+8

Hướng dẫn sử dụng Wireshark

Đối với người quan tâm đến an ninh mạng hay có kiến thức về mạng máy tính thì chắc không còn xa lạ với phần mềm Wireshark. Wireshark được sử dụng để phân tích mạng (network packet analyzer). Công dụng của ứng dụng này là dùng để bắt, phân tích và xác định các vấn đề có liên quan đến network bao gồm: kết nối chậm, rớt gói tin hoặc các truy cập bất thường.

I. Cài đặt Wireshark

Bạn có thể tải xuống bản phát hành chính thức tại https://www.wireshark.org/download.html. Ở đây bạn hãy chọn phiên bản tương ứng với máy của mình và tải xuống.

II. Giới thiệu về giao diện

Bây giờ bạn đã cài đặt Wireshark, tiếp theo chúng ta sẽ khám phá về giao diện của Wireshark. Hình bên dưới hiển thị giao diện người dùng của Wireshark như bạn thường thấy sau khi một số gói tin được bắt hoặc tải xuống (cách thực hiện sẽ được mô tả sau). image.png Giao diện người dùng của Wireshark Cửa sổ chính của Wireshark bao gồm các phần thường được biết đến từ nhiều chương trình GUI khác. Menu chính chứa các mục sau image.png

Menu chính của Wireshark image.png

Menu này chứa các mục open và merge capture files, save, print, export capture files và quit. image.png

Menu này chứa các mục find a packet, time reference hoặc đánh dấu một hoặc nhiều gói tin, xử lý các cấu hình và đặt tùy chọn của bạn. image.png

Menu này chứa các mục để chuyển đến một gói cụ thể như: Back, Forward , Go to Packet image.png

Menu này cho phép bạn bắt đầu và dừng bắt gói tin và chỉnh sửa các bộ lọc. image.png

Menu này chứa các mục để thao tác các bộ lọc, bật hoặc tắt phân tích các giao thức, giải mã và theo dõi luồng. image.png

Menu này sẽ hiển thị các cửa sổ thống kê khác nhau bao gồm tóm tắt các gói đã được thu thập, hiển thị thống kê phân cấp giao thức và nhiều công dụng khác. image.png

Menu này chứa các mục để hiển thị các thống kê mạng liên quan đến điện thoại. image.png

Menu này chứa các mục để hiển thị thống kê không dây Bluetooth và IEEE 802.11 image.png

Menu này chứa các công cụ khác nhau có sẵn trong Wireshark, chẳng hạn như tạo Quy tắc ACL tường lửa. image.png

Menu này chứa các mục để giúp người dùng, chẳng hạn như truy cập vào một số trợ giúp cơ bản, các trang hướng dẫn sử dụng các công cụ dòng lệnh khác nhau, truy cập trực tuyến vào một số trang web và hộp thoại giới thiệu thông thường. Thanh công cụ chính cho phép truy cập nhanh vào các mục thường dùng từ menu. image.png Thanh công cụ bộ lọc cho phép người dùng đặt bộ lọc hiển thị để lọc gói nào được hiển thị. image.png Ngăn danh sách gói hiển thị một bản tóm tắt của mỗi gói tin được thu thập. Bằng cách nhấp vào các gói trong ngăn này, bạn kiểm soát những gì được hiển thị trong hai ngăn còn lại. (Packet List) image.png Ngăn chi tiết hiển thị chi tiết hơn về gói được chọn trong ngăn danh sách gói. Ngăn này hiển thị các giao thức và trường giao thức của gói được chọn. (Packet Details) image.png Ngăn byte hiển thị dữ liệu từ gói tin được chọn trong Packet List và đánh dấu trường được chọn trong Packet Details và hiển thị dưới dạng hexdump. (Packet Bytes) image.png Ngăn Packet Diagram hiển thị gói được chọn trong Packet List dưới dạng sơ đồ kiểu sách giáo khoa. image.png Thanh trạng thái hiển thị một số thông tin chi tiết về trạng thái chương trình hiện tại và dữ liệu đã thu thập. (The Statusbar) image.png

III. Cách sử dụng Wireshark cơ bản

A. Cách bắt các gói tin trực tiếp trong Wireshark

Khi bạn mở Wireshark mà không bắt đầu bắt gói tin hoặc mở tệp, nó sẽ hiển thị “Màn hình chào mừng”, liệt kê mọi tệp đã mở gần đây và các giao diện bắt gói tin có sẵn. Hoạt động mạng cho mỗi giao diện sẽ được hiển thị trong một đường gấp khúc bên cạnh tên giao diện. Bạn có thể chọn nhiều hơn một giao diện và bắt đồng thời nhiều hoạt động mạng. Bạn có thể bấm vào phần bánh răng ở phần thanh công cụ chính để cài đặt Input, Output của các hoạt động mạng. image.png image.png

Để bắt đầu capture chúng ta có những cách sau:

  • Bạn có thể nhấp đúp vào một trong những hoạt động mạng trên màn. hình chào mừng .
  • Bạn có thể chọn một trong những hoạt động mạng trên màn hình chào mừng , sau đó chọn Capture → Start hoặc nhấp vào nút trên thanh công cụ chính.

image.png

B. Cách xem các gói tin trong Wireshark

Khi bạn đã bắt một số gói hoặc bạn đã mở tệp capture đã lưu trước đó, bạn có thể xem các gói được hiển thị trong Packet List bằng cách chỉ cần nhấp vào một gói trong Packet List, thao tác này sẽ hiển thị gói đã chọn trong Packet Details và Packet Bytes. Sau đó, bạn có thể mở rộng bất kỳ phần nào của Packet Details để xem thông tin chi tiết về từng giao thức trong mỗi gói. Nhấp vào một mục trong Packet Details sẽ làm nổi bật các byte tương ứng trong chế độ xem byte. Ví dụ về gói TCP được chọn được hiển thị trong hình. Nó cũng có số Acknowledgment trong tiêu đề TCP được chọn, hiển thị trong dạng xem byte dưới dạng các byte đã chọn.

image.png

C. Cách lọc các gói tin trong Wireshark

Wireshark có hai kiểu lọc là: Capture Filters và Display Filters .

Capture Filter được sử dụng để lọc khi bắt gói tin từ các hoạt động mạng

Display Filters cho phép bạn tập trung vào các gói tin mà bạn quan tâm trong khi ẩn những gói bạn không quan tâm. Chúng cho phép bạn chỉ hiển thị các gói dựa trên:

  • Giao thức
  • Sự hiện diện của một trường (The presence of a field)
  • Giá trị của các trường (The values of fields)
  • So sánh giữa các trường (A comparison between fields) … và nhiều hơn nữa!

Để chỉ hiển thị các gói tin chứa một giao thức cụ thể, hãy nhập tên giao thức đó vào thanh công cụ display filter của cửa sổ Wireshark và nhấn enter để áp dụng bộ lọc. Hình dưới cho thấy một ví dụ về những gì sẽ xảy ra khi bạn nhập “udp” vào thanh công cụ display filter.

image.png

  • Wireshark cung cấp ngôn ngữ display filter cho phép bạn kiểm soát chính xác gói nào được hiển thị. Chúng có thể được sử dụng để kiểm tra sự hiện diện của một giao thức hoặc field, giá trị của field hoặc thậm chí so sánh hai fields với nhau. Các phép so sánh này có thể được kết hợp với các toán tử logic, như "and" và "or", và dấu ngoặc đơn thành các biểu thức phức tạp.

    • Bạn có thể tạo display filter so sánh các giá trị bằng cách sử dụng một số toán tử so sánh khác nhau. Ví dụ: để chỉ hiển thị các gói đến hoặc đi từ địa chỉ IP 192.168.1.102, hãy sử dụng ip.addr == 192.168.1.102
    • Bạn có thể tham khảo những cú pháp để sử dụng display filter hiệu quả hơn tại bảng cheat sheet bên dưới.

image.png


All rights reserved

Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí