nó, máy chạy Wireshark cũng có thể capture được các packet khác không dành cho nó, thay vì loại bỏ chúng.
Wireshark Statistics
Phần menu Statistic phân phối những thông tin thống kê có giá trị tương quan đến file capture hiện tại như :
- Capture File Properties: Các thông số tổng quan của file capture
- Protocol Hierarchy: Tổng quan về protocol
- Conversation: thông tin về các luồng trao đổi giữa client và server
- Endpoints: Danh sách những IP tham gia kết nối, số lượng packets và bytes tương ứng.
- Packet Lengths: Thống kê về chiều dài của các gói tin tham gia kết nối.
- I/0 Graph: biểu đồ kết nối.
- Thống kê liên quan đến các giao thức như: HTTP, HTTP2, DNS, DHCP…
- IPv4/IPv6 Statistics: thống kê về danh sách IP, số lượng packet, tần số kết nối.
Thống kê kết nối IPv4
Wireshark Command Line
Ứng dụng cũng tương hỗ một Command Line Interface ( CLI ) nếu hệ quản lý và điều hành đang sử dụng không có một GUI. Cách phối hợp hiệu suất cao nhất là dùng CLI để capture, rồi lưu lại bản log để hoàn toàn có thể reivew bằng GUI .
Các lệnh trong Wireshark
- wireshark: chạy trong chế độ GUI
- wireshark -h: hiển thị tham số command line khả dụng
- wireshark -a duration:300 -i eth1 -w Wireshark: capture các lưu lượng trên Ethernet interface 1 trong 5 phút (300 giây). -a là tự động (auto) dừng việc capture. -i chỉ định interface sẽ capture
Mục đích sử dụng Wireshark là gì?
“ Ta cần phải hiểu những điều thông thường thì mới hoàn toàn có thể tìm ra những thứ không bình thường ”. Có những công cụ để tạo những thống kê cơ bản. Mặc dù đây là một công cụ nghiên cứu và phân tích giao thức mạng, không phải mạng lưới hệ thống phát hiện xâm nhập ( IDS ). Nó hoàn toàn có thể cực kỳ hữu dụng trong việc giảm những lưu lượng ô nhiễm .
Wireshark cũng hoàn toàn có thể được sử dụng để chặn và nghiên cứu và phân tích lưu lượng TLS được mã hóa. Các session key đối xứng được tàng trữ trong trình duyệt. Và với thiết lập trình duyệt thích hợp, quản trị viên hoàn toàn có thể load những session key đó và kiểm tra những lưu lượng ở dạng đã được giải thuật .
Phần mềm hữu ích trong việc giảm các lưu lượng độc hại
Ứng dụng cũng đi kèm với những công cụ đồ họa để tưởng tượng những số liệu thống kê. Điều này giúp bạn thuận tiện phát hiện những xu thế chung, cảnh báo nhắc nhở những phát hiện để quản trị thuận tiện và hiệu suất cao hơn .
Có rất nhiều cách dùng Wireshark, trong nghành nghề dịch vụ giáo dục, nó còn là một công cụ học tập rất hiệu suất cao. Việc sử dụng Wireshark để bắt và đọc gói tin, xem cách những packet vận động và di chuyển, thậm chí còn đào sâu vào những lớp byte, kiểm tra những header của packet – là một cách để học và dạy người khác về Network. Chính do đó, đây là một phần không hề thiếu trong những chương trình giảng dạy lúc bấy giờ .
Tài liệu hướng dẫn sử dụng Wireshark
Có rất nhiều tài liệu hướng dẫn và video hướng dẫn cách sử dụng Wireshark cho từng mục tiêu đơn cử. Nhưng để bạn nắm được những thông tin và phương pháp chuẩn hóa hơn. Thì nghĩ bạn nên mở màn khám phá một số ít tài liệu chính thức trên trang Wikipedia thay vì những tài liệu Wireshark tiếng Việt. Đôi khi những tài liệu Nước Ta dịch chưa chuẩn xác những thuật ngữ chuyên ngành sẽ gây cho bạn nhiều khó khăn vất vả hơn .
Lời kết
Wireshark là gì? Wireshark là một công cụ phân tích và đánh giá hệ thống mạng cực kì mạnh mẽ. Nếu bạn sử dụng nó với mục đích rõ ràng. Hy vọng bài viết về tài liệu hướng dẫn sử dụng Wireshark toàn tập từ căn bản đến nâng cao này của Vietnix sẽ giúp các bạn sử dụng Wireshark một cách thuần thục và hiệu quả hơn. Nếu có bất kỳ khó khăn hoặc thắc mắc cần hỗ trợ, đừng ngần ngại hãy comment bên dưới để Vietnix hỗ trợ bạn nhé!
5/5 – ( 37 bầu chọn )
Source: https://swing.com.vn
Category: Wiki
