Wireshark là một công cụ phân tích giao thức mạng do Gerald Combs khởi xướng từ năm 1998, nó là công cụ phân tích giao thức mạng phổ biến nhất và được sử dụng rộng rãi. Wireshark là một công cụ mạnh mẽ để nắm bắt, phân tích và khắc phục sự cố lưu lượng mạng trong thời gian thực. Wireshark cho phép bạn kiểm tra các gói dữ liệu truyền qua mạng và cung cấp thông tin chi tiết về các giao thức mạng khác nhau và sự tương tác của chúng.
Ở bài viết này chúng tôi sẽ hướng dẫn cách sử dụng wireshark cơ bản để bắt các gói tin trong mạng và cách lọc các gói tin theo nhu cầu và xóa bớt những gói không cần thiết.
Hướng dẫn sử dụng Wireshark cơ bản
Dưới đây là một số tính năng và chức năng chính của Wireshark:
- Bắt gói tin: Wireshark bắt các gói tin mạng từ giao diện mạng hoặc đọc các tệp chứa các gói được bắt lưu ở nhiều định dạng khác nhau.
- Phân tích giao thức: Nó cung cấp phân tích chuyên sâu về các giao thức mạng ở các lớp khác nhau của OSI, bao gồm Ethernet, IP, TCP, UDP, HTTP, DNS và nhiều giao thức khác.
- Ghi trực tiếp và phân tích ngoại tuyến: Bạn có thể nắm bắt lưu lượng truy cập mạng trong thời gian thực hoặc phân tích ngoại tuyến các tệp tệp chứa các gói được bắt trước đó.
- Lọc và tìm kiếm gói: Wireshark cung cấp khả năng lọc mạnh mẽ để tập trung vào các gói hoặc cuộc hội thoại mạng cụ thể dựa trên các tiêu chí khác nhau như địa chỉ IP nguồn/đích, số cổng, giao thức và nội dung gói. Nó cũng cung cấp chức năng tìm kiếm để định vị dữ liệu cụ thể trong các gói đã bắt.
- Giải mã và kiểm tra gói: Wireshark giải mã các gói đã bắt, hiển thị thông tin chi tiết về từng gói và các trường của nó, bao gồm địa chỉ nguồn và đích, dấu thời gian, giao thức được sử dụng, dữ liệu truyền tải, v.v.
- Thống kê và phân tích hiệu suất: Wireshark cung cấp nhiều số liệu thống kê và hiệu suất khác nhau, chẳng hạn như thông lượng mạng, mất gói, thời gian khứ hồi, tốc độ truyền lại và các chỉ số khác để phân tích hiệu suất mạng và chẩn đoán sự cố.
- Phát triển trình phân tích giao thức: Wireshark cung cấp một framework để phát triển các trình phân tích giao thức tùy chỉnh, cho phép bạn phân tích các giao thức mạng độc quyền hoặc ít phổ biến hơn.
Hướng dẫn cách lưu gói tin vào file và mở file để phân tích
Bắt gói tin và lưu vào file
Khi mở Wireshark, các interface mạng có trên máy của bạn sẽ được liệt kê như phía dưới. Để xem lưu lượng của 1 giao diện mạng nào đó, hãy kích đúp vào đó,các gói tin đi qua giao diện đó sẽ được hiển thị. Ở đây ta chọn giao diện mạng là Wifi.
Lưu lượng các gói tin đi qua Wifi sẽ hiển thị như sau :
Ta sẽ thấy trên thanh công cụ có 1 nút màu đỏ, đó là nút dùng để lưu lại những gói tin đã bắt được.
Sau khi kích vào đó, wireshark sẽ dừng cập nhật các gói tin mới và ta có thể lưu lại những gói tin này kích vào File sau đó chọn Save để lưu dưới dạng file .pcap.
Mở 1 file .pcap có sẵn
File có sẵn có thể là các file đã capture trước đó bằng wireshark trên máy bạn hoặc bạn có thể sử dụng tcpdump để chụp lại các gói tin qua 1 giao diện mạng trên 1 máy chủ khác và lưu vào file .pcap sau đó chuyển sang máy cài wireshark và mở file đó.
Ví dụ khi ta cần bắt 50 gói tin qua 1 interface mạng và lưu vào file .pcap :
tcpdump -i <interface> -c 50 -w <file_name>.pcap
Để mở file .pcap đã capture trước đó, ta chỉ cần kích vào File -> Open và chọn file có đuôi là để xem.
Hướng dẫn sử dụng bộ lọc trong Wireshark
Ta có thể sử dụng filter để loại bỏ các gói mà ta không quan tâm. Filter có thể được sử dụng khi bắt các gói tin realtime hoặc cũng có thể được sử dụng đối với các gói tin được mở từ file .pcap.
Chỉ bắt các gói có IP trùng khớp
- Chỉ xem các gói tin có IP nguồn trùng khớp với IP 172.16.110.190. Cú pháp :
ip.src == x.x.x.x
- Tương tự như vậy ta chỉ xem các gói tin có IP đích khớp với 172.16.110.190. Cú pháp :
ip.dst == x.x.x.x
- Chỉ xem các gói có IP nguồn là 172.16.110.190 và IP đích là 34.117.237.239. Cú pháp :
ip.src == x.x.x.x and ip.dst == x.x.x.x
- Hoặc ta cũng có thể loại trừ các gói với IP nguồn và đích nhất định, ví dụ như Không bắt các gói có IP nguồn là 172.16.110.190 . Cú pháp :
ip.src != x.x.x.x
Chỉ bắt các gói có port hoặc giao thức trùng khớp
- Chỉ xem các gói có TCP port là 80. Cú pháp :
tcp.port == 80
- Xem các gói có TCP port là 80 hoặc TCP port là 443. Cú pháp :
tcp.port == 80 or tcp.port == 443
- Chỉ xem các gói không sử dụng cổng 443. Cú pháp :
not tcp.port == 443
- Chỉ bắt các gói sử dụng dịch vụ http. Cú pháp :
http
- Bắt các gói đang sử dụng giao thức UDP hoặc ICMP.icmp Cú pháp :
udp or icmp
Bạn có thể tìm hiểu thêm các bộ lọc khác của Wireshark tại đây.
Tổng kết
Wireshark là một công cụ cực kỳ mạnh mẽ và hướng dẫn này chỉ giới thiệu sơ lược công dụng cuả nó. Nếu bạn muốn đọc thêm nhiều hơn nữa về Wireshark có thể tham khảo tại wiki.wireshark.
Ngoài ra bạn có thể tham khảo các bài viết về server tại đây.
P.A Việt Nam cung cấp đa dạng các cấu hình Máy Chủ Ảo và Máy Chủ Riêng
Cloud Server
Cloud Server Pro
Máy Chủ Riêng
Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/