Wireshark là gì?
Wireshark là một bộ phân tích gói mạng (network packet analyzer). Một network packet analyzer sẽ cố gắng nắm bắt các network packets và cố gắng hiển thị dữ liệu gói đó càng chi tiết càng tốt.
Một network packet analyzer được sử dụng như một thiết bị đo lường, dùng để kiểm tra những gì đang xảy ra bên trong cáp mạng (network cable), không khác gì chức năng của một vôn kế được thợ điện sử dụng để kiểm tra những gì đang xảy ra bên trong cáp điện.
Trước đây, các công cụ này thường hoặc là rất tốn kém, hoặc độc quyền, hoặc cả hai. Tuy nhiên, với sự ra đời của Wireshark, tất cả những điều đó đã thay đổi.
Wireshark có lẽ là một trong những máy phân tích gói mã nguồn mở tốt nhất hiện nay (open source packet analyzer).
Mục đích
Sử dụng Wireshark nhằm các mục đích sau:
– Network administrators sử dụng Wireshark để khắc phục sự cố mạng.
– Các kỹ sư Network security sử dụng Wireshark để kiểm tra các vấn đề bảo mật.
– Các kỹ sư QA sử dụng Wireshark để xác minh các network applications.
– Các developers sử dụng Wireshark để gỡ lỗi triển khai giao thức.
– Mọi người sử dụng Wireshark để học internals giao thức mạng.
Không chỉ các tình huống trên, Wireshark cũng có thể hữu ích trong nhiều tình huống khác nữa.
>> Có thể bạn quan tâm: 6 công cụ khắc phục sự cố mạng mà bạn nên biết
Tính năng
– Có sẵn cho UNIX và Windows.
– Chụp dữ liệu gói trực tiếp từ giao diện mạng.
– Mở các tệp có chứa dữ liệu gói được bắt bằng tcpdump/ WinDump, Wireshark và một số chương trình packet capture khác.
– Nhập các gói từ các tệp văn bản có chứa các hex dumps của packet data.
– Hiển thị các gói với thông tin giao thức rất chi tiết.
– Lưu dữ liệu gói bị bắt.
– Xuất một số hoặc tất cả các gói trong một số định dạng capture file.
– Lọc các gói tin trên nhiều tiêu chí.
– Tìm kiếm các gói trên nhiều tiêu chí.
– Colorize gói hiển thị dựa trên bộ lọc.
– Tạo các số liệu thống kê khác nhau.
Hình dưới đây cho thấy Wireshark đã bắt giữ một số gói và chờ bạn kiểm tra chúng.
Bắt gói tin từ nhiều phương tiện mạng khác nhau
Wireshark có thể nắm bắt lưu lượng truy cập từ nhiều loại phương tiện mạng khác nhau, bao gồm cả mạng LAN không dây. Loại phương tiện nào được hỗ trợ sẽ phụ thuộc vào nhiều yếu tố như hệ điều hành bạn đang sử dụng. Bạn có thể tìm thấy tổng quan về các loại phương tiện được hỗ trợ tại https://wiki.wireshark.org/CaptureSetup/NetworkMedia.
Nhập tệp từ nhiều chương trình chụp khác
Wireshark có thể mở các gói tin được chụp từ một số lượng lớn các chương trình chụp khác.
Xuất tệp cho nhiều chương trình chụp khác
Wireshark có thể lưu các gói tin được chụp trong một số lượng lớn các định dạng của các chương trình chụp khác.
Nhiều protocol dissectors
Có khá nhiều các bộ phân tách giao thức (hoặc bộ giải mã) cho một giao thức tuyệt vời.
Phần mềm mã nguồn mở
Wireshark là một dự án phần mềm mã nguồn mở, và được phát hành theo GNU General Public License (GPL). Bạn có thể tự do sử dụng Wireshark trên bất kỳ số lượng máy tính nào mà không phải lo lắng về các license keys hoặc các khoản chi phí phát sinh. Ngoài ra, tất cả các mã nguồn đều có sẵn miễn phí theo GPL, do đó, rất dễ dàng để thêm giao thức mới vào Wireshark, hoặc là plugin, hoặc được tích hợp vào nguồn.
>> Tham khảo thêm: Open-source Software là gì, bạn đã biết chưa?” data-rel=”follow”>Open-source Software là gì, bạn đã biết chưa?
Wireshark
Wireshark không phải là một hệ thống phát hiện xâm nhập. Nó sẽ không cảnh báo khi ai đó làm những điều không được phép trên mạng. Tuy nhiên, nếu có gì đó không ổn, Wireshark có thể cho bạn biết những gì đang diễn ra.
Wireshark sẽ không thao túng mọi thứ trên mạng, nó sẽ chỉ thực hiện việc “đo”. Wireshark không gửi các gói trên mạng hoặc thực hiện các hoạt động khác (ngoại trừ name resolutions).
Cách download Wireshark
Bạn có thể tải xuống Wireshark cho Windows hoặc macOS từ trang web chính thức. Nếu bạn đang sử dụng Linux hoặc một hệ thống giống UNIX khác, có thể bạn sẽ tìm thấy Wireshark trong kho lưu trữ gói. Ví dụ: nếu bạn đang sử dụng Ubuntu, bạn sẽ tìm thấy Wireshark trong Ubuntu Software Center.
Lưu ý: Nhiều tổ chức không cho phép Wireshark và các công cụ tương tự trên mạng của họ. Không sử dụng công cụ này tại nơi làm việc trừ khi bạn được phép.
Chụp các gói tin bằng Wireshark
Sau khi tải xuống và cài đặt Wireshark, bạn có thể khởi chạy nó và nhấp đúp vào tên của một giao diện mạng trong Capture để bắt đầu chụp các gói trên giao diện đó. Ví dụ: nếu bạn muốn ghi lại lưu lượng truy cập trên mạng không dây của mình, hãy nhấp vào giao diện không dây. Bạn có thể cấu hình các tính năng nâng cao bằng cách nhấp vào Capture > Options, nhưng điều này chưa cần thiết ngay bây giờ.
Ngay khi bạn nhấp vào tên của giao diện, bạn sẽ thấy các gói bắt đầu xuất hiện trong thời gian thực. Wireshark chụp mỗi gói được gửi đến hoặc từ hệ thống của bạn.
Nếu bạn đã bật chế độ promiscuous — chế độ này được bật theo mặc định — bạn cũng sẽ thấy tất cả các gói khác trên mạng thay vì chỉ các gói được gửi tới bộ điều hợp mạng của bạn. Để kiểm tra xem chế độ promiscuous có được kích hoạt hay không, nhấn Capture > Options và kiểm tra hộp kiểm “Enable promiscuous mode on all interfaces” được kích hoạt ở dưới cùng của cửa sổ này.
Nhấp vào nút “Stop” màu đỏ gần góc trên cùng bên trái của cửa sổ khi bạn muốn dừng capturing traffic.
Color Coding
Bạn sẽ thấy các gói được đánh dấu bằng nhiều màu khác nhau. Wireshark sử dụng màu sắc để giúp bạn xác định các loại lưu lượng truy cập trong nháy mắt. Theo mặc định, màu tím nhạt là lưu lượng TCP” data-rel=”follow”>TCP, màu xanh dương nhạt là lưu lượng UDP” data-rel=”follow”>UDP và màu đen nhận dạng các gói có lỗi — ví dụ, chúng có thể được phân phối theo thứ tự.
Để xem chính xác ý nghĩa của các mã màu, hãy nhấp vào View > Coloring Rules. Bạn cũng có thể tùy chỉnh và sửa đổi các quy tắc tô màu từ đây, nếu bạn muốn.
Cách lưu và mở gói tin trong Wireshark
Nếu không có gì bất thường, wiki của Wireshark đã được cover. Wiki chứa một trang các tệp tin mẫu mà bạn có thể tải và kiểm tra. Nhấp vào File > Open trong Wireshark và duyệt tìm tệp đã tải xuống của bạn để mở tệp.
Bạn cũng có thể lưu ảnh chụp của riêng bạn trong Wireshark và mở chúng sau này. Nhấp vào File > Save để lưu các gói đã chụp của bạn.
Cách lọc các gói tin trong Wireshark
Nếu bạn đang cố gắng kiểm tra một cách chi tiết cụ thể, chẳng hạn như lưu lượng truy cập mà chương trình gửi khi gọi điện về nhà, chương trình sẽ giúp đóng tất cả các ứng dụng khác bằng mạng để bạn có thể thu hẹp lưu lượng truy cập. Tuy nhiên, bạn sẽ có một lượng lớn các gói dữ liệu để sàng lọc. Đó là nơi các bộ lọc của Wireshark xuất hiện.
Cách cơ bản nhất để áp dụng bộ lọc là nhập nó vào hộp bộ lọc ở đầu cửa sổ và nhấp vào Apply (hoặc nhấn Enter). Ví dụ: nhập “dns” và bạn sẽ chỉ thấy các gói DNS. Khi bạn bắt đầu nhập, Wireshark sẽ giúp bạn tự động hoàn thành bộ lọc của mình.
>> Tìm hiểu thêm: DNS Server là gì? Tác dụng của DNS Server?” data-rel=”follow”>DNS Server là gì? Tác dụng của DNS Server?
Bạn cũng có thể nhấp vào Analyze > Display Filters để chọn bộ lọc trong số các bộ lọc mặc định có trong Wireshark. Từ đây, bạn có thể thêm bộ lọc tùy chỉnh của riêng mình và lưu chúng để dễ dàng truy cập chúng trong tương lai.
Một điều thú vị khác bạn có thể làm là nhấp chuột phải vào một gói và chọn Follow > TCP Stream.
Bạn sẽ thấy cuộc hội thoại TCP đầy đủ giữa máy khách và máy chủ. Bạn cũng có thể nhấp vào các giao thức khác trong trình đơn Theo dõi để xem các cuộc hội thoại đầy đủ cho các giao thức khác, nếu có.
Đóng cửa sổ và bạn sẽ thấy một bộ lọc đã được áp dụng tự động. Wireshark hiển thị cho bạn các gói tạo nên cuộc trò chuyện.
Kiểm tra gói
Nhấp vào một gói để chọn và bạn có thể xem chi tiết của nó.
Bạn cũng có thể tạo bộ lọc từ đây – chỉ cần nhấp chuột phải vào một trong các chi tiết và sử dụng menu con Apply as Filter để tạo bộ lọc dựa trên bộ lọc đó.
Wireshark là một công cụ cực kỳ mạnh mẽ, và hướng dẫn này chỉ mới mô tả được phần nhỏ công dụng của Wireshark. Các chuyên gia sử dụng nó để gỡ lỗi triển khai giao thức mạng, kiểm tra các vấn đề bảo mật và kiểm tra các giao thức mạng nội bộ.
Nguồn: Tech.vccloud.vn
>> Có thể bạn quan tâm: Sniffer là gì? Các công cụ Packet Sniffer phổ biến
Kể từ ngày 05/11/2018, VCCloud chính thức đổi tên thành NQ Computing – là nhà cung cấp các dịch vụ đám mây hàng đầu tại Việt Nam hiện nay với các dịch vụ nổi bật như: NQ Computing Server, NQ News CDN, NQ News Load Balancer, NQ News Pre-built Application, NQ News Business Mail, NQ News Simple Storage. Hãy tăng tốc thích nghi cho doanh nghiệp cùng các giải pháp công nghệ của NQ Computing tại đây.
