Chủ Nhật , Tháng Tám 15 2021
Wireshark là gì - Tất tần tật thông tin về wireshark 15

Wireshark là gì – Tất tần tật thông tin về wireshark

Wireshark là gì?

Wireshark   là một bộ phân tích gói mạng. Một bộ phân tích gói mạng sẽ cố gắng nắm bắt các gói mạng và cố gắng hiển thị dữ liệu gói đó càng chi tiết càng tốt.

Một  phân tích gói dữ liệu mạng  được sử dụng như một thiết bị đo lường, sử dụng để kiểm tra những gì đang xảy ra bên trong cáp mạng, không có khác biệt so với chức năng của một vôn kế được sử dụng bởi thợ điện để kiểm tra vấn đề này. những gì đang xảy ra bên trong cáp nguồn.

Trước đây, những công cụ này thường rất đắt tiền, hoặc độc quyền, hoặc cả hai. Tuy nhiên, với sự ra đời của Wireshark, tất cả đã thay đổi. Theo   Bizfly Cloud  ,   Wireshark  có lẽ là một trong những trình phân tích gói mã nguồn mở tốt nhất hiện nay. Mục đích

Sử dụng Wireshark cho các mục đích sau:

Quản trị viên mạng sử dụng Wireshark để khắc phục sự cố mạng.

Các kỹ sư an ninh mạng sử dụng Wireshark để kiểm tra các vấn đề bảo mật.

– Các kỹ sư QA sử dụng Wireshark để xác minh các ứng dụng mạng.

– Các nhà phát triển sử dụng Wireshark để gỡ lỗi việc triển khai giao thức.

– Mọi người sử dụng Wireshark để tìm hiểu nội bộ giao thức mạng.

Không chỉ trong những trường hợp trên, Wireshark cũng có thể hữu ích trong nhiều trường hợp khác.

>> Có thể bạn quan tâm: 6 công cụ khắc phục sự cố mạng bạn nên biết Tính năng

– Có sẵn cho UNIX và Windows.

– Chụp dữ liệu gói trực tiếp từ giao diện mạng.

– Mở các tập tin chứa dữ liệu gói được bắt bởi tcpdump / WinDump, Wireshark và một số chương trình bắt gói khác.

– Nhập các gói từ các tệp văn bản có chứa các kết xuất hex của dữ liệu gói.

– Hiển thị các gói với thông tin giao thức rất chi tiết.

– Lưu dữ liệu gói đã chụp.

– Xuất một số hoặc tất cả các gói tin ở một số định dạng tệp tin chụp.

– Lọc gói tin theo nhiều tiêu chí.

– Tìm kiếm các gói trên nhiều tiêu chí.

– Tô màu gói hiển thị dựa trên bộ lọc.

– Tạo ra các số liệu thống kê khác nhau.

Hình dưới đây cho thấy rằng Wireshark đã bắt được một số gói tin và đang chờ bạn kiểm tra chúng.

Chụp các gói tin từ các phương tiện mạng khác nhau

Wireshark  có thể nắm bắt lưu lượng truy cập từ nhiều loại phương tiện mạng khác nhau, bao gồm cả mạng LAN không dây. Loại phương tiện nào được hỗ trợ sẽ phụ thuộc vào nhiều yếu tố như hệ điều hành bạn đang sử dụng. Bạn có thể tìm thấy tổng quan về các loại phương tiện được hỗ trợ tại https://wiki.wireshark.org/CaptureSetup/NetworkMedia. Nhập tệp từ nhiều chương trình chụp khác

Wireshark có thể mở các gói được chụp từ một số lượng lớn các chương trình chụp khác. Xuất tệp cho nhiều chương trình chụp khác

Wireshark có thể lưu các gói đã chụp ở một số lượng lớn các định dạng của các chương trình chụp khác. Nhiều giao thức phân tách

Có khá nhiều bộ phân tách (hoặc bộ giải mã) giao thức cho một giao thức tuyệt vời. Phần mềm mã nguồn mở

Wireshark  là một dự án phần mềm mã nguồn mở và được phát hành theo Giấy phép Công cộng GNU (GPL). Bạn có thể thoải mái sử dụng Wireshark trên bất kỳ số lượng máy tính nào mà không cần lo lắng về khóa cấp phép hoặc chi phí bổ sung. Ngoài ra, tất cả mã nguồn đều có sẵn miễn phí theo GPL, vì vậy rất dễ dàng để thêm giao thức mới vào Wireshark, dưới dạng plugin hoặc được tích hợp vào nguồn.

>> Tham khảo thêm: Phần mềm mã nguồn mở là gì   , bạn đã biết chưa? Wireshark

Wireshark không phải là một hệ thống phát hiện xâm nhập. Nó sẽ không cảnh báo khi ai đó làm những điều trái phép trực tuyến. Tuy nhiên, nếu có sự cố, Wireshark có thể cho bạn biết điều gì đang xảy ra.

Wireshark sẽ không thao tác mọi thứ trên mạng, nó sẽ chỉ thực hiện “phép đo”. Wireshark không gửi gói tin qua mạng hoặc thực hiện các thao tác khác (ngoại trừ độ phân giải tên). Cách tải xuống Wireshark

Bạn có thể tải xuống Wireshark cho Windows hoặc macOS từ trang web chính thức. Nếu bạn đang sử dụng Linux hoặc một hệ thống giống UNIX khác, có thể bạn sẽ tìm thấy Wireshark trong kho gói. Ví dụ: nếu bạn đang sử dụng Ubuntu, bạn sẽ tìm thấy Wireshark trong Trung tâm phần mềm Ubuntu.

Lưu ý: Nhiều tổ chức không cho phép Wireshark và các công cụ tương tự trên mạng của họ. Không sử dụng công cụ này tại nơi làm việc trừ khi bạn được phép. Chụp gói tin bằng Wireshark

Sau khi tải xuống và cài đặt Wireshark, bạn có thể khởi chạy nó và nhấp đúp vào tên của giao diện mạng trong Capture để bắt đầu bắt các gói tin trên giao diện đó. Ví dụ: nếu bạn muốn ghi lưu lượng truy cập trên mạng không dây của mình, hãy nhấp vào giao diện không dây. Bạn có thể định cấu hình các tính năng nâng cao bằng cách nhấp vào  Chụp  >  Tùy chọn  , nhưng điều này không cần thiết ngay bây giờ.

Ngay sau khi bạn nhấp vào tên của giao diện, bạn sẽ thấy các gói bắt đầu xuất hiện trong thời gian thực. Wireshark nắm bắt mọi gói được gửi đến hoặc từ hệ thống của bạn.

Nếu bạn đã bật chế độ quảng bá – chế độ này được bật theo mặc định – bạn cũng sẽ thấy tất cả các gói khác trên mạng thay vì chỉ những gói được gửi đến bộ điều hợp mạng của bạn. Để kiểm tra xem chế độ lăng nhăng đã được bật chưa, hãy nhấp vào Chụp> Tùy chọn và chọn hộp kiểm “Bật chế độ lăng nhăng trên tất cả giao diện” ở cuối cửa sổ này.

Nhấp vào nút ” Dừng ” màu đỏ   ở gần góc trên cùng bên trái của cửa sổ khi bạn muốn dừng lưu lượng truy cập.

Mã màu

Bạn sẽ thấy các gói được đánh dấu bằng các màu khác nhau. Wireshark sử dụng màu sắc để giúp bạn xác định các loại lưu lượng trong nháy mắt. Theo mặc định, màu tím nhạt là   lưu lượng TCP , màu xanh lam nhạt là   lưu lượng UDP và màu đen xác định các gói có lỗi – ví dụ: chúng có thể được phân phối theo thứ tự.

Để xem chính xác ý nghĩa của mã màu, hãy nhấp vào  Xem  >  Quy tắc tô màu  . Bạn cũng có thể tùy chỉnh và sửa đổi các quy tắc tô màu từ đây, nếu bạn muốn.

Cách lưu và mở gói tin trong Wireshark

Nếu không có gì khác thường, wiki của Wireshark sẽ được bảo vệ. Wiki chứa một trang các tệp mẫu mà bạn có thể tải xuống và kiểm tra. Nhấp vào  Tệp  >  Mở  trong Wireshark và duyệt tìm tệp đã tải xuống của bạn để mở tệp đó.

Bạn cũng có thể lưu ảnh chụp nhanh của riêng mình trong Wireshark và mở chúng sau. Nhấp vào  Tệp  >  Lưu  để lưu các gói đã chụp của bạn.

Cách lọc các gói trong Wireshark

Nếu bạn đang cố gắng kiểm tra một chi tiết cụ thể như lưu lượng mà chương trình gửi khi gọi điện về nhà, chương trình sẽ giúp đóng tất cả các ứng dụng khác đang sử dụng mạng để bạn có thể thu hẹp lưu lượng. Tuy nhiên, bạn sẽ có một lượng lớn các gói dữ liệu cần sàng lọc. Đó là nơi các bộ lọc của Wireshark xuất hiện.

Cách cơ bản nhất để áp dụng bộ lọc là nhập bộ lọc đó vào hộp bộ lọc ở đầu cửa sổ và nhấp vào Áp dụng (hoặc nhấn Enter). Ví dụ: gõ “dns” và bạn sẽ chỉ thấy các gói DNS. Khi bạn bắt đầu nhập, Wireshark sẽ giúp bạn tự động hoàn thành bộ lọc của mình.

>> Tìm hiểu thêm:   DNS Server là gì? Tác dụng của DNS Server?

Bạn cũng có thể nhấp vào  Phân tích  >  Bộ lọc hiển thị  để chọn một bộ lọc trong số các bộ lọc mặc định đi kèm với Wireshark. Từ đây, bạn có thể thêm các bộ lọc tùy chỉnh của riêng mình và lưu chúng để dễ dàng truy cập vào chúng trong tương lai.

Một điều thú vị khác mà bạn có thể làm là nhấp chuột phải vào một gói và chọn  Theo dõi   >  TCP Stream  .

Bạn sẽ thấy toàn bộ cuộc hội thoại TCP giữa máy khách và máy chủ. Bạn cũng có thể nhấp vào các giao thức khác trong menu Theo dõi để xem toàn bộ cuộc hội thoại cho các giao thức khác, nếu có.

Đóng cửa sổ và bạn sẽ thấy một bộ lọc đã được áp dụng tự động. Wireshark hiển thị cho bạn các gói tạo nên cuộc trò chuyện.

Kiểm tra gói hàng

Bấm vào một gói để chọn và bạn có thể xem chi tiết của nó.

Bạn cũng có thể tạo bộ lọc từ đây – chỉ cần nhấp chuột phải vào một trong các chi tiết và sử  dụng  menu con Áp dụng làm Bộ lọc để tạo bộ lọc dựa trên bộ lọc đó.

Wireshark là một công cụ cực kỳ mạnh mẽ và hướng dẫn này chỉ mô tả một phần nhỏ các công dụng của Wireshark. Các chuyên gia sử dụng nó để gỡ lỗi việc triển khai giao thức mạng, kiểm tra các vấn đề bảo mật và kiểm tra các giao thức mạng nội bộ.

Theo Mây Bizfly chia sẻ

>> Có thể bạn quan tâm:   Sniffer là gì? Các công cụ dò tìm gói tin phổ biến

Kể từ ngày 05/11/2018, VCCloud chính thức đổi tên thành BizFly Cloud – là nhà cung cấp dịch vụ đám mây hàng đầu Việt Nam hiện nay với các dịch vụ nổi bật như: BizFly Cloud Server, BizFly CDN, BizFly Load Balancer, BizFly Pre-built Application, BizFly Business Thư, lưu trữ đơn giản BizFly. Tăng tốc thích ứng kinh doanh với các giải pháp công nghệ của BizFly Cloud  tại đây  .
TAGS: Wireshark

Công cụ bảo mật WireShark là gì? Làm thế nào để sử dụng WireShark?

Tin tức

WireShark là gì? Công cụ bảo mật WireShark  hay còn được gọi là Ethereal – một trong những ứng dụng dùng để phân tích dữ liệu mạng, theo dõi và giám sát các gói tin theo thời gian thực, hiển thị chính xác và báo cáo người dùng thông qua một hệ thống mạng. Giao diện đơn giản và thân thiện.

Nếu bạn là người quản trị hệ thống, hay người thường xuyên tiếp xúc với các hệ thống máy chủ thì chắc chắn bạn không thể không biết đến WireShark – công cụ phân tích gói tin mạng hàng đầu hiện nay. Được đóng gói với giao diện trực quan, sử dụng đơn giản và báo cáo chính xác là những lý do chính khiến chúng được đưa vào phần lớn các hệ thống máy chủ.

Phần mềm này cung cấp cho người dùng những thôn tin hữu ích về mạng giao thức, gói tin thập lục có cùng khả năng đọc và ghi dữ liệu theo nhiều dạng khác nhau. This software is used to doing the service management of fixed network, support on many other systems as Windows, Ubuntu, Linux,… Khi đã làm quen với WireShark, bạn sẽ dễ dàng phân tích dữ liệu trong hệ thống mạng của mình. WireShark chức năng mang lại cho người dùng

WireShark được sử dụng rộng rãi tại nhiều doanh nghiệp, các đơn vị khác nhau như các cơ sở giáo dục, cơ quan chính phủ,… bởi chúng tôi có nhiều tính năng hữu ích với người dùng như:

  • Phân tích chuyên sâu các mạng giao thức và được bổ sung hàng ngày.
  • Là công cụ tạo tin gói đường dẫn.
  • Data thu thập từ nhiều gói tin.
  • Hỗ trợ trình chiếu mạnh bộ lọc hỗ trợ hiển thị dữ liệu gói.
  • Cung cấp trực tiếp phân tích phương pháp và nhanh chóng
  • Giải nén nhiều mạng giao thức như Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB,….
  • Đọc và xuất dữ liệu từ nhiều giao thức
  • Export data in many other format
Xem thêm:  Winpe là gì - Tất tần tật thông tin về winpe

Hướng dẫn sử dụng WireShark bảo mật của Tool

Bạn có thể tải Công cụ bảo mật WireShark về cho Windows hoặc các hệ điều hành khác từ trang web chính thức của WireShark. Tuy nhiên, nhiều doanh nghiệp, tổ chức không cho phép sử dụng WireShark cũng như các công cụ tương tự hoạt động trên trạng mạn của họ. Nên bạn cần lưu ý khi sử dụng công cụ này tại nơi làm việc. Chúng ta cùng đi vào tìm hiểu cách cài đặt ngay sau đây.

Tại FILE CAPTURING PACKETS

Bước 1: Tải về WireShark và tiến hành cài đặt.

Bước 2: Sau khi cài đặt, WireShark sẽ khởi chạy. Tại đây sẽ có 2 lựa chọn chính:

+ Quản lý dữ liệu hệ thống mạng qua dây cáp – Local Area Connection.

+ Quản lý dữ liệu hệ thống mạng không dây – Wireless Network Connection.

Bạn cần lựa chọn phù hợp với hệ thống mạng đang cùng và Start để bắt đầu.

Bước 3: Khi đó, WireShark đã bắt đầu tiến hành cài đặt bằng cách thu thập tất cả địa chỉ IP đã được kết nối thông qua hệ thống mạng. Chúng sẽ liên tục được cập nhật mỗi khi có thiết bị sử dụng mạng.

>>> Bảo mật máy chủ server bằng SSH Key

Để ngừng tiến chính này, hãy click vào ô vuông màu đỏ trên thanh công cụ.

Bước 4: Sau khi quá trình này thành công, bạn sẽ thấy dải địa chỉ IP có một số màu nhất định. Mỗi màu ứng với một trạng thái khác nhau như:

  • Màu xanh lá cây: Traffic TCP.
  • Màu xanh da trời: Traffic UDP.
  • Màu ngà ngà tím: Traffic của DNS.
  • Màu đen chữ cam: Gói TCP đang gặp vấn đề.

Bạn hoàn toàn có thể lưu lại gói dữ liệu để phân tích sau bằng cách lưu chúng lại. Bên cạnh đó, bạn có thể tham khảo phần hướng dẫn sử dụng và những ví dụ cơ bản của WireShark bằng cách mở 1 file Capture, nhấn Open và trỏ tới file gốc. Người dùng có thể lưu trữ dữ liệu Capture trong WireShark và sử dụng nó.

>>>> Bạn có thể tham khảo thêm cách hướng dẫn sử dụng kerio control.

Tại File FILTERING PACKETS

Nhập thông tin vào ô Filter rồi nhấn Enter là cách đơn giản nhất để áp dụng Filter. Khi đó, WireShark sẽ tự động tìm kiếm và đưa ra một chuỗi các thông tin tương ứng theo tìm kiếm của người dùng.

Hoặc bạn cũng có thể tạo Filter mới bằng các: Tìm đến menu và chọn Analyze > Display Filters.

Rồi nhấn chuột phải vào từng Package và chọn Follow TCP Stream.

Tại đây,  chúng sẽ hiện ta tòn bộ quãng thời gian giao tiếp giữa máy chủ và máy khách.

Đóng cửa sổ này lại, filter sẽ tự động được áp dụng. WireShark sẽ tiếp tục hiển thị thông tin một cách đầy đủ và chính xác của cac package có liên quan.

Tại file INSPECTING PACKETS

Nếu cần kiểm tra, hãy nhấn chọn 1 page bất kì để biết những thông tin cụ thể hơn.

Hoặc cũng có thể xem trực tiếp bằng cách: Chuột phỉ vào thông tin chi tiết và chọn Apply as Filter.

Trên đây là một số thông tin cơ bản về WireShark cũng như cách sử dụng Công cụ bảo mật WireShark cơ bản nhất. Bạn đã có cấu hình máy chủ chuyên nghiệp để cài đặt và sử dụng WireShark chưa? Nhanh tay liên hệ với các Dịch vụ cho thuê server để được sử dụng máy chủ cấu hình cao, băng thông rộng với thủ tục nhanh chóng.

Đôi khi, bắt gói tin không cho chúng ta biết chính xác vấn đề gì đang xảy ra. Nhưng ít nhất nó cũng hạn chế được rát nhiều trường hợp và giúp người dùng dự đoán chính xác nguyên nhân cũng như cách khắc phục vấn đề. Nếu bạn có thắc mắc và câu hỏi gì về WireShark, hãy liên hệ trực tiếp với chúng tôi để được giải đáp.

Thông tin chi tiết vui lòng liên hệ: VDO Data

  • Địa chỉ: 61 phố Mễ Trì Thượng, Phường Mễ Trì, Quận Nam Từ Liêm, Thành phố Hà Nội.
  • Tel: 024 7305 6666
  • Văn phòng đại điện Tp Hồ Chí Minh.
  • Địa chỉ: Phòng 13.09 – Lô C, Số 974A Trường Sa ( Co.opmart Nhiêu Lộc), Phường 12, Quận 3, Hồ Chí Minh.
  • Tel:  028 7308 6666
  • Tổng đài hỗ trợ kỹ thuật và tư vấn dịch vụ: 1900 0366

Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng

Wireshark, hay còn gọi là Ethereal, công cụ này có lẽ không quá xa lạ với phần lớn người sử dụng chúng ta, vốn được xem là 1 trong những ứng dụng phân tích dữ liệu hệ thống mạng, với khả năng theo dõi, giám sát các gói tin theo thời gian thực, hiển thị chính xác báo cáo cho người dùng qua giao diện khá đơn giản và thân thiện. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số đặc điểm cơ bản cũng như cách dùng, phân tích và kiểm tra hệ thống mạng bằng Wireshark.

Các bạn có thể tải Wireshark phiên bản mới nhất tại đây hoặc trực tiếp tại trang chủ. Nếu dùng Linux hoặc các hệ thống UNIX khác thì có thể tìm thấy Wireshark trong phần Package Repositories. Ví dụ, với Ubuntu thì Wireshark sẽ có ở trong Ubuntu Software Center. Tuy nhiên, các bạn cần lưu ý rằng không nên tự tiện sử dụng, vì có công ty, tổ chức hoặc doanh nghiệp không cho phép dùng Wireshark trong hệ thống mạng của họ.1. Bắt đầu với Wireshark

Bạn có thể tải xuống Wireshark cho Windows hoặc macOS từ trang web chính thức: https://www.wireshark.org/. Nếu bạn đang sử dụng Linux hoặc một hệ thống giống UNIX khác, có thể bạn sẽ tìm thấy Wireshark trong package repository. Ví dụ, nếu bạn đang sử dụng Ubuntu, bạn sẽ tìm thấy Wireshark trong Ubuntu Software Center.

Cảnh báo nhanh: Nhiều tổ chức không cho phép Wireshark và các công cụ tương tự hoạt động trên mạng của họ. Do đó, lưu ý không sử dụng công cụ này tại nơi làm việc trừ khi bạn được phép.2. Capturing Packets

Sau khi cài đặt, các bạn hãy khởi động chương trình và chọn thành phần trong Interface List để bắt đầu hoạt động. Ví dụ, nếu muốn giám sát lưu lượng mạng qua mạng Wireless thì chọn card mạng Wifi tương ứng. Nhấn nút Capture Options để hiển thị thêm nhiều tùy chọn khác.

Ngay sau đó, chúng ta sẽ thấy các gói dữ liệu bất đầu xuất hiện, Wireshark sẽ “bắt” từng gói – package ra và vào hệ thống mạng. Nếu đang giám sát thông tin trên Wireless trong chế độ Promiscuous thì sẽ nhìn thấy các gói dữ liệu khác trong toàn bộ hệ thống.

Nếu muốn tạm ngừng quá trình này thì các bạn nhấn nút Stop ở phía trên.

3. Color Coding

Có thể bạn sẽ thấy các packet được đánh dấu bằng nhiều màu khác nhau. Wireshark sử dụng màu sắc để giúp bạn xác định các loại lưu lượng truy cập trong nháy mắt. Ví dụ, theo mặc định, màu tím nhạt là lưu lượng TCP, màu xanh dương nhạt là lưu lượng UDP và màu đen là các packet có lỗi. Chúng có thể được phân phối theo thứ tự.

Để xem chính xác ý nghĩa của các mã màu, hãy nhấp vào View > Coloring Rules. Bạn cũng có thể tùy chỉnh và sửa đổi các quy tắc về màu sắc từ đây, nếu bạn muốn.

4. Sample Captures

Nếu không có gì thú vị để kiểm tra trên mạng của riêng bạn, bạn có thể kiểm tra wiki của Wireshark (wiki.wireshark.org/SampleCaptures). Wiki chứa một trang các file mẫu mà bạn có thể tải và kiểm tra. Nhấp vào File > Open trong Wireshark và duyệt tìm file đã tải xuống để mở nó.

Bạn cũng có thể lưu file của riêng bạn trong Wireshark và mở chúng sau này. Nhấp vào File > Save để lưu các packet của bạn.

5. Filtering Packets

Cách cơ bản nhất để áp dụng filter là nhập thông tin vào ô Filter, sau đó nhấn Apply hoặc nhấn Enter. Ví dụ, nếu gõ dns thì chúng ta sẽ chỉ nhìn thấy các gói dữ liệu DNS. Ngay khi nhập từ khóa, Wireshark sẽ tự động hoàn chỉnh chuỗi thông tin này dựa vào gợi ý tương ứng.

Hoặc nhấn menu Analyze > Display Filters để tạo filter mới.

Nhấn chuột phải vào từng package và chọn Follow TCP Stream.

Chúng ta sẽ thấy toàn bộ quãng thời gian giao tiếp giữa server và client.

Đóng cửa sổ này lại và filter sẽ tự động được áp dụng, Wireshark tiếp tục hiển thị đầy đủ và chính xác các package có liên quan.

6. Inspecting Packets

Nhấn và chọn 1 package bất kỳ để kiểm tra các phần thông tin cụ thể hơn.

Hoặc cũng có thể trực tiếp tạo filter tại đây, nhấn chuột phải vào phần thông tin chi tiết và chọn Apply as Filter để áp dụng.

Trên đây là một số thông tin cơ bản về cách sử dụng Wireshark để kiểm tra, phân tích dữ liệu và các gói tin trong hệ thống mạng. Chúng ta sẽ tiếp tục đi sâu về những tính năng của WireShark với các bài hướng dẫn khác trên QuanTriMang.com. Mời các bạn đón đọc!

Xem thêm:

  • Phân tích dữ liệu với Network Monitor
  • Khắc phục các ứng dụng mạng căn bản với Wireshark (Ethereal)
  • Phân tích hệ thống mạng với Wireshark trên Ubuntu 9.10

Tham khảo thêm

  • Phân tích dữ liệu với Network Monitor
  • Hành trình cơ bản của một gói dữ liệu trên mạng
  • SQL Server 2005 – Phần mềm phân tích và quản lý dữ liệu thế hệ kế tiếp
  • Sử dụng tcpdump để phân tích lưu lượng
  • Sử dụng Group Policy để tập trung cấu hình hệ thống
  • Sử dụng TrueCrypt để mã hóa dữ liệu

 Home Diễn đàn Thành viên Có gì mới WarGame Tool Giới thiệu FAQ dành cho người mới bắt đầuTìm kiếm

  •  Chỉ tìm trong tiêu đề

Được gửi bởi thành viên:

Dãn cách tên bằng dấu phẩy(,).Mới hơn ngày:

  • Search this thread only
  •  Search this forum only
    •  Hiển thị kết quả dạng Chủ đề

Thêm…

  • Giới thiệu
  • Vinh danh
  • Tool
  • Wargame
  • Video
  • Có gì mới?
  • Diễn đàn
  • Thành viên

[CMKT] Hướng dẫn sử dụng công cụ Wireshark để bắt và phân tích gói tin.

Thảo luận trong ‘Infrastructure security’ bắt đầu bởi NgMSon, 07/07/17, 04:07 PM.+ Trả lời

  1. NgMSonNgMSon Well-Known MemberTham gia: 22/03/17Bài viết: 657Đã được thích: 745Điểm thành tích:93Do : Chất lượng âm thanh có thể hơi kém nên mình sẽ viết luôn cả lời thoại , hướng dẫn ở đấy để các bạn có thể đọc cho dễ hiểu…
    Wireshark có thể cài trên Window 7 , 8 , 10, ….( 32bit /64 bit )
    Ưu điểm:
    + Dễ sử dụng ( Gia diện ,… )
    + Phần tích nhiều giao thức
    + Các gói tin dễ dàng sử dụng GUI
    Nhược điểm :
    + Không thích hợp để phần tích mạng không chuyên nghiệp
    + Người dùng cần phải có kiến thức phân tích giao thức mạng
    + Khá xa lạ đối với người dùng
    ……..
    ( Lý do mình chọn là : Phiên bản hiện nay đã mới hơn nên sẽ có nhiều cái hơn )
    Hướng dẫn tải :
    Để tải công cụ này các bạn truy câp vào trang chủ : wireshark.org
    Tiếp đó các bạn chọn vào phần download
    upload_2017-7-7_15-55-25.png
    Sau đó các bạn chọn phiên bản phù hợp
    upload_2017-7-7_15-55-48.png
    Sau khi tải xong các bạn mở lên và cài đặt như thường nhá
    ( Lưu ý : Nếu bạn chưa cìa WinPCap thì nên cài nhé )
    Tiếp theo mở công cụ lên…
    upload_2017-7-7_15-57-46.png
    Chúng ta chỉ quan tâm vào 3 phần này upload_2017-7-7_15-58-26.png
    Capture : Gồm có Interface List ../ Interface List là gì các bạn có thể tra
    upload_2017-7-7_15-59-18.png
    Interface List gồm Bluetooth Network Connection ( Mạng Bluetooh )
    WireLess Network Connection ( Mạng Wifi )
    Local Area Connection ( Mạng Lan )
    >>Khởi động
    upload_2017-7-7_16-1-30.png
    (1) Chọn Interface
    (2) Ấn Start>> Gia diện khi mở
    upload_2017-7-7_16-2-27.png
    Gồm
    upload_2017-7-7_16-2-44.png
    ( Command Menu )
    upload_2017-7-7_16-3-2.png
    ( Bộ lọc )
    upload_2017-7-7_16-3-16.png
    ( Danh sách gói tin đã bắt )
    upload_2017-7-7_16-3-53.png
    ( Thông tin Header của một packets )
    upload_2017-7-7_16-4-19.png
    ( Phần mã số dưới dạng Hexadecimal hoặc ASCII ( America Standard code for Information Interchange ))
    upload_2017-7-7_16-5-46.png (1) Chạy mới (2) Stop (3) Reset
    upload_2017-7-7_16-6-29.png ( Mở file )
    upload_2017-7-7_16-7-3.png ( Save )
    upload_2017-7-7_16-7-23.png ( Đóng file đang mở ở hiện tại )
    upload_2017-7-7_16-7-50.png ( Reload file đang mở )
    upload_2017-7-7_16-8-43.png
    ( mục này trong video rất rõ nhé )xanh lá cây, xanh da trời và đen. Wireshark dựa vào cơ chế này để giúp người dùng phân biệt được các loại traffic khác nhau. Ở chế độ mặc định, màu xanh lá cây là traffic TCP, xanh da trời đậm là traffic DNS, xanh da trời nhạt là traffic UDP và màu đen là gói TCP đang có vấn đềupload_2017-7-7_16-9-49.pngNhấn chuột phải vào từng package và chọn Follow TCP Stream để thấy toàn bộ quá trình , thời gian giáo tiếp từ server đến client..
    \Nhấn và chọn 1 package bất kỳ để kiểm tra các phần thông tin cụ thể hơn ( Ấn chuột đúp sẽ dễ nhìn hơn )
    Oke còn nhiều trong video nữa khá dễ hiểu đó Các file đính kèm:
    • upload_2017-7-7_15-55-17.pngKích thước:197.1 KBĐọc:2,164
    • upload_2017-7-7_16-7-0.pngKích thước:3.2 KBĐọc:315

    Chỉnh sửa cuối: 07/07/17, 04:07 PMMời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan07/07/17, 04:07 PM#1KimYoungKen, Tricker Đồng Ruộng, PhamTheThao and 3 others like this.

  2. NgMSonNgMSon Well-Known MemberTham gia: 22/03/17Bài viết: 657Đã được thích: 745Điểm thành tích:93Tài liệu sau khi tổng hợp xong mình sẽ upload lên .. {113}
    {63} Mong hoàn thiện sớm để upload cho mọi người đọc {63}
    … Chỉnh sửa cuối: 08/07/17, 09:07 PMMời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan07/07/17, 04:07 PM#2Tricker Đồng Ruộng, Akaima, sunny and 1 other person like this.
  3. nắngsunny VIP MembersTham gia: 30/06/14Bài viết: 1,834Đã được thích: 861Điểm thành tích:113Hay lắm, tiếp tục phát huy nhé. Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan10/07/17, 10:07 AM#3Akaima thích bài này.
  4. NgMSonNgMSon Well-Known MemberTham gia: 22/03/17Bài viết: 657Đã được thích: 745Điểm thành tích:93sunny nói: ↑Hay lắm, tiếp tục phát huy nhé.Click to expand…Yes bro ^^{113} We invite you to join Group WhiteHat to discuss and update daily cybersecurity news.
    Note from WhiteHat: Cybersecurity knowledge to prevent, do not do bad things. Relevant laws10/07/17, 11:07 AM#4Akama likes this.
  5. Akaima New MemberJoin: 7/17/17Article: 1Liked: 1Achievement points:firstNgMSon said: ↑Yes bro ^^
    {113}Click to expand…Sir, when will you have the document?? We invite you to join Group WhiteHat to discuss and update daily cybersecurity news.
    Note from WhiteHat: Cybersecurity knowledge to prevent, do not do bad things. Relevant laws07/17/17, 03:07 PM#5
  6. Danh Giang New MemberJoin: 11/4/18Article: 1Liked: 0Achievement points:firsthoney. Please tell me,I use wireshark in the net shop but can’t catch packets from other computers. I can only catch the packet of my device, pleaseguide me to fix it We invite you to join Group WhiteHat to discuss and update daily cybersecurity news.
    Note from WhiteHat: Cybersecurity knowledge to prevent, do not do bad things. Relevant laws04/11/18, 05:11 PM#6
  7. kamarayakokamarayako New MemberJoin: 19/05/19Article: 2Liked: 1Achievement points:3Bài viết khá chi tiết, wireshark là tool cực hay để phân tích gói tin được truyền từ máy nào đến máy nào, nội dung là gì. Ngày xưa mình làm PBX cũng có dùng qua rồi. Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan19/05/19, 12:05 PM#7NgMSon thích bài này.
  8. NgMSonNgMSon Well-Known MemberTham gia: 22/03/17Bài viết: 657Đã được thích: 745Điểm thành tích:93kamarayako nói: ↑Bài viết khá chi tiết, wireshark là tool cực hay để phân tích gói tin được truyền từ máy nào đến máy nào, nội dung là gì. Ngày xưa mình làm PBX cũng có dùng qua rồi.Click to expand…cảm ơn bạn đã có hứng thú với bài viết của mình ^^ Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan19/05/19, 10:05 PM#8

(Bạn phải Đăng nhập hoặc Đăng ký để trả lời bài viết.)

WireShark Là Gì – Tài liệu hướng dẫn sử dụng Wireshark toàn tập

23/03/20211118Lượt xemHưng NguyễnHome » Tài Liệu Kỹ Thuật » WireShark Là Gì – Tài liệu hướng dẫn sử dụng Wireshark toàn tập

Nếu bạn là một người am hiểu về công nghệ thông tin, chắc chắn sẽ từng nghe qua về WireShark. Vậy bạn có biết WireShark là gì không?

Đây là phần mềm bắt gói tin hàng đầu được sử dụng trong việc theo dõi, giám sát và phân tích traffic Network. Bài viết này Vietnix sẽ hướng dẫn sử dụng toàn tập từ căn bản đến nâng cao: cài đặt, cách bắt gói tin, cách đọc gói tin, cách phân tích gói tin, cách viết Wireshark Expression để filter traffic khi capture hoặc khi phân tích.Wireshark là gì?

Wireshark là một ứng dụng dùng để bắt (capture), phân tích và xác định các vấn đề liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy cập bất thường. Phần mềm này cho phép quản trị viên hiểu sâu hơn các Network Packets đang chạy trên hệ thống, qua đó dễ dàng xác định các nguyên nhân chính xác gây ra lỗi.

Website chính thức: https://www.wireshark.org/

Wirehark-sau
WireShark là gì?

Sử dụng WireShark có thể capture các packet trong thời gian thực (realtime), lưu trữ chúng lại và phân tích chúng offline. Ngoài ra, nó cũng bao gồm các filter, color coding và nhiều tính năng khác, cho phép người dùng tìm hiểu sâu hơn về lưu lượng mạng cũng như inspect (kiểm tra) các packets.

Ứng dụng được viết bằng ngôn ngữ C và hệ điều hành Cross-platform, ngoài ra hiện này gồm có các bản phân phối Linux, Windows, OS X, FreeBSD, NetBSD và OpenBSD. Đây là một phần mềm mã nguồn mở, được cấp phép GPL, và do đó miễn phí sử dụng, tự do chia sẻ và sửa đổi.

Từng được biết đến với cái tên Ethereal, phần mềm được xây dựng bởi Gerald Combs vào năm 1998. Hiện nay, có một tổ chức toàn cầu gồm nhiều chuyên gia mạng, cũng như các Developer phần mềm hàng đầu tham gia cùng The WireShark Team phát triển phần mềm này. Đội ngũ chuyên gia này không ngừng cập nhật các công nghệ và  giao thức mới.

Đây là phần mềm hoàn toàn an toàn để sử dụng. Nhiều cơ quan chính phủ, tập đoàn, tổ chức phi lợi nhuận và tổ chức giáo dục đều sử dụng Wireshark để khắc phục các sự cố, cũng như ứng dụng vào việc giảng dạy. Có thể nói, cách tốt nhất để tìm hiểu về mạng chính là sử dụng để theo dõi các lưu lượng truy cập.

Wirehark-dung-o-dau
Được dùng nhiều ở các cơ quan chính phủ, tập đoàn, tổ chức phi lợi nhuận và tổ chức giáo dục

Dĩ nhiên, đây là một công cụ có khả năng dò tìm dữ liệu trong các packet rất mạnh mẽ. Do đó cũng có nhiều câu hỏi được đặt ra xoay quanh tính hợp pháp của nó. Nhiều người dùng cũng như chuyên gia đã nhấn mạnh rằng, chỉ nên sử dụng trên các mạng mà mình có thẩm quyền. Việc dùng Wireshark để xem các packet không được cho phép hoàn toàn không được khuyến khích.

Phiên bản ổn định nhất hiện nay là 2.2.6 ra mắt ngày 12 tháng 4 năm 2017; 4 năm trước.

Wireshark hoạt động như thế nào?

Như đã đề cập ở trên,đây là một công cụ dùng để capture và phân tích các packet. Nó capture các lưu lượng mạng trên mạng cục bộ, sau đó sẽ lưu trữ nó để phân tích offline. Có thể capture các lưu lượng mạng từ các kết nối Ethernet, Bluetooth, Wireless (IEEE.802.11), Token Ring, Frame Relay…

bộ lọc Wirehark
Bắt các lưu lượng mạng kết nối Ethernet, Wireless, Bluetooth,..

Wireshark cho phép thiết lập filter (bộ lọc) trước khi bắt đầu capture hoặc thậm chí là trong quá trình phân tích. Do đó, ta có thể thu hẹp phạm vi tìm kiếm trong quá trình theo dõi mạng. 

Lấy ví dụ, ta có thể đặt một bộ lọc để xem lưu lượng TCP giữa hai địa chỉ IP, hoặc đặt bộ lọc chỉ hiển thị các gói được gửi từ một máy tính. Bộ lọc tiện ích cũng là một trong những lý do làm cho nó trở thành công cụ tiêu chuẩn để phân tích các gói tin.

Chức năng của Wireshark là gì?

Các dữ liệu capture ở dạng nhị phân được chuyển thành dạng giúp bạn dễ dàng đọc được. Với hơn 2000 mạng giao thức được hỗ trợ, điều này giúp xác định lưu lượng truy cập đang đi qua mạng hệ thống của bạn.

Wirehark
Chức năng và nổi bật tính năng

Với khối lượng lưu trữ không ngừng nâng cao hệ thống mạng, các công cụ của Wireshark sẽ giúp lọc các lưu lượng đó ra để phân tích. Bộ lọc chụp sẽ chỉ thu thập các loại truy cập định lượng mà bạn quan tâm. Sau đó, hiển thị lượng tiết kiệm chi tiết mà bạn muốn kiểm tra. Mạng giao thức phân tích mô-đun cũng cung cấp các công cụ tìm kiếm, biểu thức và tô màu, giúp phân tích cú pháp dễ dàng hơn.

Bật nổi bật tính năng của Wireshark gói tin tức bắt đầu phần mềm:

  • Hỗ trợ tri thức hàng trăm phân tích và liên tục được cập nhật.
  • Live capture and parsing offline.
  • Hoạt động đa nền tảng: Windows, Linux, MacOS, Solaris, FreeBSD, OpenBSD…
  • Các gói tin đã nắm bắt được có thể xem bằng giao diện hoặc sử dụng dòng lệnh (tshark).
  • Hiển thị bộ lọc mạnh mẽ.
  • Hỗ trợ chuyên sâu VoIP parse.
  • Hỗ trợ đọc / ghi nhiều định dạng: tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (nén và không nén), Sniffer® Pro và NetXray®, Network Instruments Observer , NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek / TokenPeek / AiroPeek…
  • File capture iscompression with gzip may can be dec nén “on the fly”.
  • Chụp dữ liệu từ Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI…
  • Hỗ trợ giải mã nhiều giao thức như: IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP và WPA / WPA2.
  • Quy tắc tô màu cho phép thiết lập màu sắc cho các gói phân tích nhanh và hiệu quả hơn.
  • Đầu ra có thể xuất sang XML, PostScript®, CSV, hoặc văn bản thuần túy.

Wireshark tải và cài đặt hướng dẫn

Tải và cài đặt Wireshark tương đối dễ dàng. Hiện cơ bản hoàn toàn miễn phí.

Đối đầu với Windows

This phần mềm có hỗ trợ phiên bản Windows 32 bit và 64 bit. Hãy chọn chính xác phiên bản để sử dụng điều hành hệ thống. Tính đến điểm viết, Wireshark 3.4.5 là phiên bản mới nhất.

tai-wirehark-cho-windows-moi-nhat
Dành cho mới nhất phiên bản Windows

TẢI Wireshark CHO WINDOWS

Đối với  macOS

Chính thức cài đặt cho macOS đã được hỗ trợ trên trang chủ, bạn chỉ việc tải xuống và mở tệp .dmg để bắt đầu cài đặt, kéo thả biểu tượng của Wireshark vào thư mục / Ứng dụng để hoàn thành. TẢI Wireshark CHO MAC

Đối đầu với Ubuntu

Lời nhắc đầu cuối từ, chạy lệnh sau:

sudo apt-get install wiresharksudo dpkg-reconfigure Wireshark-commonsudo adduser $USER wireshark

BashCopy

Gói tải giúp command xuống, cập nhật gói và thêm các quyền đặc biệt cho người dùng để khởi chạy.

Đối đầu với  RedHat Fedora

Lời nhắc đầu cuối từ, chạy lệnh sau:

sudo dnf install Wireshark-qtsudo usermod -a -G Wireshark username

BashCopy

Trong đó, đầu dòng lệnh sẽ cài đặt GUI và CLI phiên bản của WireShark. Thứ hai dòng lệnh sẽ thêm quyền sử dụng cho nó, thay thế tên người dùng thành người dùng hiện tại bạn đang sử dụng.

Đối đầu với  Kali Linux

Show at, Wireshark đã được cài đặt sẵn trong Kali Linux phân phối. Hãy kiểm tra menu ở tùy chọn “Sniffing & Spoofing” để sử dụng. Hướng dẫn sử dụng Wireshark

Use Wireshark để bắt gói tin

Sau khi tải xuống và cài đặt, chúng ta có thể khởi động nó bằng cách nhấp đúp vào tên của  giao diện mạng  trong danh sách phía dưới “Capture” để bắt đầu bắt đầu gói tin trên thẻ mạng đó. Đường biểu diễn theo tên Giao diện có thể hiện lưu lượng mạng đang được sử dụng.

Ví dụ: Nếu muốn bắt gói tin trong mạng wifi, hãy double click vào “Wi-Fi” (hoặc “Wireless Interface”). Ngoài ra, chúng ta cũng có thể thiết lập các biểu thứ ở phần “…using this filter” để lọc và capture những packet chỉ định khi thỏa mãn yêu cầu.

bat-call-in-bang-wirehark
Bắt gói tin mạng wifi

Sau đó, các packet sẽ bắt đầu hiển thị theo thời gian thực. Wireshark sẽ capture từng packet được gửi đến hoặc đi từ hệ thống của ta.

Nếu chế độ Promiscuous được enable (theo mặc định), ta cũng có thể xem tất cả các packet khác trên mạng thay vì chỉ các packet được gửi đến network adapter của mình.

Để kiểm tra chế độ Promiscuous, click vào Capture > Options và kiểm tra xem hộp “Enable promiscuous mode on all interfaces” có được kích hoạt chưa (nằm ở dưới cùng của cửa sổ).

su-dung-wirehare-de-bat-va-doc-goi-tin
Kiểm tra chế độ Promiscuous

Click vào nút “Stop” màu đỏ (ở góc trên bên trái của cửa sổ – hoặc chọn “Capture > Stop”) nếu muốn dừng việc capture lại.

huong-dan-su-dung-wirehark-de-bat-goi-tin
Dừng bắt gói tin

Ngoài cách bắt gói tin và sử dụng giao diện như trên, bạn cũng có thể dùng cách bắt gói tin bằng cách sử dụng command line được đề cập ở phần nâng cao phía dưới bài viết.

Giao diện WireShark

Bạn sẽ dành rất nhiều thời gian để thao tác trên giao diện chính của phần mềm này. Đây là nơi liệt kê danh sách các packet đã được capture, parse và thể hiện dưới định dạng mà chúng ta có thể dễ dàng đọc thông tin và phân tích chúng. 

dây sạc không dây
Giao diện gồm: Packet List, Packet Detail, Packet Byte

Giao diện chính của Wireshark được chia thành 3 phần:

  • Packet List: Chứa danh sách toàn bộ packet của file capture hiện tại. Nó thể hiện số thứ tự của gói tin, thời gian mà mà gói tin được bắt, source và destination IP, protocol của packet, chiều dài gói tin và các thông tin tổng quan khác.
  • Packet Details: Khi bạn chọn một gói tin ở phần Packet List, thông tin chi tiết của gói tin sẽ được thể hiện ở phần Packet Detail. Các thông tin chi tiết có thể được collapsed hoặc expanded bằng cách click vào mũi tên hình tam giác ở đầu dòng. 
  • Packet Bytes: Thể hiện packet ở định dạng raw dưới dạng hex hoặc binary. Thể hiện cách mà packet được truyền trên đường truyền. 

Mở gói tin và lưu gói tin

Để mở gói tin bằng Wireshark, chọn “File > Open” và tìm đến đường dẫn của file cần mở.

Wirehark-in-the-wirehark
Mở gói tin

Để lưu gói tin đã capture, click vào “File > Save”, sau đó chọn dường dẫn để lưu trữ, đặt tên cho file capture và định dạng sẽ lưu.Phân tích gói tin với Wireshark

Tìm kiếm gói tin (Find Packet)

Để tìm kiếm gói tin, chúng ta có thể sử dụng thanh công cụ “Find Packet” bằng cách bấm phím Ctrl + F, một hộp thoại mới sẽ xuất hiện nằm giữa thanh Filter và Packet List:

phan-tich-call-tin-voi-wirehark
Tìm kiếm gói tin

Chúng ta có thể tìm kiếm packet dựa vào:

  • Display Filter: nhập vào một biểu thức filter (expression-based filter), Wireshark sẽ tìm kiếm các gói tin khớp với biểu thức này.
  • Hex value: Tìm kiếm dựa trên giá trị Hex.
  • String: tìm kiếm dựa trên chuỗi dữ liệu.
  • Regular Expression: Tìm kiếm dựa trên biểu thức Regex.
Options
Display filter
Hex
String
Regular Expression

Tip: Sử dụng Ctrl + N để đi đến kết quả tiếp theo, Ctrl + B để lùi lại kết quả trước đó.

Wireshark Filter

Filter cho phép bạn lọc ra những packet nào sẽ dùng để phân tích. Sử dụng Wireshark filter bằng cách khai báo một biểu thức để quy định việc thêm vào (inclusion) hoặc loại bỏ (exclusion) các gói tin. Nếu có những gói tin bạn không cần phân tích, có thể viết filter để loại bỏ chúng. Ngược lại, có những gói tin quan trọng bạn muốn phân tích kỹ, có thể viết filter để lọc riêng chúng ra. Có hai loại filter chính:

  • Capture Filters: Chỉ định các packet sẽ được capture và quá trình bắt gói tin chỉ capture những packet thỏa điều kiện này.
  • Display filters: Áp dụng filter lên các gói tin đã được capture, mục tiêu là để ẩn đi những packet không cần thiết và chỉ thể hiện những packet thỏa điều kiện chỉ định.

Capture Filter và Display Filter sử dụng cấu trúc ngữ pháp khác nhau nên chúng ta sẽ xem xét chi tiết từng loại.

Capture Filter

Được áp dụng trong quá trình bắt gói tin để giới hạn số lượng gói tin sẽ được bắt. Lý do chính để sử dụng filter này nhằm cải thiện performance và giới hạn số lượng dữ liệu capture được chỉ chứa các thông tin chúng ta quan tâm, giúp việc phân tích trở nên hiệu quả hơn. Điều này cực kỳ hữu ích khi áp dụng bắt gói tin bằng Wireshark trên các hệ thống có lưu lượng mạng cao, dữ liệu trao đổi lớn.

Chúng ta có thể khai báo biểu thức cho Capture Filter ở  “Capture > Capture Filters” hoặc khai báo ở phần “…using this filter” khi lựa chọn card mạng:

Wirehark-capture-filter
Khai báo Capture Filter

Wireshark Capture Filter sử dụng cú pháp của Berkeley Packet Filter (BPF):

  • Mỗi filter gọi là một expression.
  • Mỗi expression chứa một hoặc nhiều primitives. Các primitives được kết hợp với nhau bằng các “Logical Operator” như AND (&&), OR (||) và NOT (!) .
  • Mỗi primitives chứa một hoặc nhiều qualifiers, theo sau là một ID name hoặc number. Các BPF Qualifiers bao gồm:
Qualifiers Mô tả Ví dụ
Type Chỉ định ID name hoặc number ta sẽ tham chiếu host, net, port
Dir Chỉ định hướng của dữ liệu (transfer direction) src, dst
Proto Protocol ether, ip, tcp, udp, http, ftp
  • Cú pháp tổng quan: bắt các gói tin gửi đến host 192.168.0.10 và sử dụng giao thức TCP, port 80:
cup-phap-bat-goi-tin
Cú pháp tổng quan để bắt gói tin

Một vài Wireshark Expression tham khảo cho phần Capture Filter:

Expression Ý nghĩa
host 172.18.5.4 Wireshark filter by IP: Bắt gói tin liên quan đến IP 172.18.5.4
src 192.168.0.10 Wireshark filter source IP: Bắt các gói tin có source IP là 192.168.0.10
dst 192.168.0.1 Wireshark filter destination IP: Bắt các gói tin có destination IP là 192.168.0.1
net 192.168.0.0/24
hoặc:
net 192.168.0.0 mask 255.255.255.0
Bắt gói tin liên quan đến subnet 192.168.0.0/24
src net 192.168.0.0/24
hoặc:
src net 192.168.0.0 mask 255.255.255.0
Bắt các gói tin có source IP thuộc subnet 192.168.0.0/24
dst net 192.168.0.0/24
hoặc:
dst net 192.168.0.0 mask 255.255.255.0
Bắt các gói tin có destination IP thuộc subnet 192.168.0.0/24
port 53 Wireshark port filter: Bắt gói tin DNS
port 67 or port 68 Bắt gói tin DHCP
host 192.168.1.1 and not (port 80 or 443)
hoặc:
host 192.168.1.1 and not port 80 and not port 443
Capture tất cả traffic liên quan đến IP 192.168.1.1 nhưng không phải traffic HTTP/HTTPS
(tcp[0:2] > 1500 and tcp[0:2] < 1550) or (tcp[2:2] > 1500 and tcp[2:2] < 1550)
hoặc:
tcp portrange 1501-1549
Capture các packet nằm trong range port từ 1501-1549
ip Wireshark IPv4 filter
ip6 Wireshark IPv6 filter
tcp Bắt gói tin TCP
udp Bắt gói tin UDP
icmp Bắt gói tin ICMP
http Wireshark HTTP filter
https Wireshark HTTPS filter
tcp[13] & 32 == 32 TCP packets với cờ URG được bật
tcp[13] & 16 == 16 TCP packets với cờ ACK được bật
tcp[13] & 8 == 8 TCP packets với cờ PSH được bật
tcp[13] & 4 == 4  TCP packets với cờ RST được bật
tcp[13] & 2 == 2  TCP packets với cờ SYN được bật
tcp[13] & 1 == 1 TCP packets với cờ FIN được bật
icmp[0:2] == 0x0301 ICMP destination unreachable, host unreachable

Display Filter

Display Filter giúp lọc ra những packet thỏa điều kiện trong file capture để thể hiện lên cho người dùng. Display filter chỉ lọc và thể hiện packet thỏa điều kiện chứ không xóa bỏ những packet không thỏa điều kiện, dữ liệu trong file capture hoàn toàn không bị ảnh hưởng.

Sử dụng Display Filter bằng cách nhập biểu thức (expression) vào Filter textbox phía trên phần Packet List. Bạn cũng có thể nhấp vào phần “Expression” để lựa chọn các pre-defined filters có sẵn ứng với từng giao thức.

Wirehark-display-filter
Nhập expression vào Filter textbox

Cú pháp của Wireshark Display Filter phần lớn tuân theo cú pháp: 

protocol.feature.subfeature COMPARISION_OPERATOR value LOGICAL_OPERATOR protocol.feature.subfeature COMPARISION_OPERATOR value

BashCopy

Ví dụ:ip.addr==192.168.0.1 and tcp.flags.syn==1

Trong đó, Comparison Operators bao gồm:

Operator Ý nghĩa
== Bằng (equal to)
!= Không bằng (not equal to)
> Lớn hơn (greater than)
< Nhỏ hơn
>= Lớn hơn hoặc bằng (greater than or equal)
<= Nhỏ hơn hoặc bằng (less than or equal)

Logical Operators bao gồm: 

Operator Ý nghĩa
and tất cả các điều kiện phải được thỏa mãn
or một trong các điều kiện được thoả mãn
xor một và chỉ một điều kiện được thỏa mãn
not không điều kiện nào được phép thảo mãn

Một vài Wireshark Expression tham khảo cho phần Display Filter:

Expression Ý nghĩa
tcp.port eq 25 or icmp Lọc gói tin TCP liên quan port 25 hoặc sử dụng giao thức ICMP
ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16 Lọc traffic trao đổi trong mạng LAN của subnet 192.168.0.0/16
tcp.window_size == 0 && tcp.flags.reset != 1 TCP buffer full và source kết nối báo hiệu cho Destination ngừng gửi dữ liệu
udp contains 81:60:03 UDP packet chứa 3 bytes 81:60:03 ở vị trí bất kỳ trong header hoặc payload
http.request.uri matches “gl=se$” HTTP request có URL tận cùng bằng chuỗi “gl=se”
ip.addr == 192.168.0.1
hoặc:
ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
Wireshark filter by ip: Lọc tất cả traffic liên quan đến IP 192.168.0.1
! ( ip.addr == 192.168.0.1 )
hoặc:
! (ip.src == 192.168.0.1 or ip.dst == 192.168.0.1)
Lọc tất cả traffic KHÔNG liên quan đến IP 192.168.0.1
tcp.flags.syn == 1 Các gói tin TCP có cờ SYN được bật
tcp.flags.syn == 1 && tcp.flags.ack == 1 Các gói tin TCP có cờ SYN/ACK được bật
http.host == “quantrilinux.vn” HTTP request có Host header là “quantrilinux.vn”
http.response.code == 404 Các HTTP request có response status code là 404
smtp || imap || pop Traffic liên quan đến email (SMTP, IMAP, POP)
! tcp.port == 22 Loại bỏ traffic SSH
! arp Loại bỏ traffic ARP
ip.version == 4 Wireshark IPv4 filter: Lọc tất cả các gói tin IP version 4
tcp.srcport == 80 Wireshark port filter: Lọc tất cả gói tin TCP có source port là 80
tcp.port == 80 Lọc tất cả các gói tin có liên quan đến port 80
udp.port == 67 or udp.port == 68 Traffic DHCP
dns Filter traffic liên quan DNS
http Wireshark http filter
https Wireshark https filter
ip.src == 192.168.0.1 Wireshark filter source ip
ip.dst == 192.168.0.1 Wireshark filter destination ip
bộ lọc hiển thị
Ví dụ Display Filter

Ngoài ra, người dùng có thể Click vào Analyze > Display Filters để chọn một filter trong các filter mặc định. Từ đây, ta có thể thêm hoặc custom các filter và lưu chúng để có thể dễ dàng truy cập sau này.

filter-mac-dinh-in-wirehark
Chọn Filter mặc định trong WireShark

Một tính năng hữu ích khác là “Follow TCP stream”, chọn một packet rồi click chuột phải vào packet chọn “Follow > TCP Stream”. Sau đó, một hộp thoại sẽ hiện ra cho thấy dữ liệu trao đổi giữa Client và Server trong luồng tương ứng và các packet liên quan. Ta có thể click vào các giao thức khác trong menu Follow để xem đầy đủ các đoạn hội thoại, nếu có thể.

view-day-du-call-in-display-filter-wirehark
Xem đầy đủ đoạn hội thoại trong Display Filter

Cuối cùng, đóng cửa sổ lại và một filter sẽ được áp dụng tự động. Bây giờ, Wireshark đang hiển thị các packet tạo nên đoạn hội thoại đó.

wireshark-hien-thi-cac-packet
Hiển thị các packet trong đoạn hội thoại

Cách đọc gói tin trong Wireshark

Click vào một packet để chọn nó, sau đó xem thêm chi tiết về nó.

phan-tich-call-in-wireshark
Phân tích chi tiết gói tin

Ở khung cửa sổ Paket List sẽ cung cấp cho chúng ta các thông tin như:

  • No: Số thứ tự của gói tin trong file capture hiện tại.
  • Time: Thời gian tương đối mà gói tin này được bắt, tính từ lúc bắt đầu quá trình bắt gói tin.
  • Source: địa chỉ source IP của kết nối.
  • Destination: địa chỉ destination IP của kết nối.
  • Length: chiều dài của gói tin.
  • Protocol: giao thức của gói tin
  • Info: các thông tin tổng quan liên quan đến gói tin.

Ở khung cửa sổ của Packet Details sẽ cho ta thông tin chi tiết từng Layer của packet như:

  • Frame: Interface
  • Ethernet: Destination, Source, Mac Address
  • Internet: Source IP, Destination IP, TTL, Protocol, Flags, Checksum, Identification, Total Length…
  • TCP/UDP/ICMP: Source Port, Destination Port, Sequence Number, ACK Number, Flags, TCP Options …
  • Application Layer: HTTP, DNS, SMTP…

Chúng ta có thể click vào hình mũi tên ở đầu mỗi dòng để thể hiện thêm thông tin chi tiết.

Ở khung cửa sổ của Packet Bytes thể hiện gói tin ở dạng Hex. Khi chúng ta click chọn 1 trường nào đó ở phần Packet Details, những bytes liên quan đến phần đó sẽ được tô đậm ở phần Packet Bytes tương ứng.

Phân tích gói tin bằng Wireshark

Ta cũng có thể tạo thêm các filter ở đây. Chỉ cần click chuột phải vào một trong số các chi tiết, rồi chọn Apply as Filter để tạo một filter dựa theo đó.

phan-tich-call-in-wireshark
Tạo filter

WireShark nâng cao

Bên cạnh khả năng capture và filter nổi tiếng, còn có một số tính năng Wireshark nâng cao khác biến đây trở thành công cụ lợi hại cho các nhà quản trị mạng và phân tích bảo mật.

Tùy chọn chỉnh màu trong WireShark

Người dùng có thể tô màu cho các packet ở trong Packet List theo Display Filter, nhằm nhấn mạnh các packet cần đánh dấu. Ta cũng có thể thêm vào các quy tắc ở đây để tô màu cho các packet theo chỉ định.

Tuy- Chinh-mau-in-display-filter
Tùy chỉnh màu trong Packet List

Chế độ Promiscuous trong WireShark

Theo mặc định, Wireshark chỉ capture các packet đến và đi từ máy tính mà nó chạy. Tuy nhiên, ta có thể chỉnh chạy ở Promiscuous Mode trong Capture Settings. Khi đó, ngoài việc capture các packet được chỉ định cho nó, máy chạy Wireshark cũng có thể capture được các packet khác không dành cho nó, thay vì loại bỏ chúng.

Wireshark Statistics

Phần menu Statistic cung cấp những thông tin thống kê có giá trị liên quan đến file capture hiện tại như:

  • Capture File Properties: Các thông số tổng quan của file capture
  • Protocol Hierarchy: Tổng quan về protocol
  • Conversation: thông tin về các luồng trao đổi giữa client và server
  • Endpoints: Danh sách những IP tham gia kết nối, số lượng packets và bytes tương ứng.
  • Packet Lengths: Thống kê về chiều dài của các gói tin tham gia kết nối.
  • I/0 Graph: biểu đồ kết nối.
  • Thống kê liên quan đến các giao thức như: HTTP, HTTP2, DNS, DHCP…
  • IPv4/IPv6 Statistics: thống kê về danh sách IP, số lượng packet, tần số kết nối.
Thống kê kết nối IPv4

Wireshark Command Line

Ứng dụng cũng hỗ trợ một Command Line Interface (CLI) nếu hệ điều hành đang sử dụng không có một GUI. Cách kết hợp hiệu quả nhất là dùng CLI để capture, rồi lưu lại bản log để có thể reivew bằng GUI.

Các lệnh trong Wireshark

  • wireshark: chạy trong chế độ GUI
  • wireshark -h: hiển thị tham số command line khả dụng
  • wireshark -a duration:300 -i eth1 -w Wireshark: capture các lưu lượng trên Ethernet interface 1 trong 5 phút (300 giây). -a là tự động (auto) dừng việc capture. -i chỉ định interface sẽ capture

Mục đích sử dụng Wireshark là gì?

“Ta cần phải hiểu những điều bình thường thì mới có thể tìm ra những thứ bất thường”. Có các công cụ để tạo các thống kê cơ bản. Mặc dù đây là một công cụ phân tích giao thức mạng, không phải hệ thống phát hiện xâm nhập (IDS). Nó có thể cực kỳ hữu ích trong việc giảm các lưu lượng độc hại.

Wireshark cũng có thể được sử dụng để chặn và phân tích lưu lượng TLS được mã hóa. Các session key đối xứng được lưu trữ trong trình duyệt. Và với cài đặt trình duyệt thích hợp, quản trị viên có thể load các session key đó và kiểm tra các lưu lượng ở dạng đã được giải mã.

muc-dich-dung-wireshark
Phần mềm hữu ích trong việc giảm các lưu lượng độc hại

Ứng dụng cũng đi kèm với các công cụ đồ họa để hình dung các số liệu thống kê. Điều này giúp bạn dễ dàng phát hiện các xu hướng chung, cảnh báo các phát hiện để quản lý dễ dàng và hiệu quả hơn.

Có rất nhiều cách dùng Wireshark, trong lĩnh vực giáo dục, nó còn là một công cụ học tập rất hiệu quả. Việc sử dụng Wireshark để bắt và đọc gói tin, xem cách các packet di chuyển, thậm chí đào sâu vào các lớp byte, kiểm tra các header của packet – là một cách để học và dạy người khác về Network. Chính vì thế, đây là một phần không thể thiếu trong các chương trình đào tạo hiện nay.

Tài liệu hướng dẫn sử dụng Wireshark

Có rất nhiều tài liệu hướng dẫn và video hướng dẫn cách sử dụng Wireshark cho từng mục đích cụ thể. Nhưng để bạn nắm được những thông tin và cách thức chuẩn hóa hơn. Thì nghĩ  bạn nên bắt đầu tìm hiểu một số tài liệu chính thức trên trang Wikipedia thay vì các tài liệu Wireshark tiếng Việt. Đôi khi các tài liệu Việt Nam dịch chưa chuẩn xác các thuật ngữ chuyên ngành sẽ gây cho bạn nhiều khó khăn hơn.Lời kết

Wireshark là một công cụ phân tích và đánh giá hệ thống mạng cực kì mạnh mẽ. Nếu bạn sử dụng nó với mục đích rõ ràng. Hy vọng bài viết về tài liệu hướng dẫn sử dụng Wireshark toàn tập từ căn bản đến nâng cao này của Vietnix sẽ giúp các bạn sử dụng Wireshark một cách thuần thục và hiệu quả hơn. Nếu có bất kỳ khó khăn hoặc thắc mắc cần hỗ trợ, đừng ngần ngại hãy comment bên dưới để Vietnix hỗ trợ bạn nhé!Nếu bạn có thắc mắc hay có vấn đề cần hỗ trợ, bạn có thể liên hệ trực tiếp với Vietnix thông qua các kênh sau:

  • Hotline: 1800 1093 – 07 088 44444
  • Email: support@vietnix.vn
  • Hoặc chat trực tiếp với Vietnix thông qua biểu tượng Livechat ở góc phải màn hình. Đội ngũ chuyên viên của chúng tôi luôn sẵn sàng tư vấn và hỗ trợ bạn 24/7.

Vietnix hiện đang có chương trình khuyến mãi lớn nhất trong năm, giảm giá Hosting dịch vụ 50%. Đăng ký dùng thử ngay và Vietnix sẽ hoàn tiền 100% nếu quý khách không hài lòng với chất lượng sản phẩm, dịch vụ! WireSharkChia sẻBài viết liên quanKhông có bài viết liên quan

Biến phổ tài liệu

Bảo mật 2-Factor Authentication (2FA) của công nghệ là gì? Cyber ​​Kill Chain là gì? 8 giai đoạn của Cyber ​​Kill ChainMạng SD WAN là gì? Tại sao nên sử dụng SD-WAN? Mã hóa PGP là gì? Hoạt động của PGPARP spoofing là gì? Cách phát ARP spoofingWeb Service là gì? Những lợi ích của Dịch vụ Web Giao thức điểm tới điểm là gì? Các thành phần của Point to Point: cURL là gì? Các lệnh cần biết trong cURL Linux


Video Wireshark là gì – Tất tần tật thông tin về wireshark

Cảm ơn các bạn đã theo dõi bài viết Wireshark là gì – Tất tần tật thông tin về wireshark ! Kỵ Sĩ Rồng hi vọng đã mang đến thông tin hữu ích cho bạn. Xem thêm các bài viết cùng danh mục Thủ thuật máy tính. Mọi ý kiến thắc mắc hãy comment bên dưới, chúng tôi sẽ phản hồi sớm nhất có thể. Nếu thấy hay hãy chia sẻ bài viết này cho nhiều người được biết. Kỵ Sĩ Rồng chúc bạn ngày vui vẻ

Xem thêm:  Windows search là gì - Tất tần tật thông tin về windows search

About kysirong

Check Also

Winlogon.exe là gì – Tất tần tật thông tin về winlogon.exe

Quá trình winlogon.exe là một phần quan trọng của hệ điều hành Windows. Quá trình này …

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *