Nội dung bài viết
#

Wireshark là gì? Hướng dẫn sử dụng Wireshark cực đơn giản

Nội dung bài viết

    Wireshark là một công cụ rất hữu ích đối với các chuyên gia CNTT cho phép chụp và nắm bắt các gói tin mạng nhanh chóng, hiển thị thông tin chính xác. Các gói tin có thể được phân chia để hỗ trợ thời gian thực thi hay không? Công cụ Wireshark giúp cài đặt các gói lưu lượng mạng hiệu quả như thế nào? Các thông tin chi tiết dưới đây của BKHOST sẽ giúp bạn giải đáp thắc mắc nhanh nhất.

    Wireshark là gì?

    Wireshark la gi

    Wireshark – công cụ phân tích gói mạng với chức năng thu nhận và hiển thị các gói dữ liệu trên internet và bao gồm ba chức năng chính như sau:

    • Packet Capture (chụp gói): Wireshark nắm bắt kết nối mạng tại một thời điểm cụ thể để lấy toàn bộ lưu lượng của nhiều gói dữ liệu.
    • Filtering (Lọc): Wireshark sử dụng bộ lọc để cắt các dữ liệu trực tiếp và cho phép hiển thị một vài thông tin quan trọng.
    • Visualization: Wireshark cho phép đi sâu vào nội bộ để tìm hiểu các giao thức dữ liệu mạng.
    Chup goi tin trong Wireshark
    Chụp gói tin trong Wireshark

    Wireshark được sử dụng để làm gì?

    Wireshark có nhiều công dụng khác nhau như:

    • Hỗ trợ khắc phục các sự cố về hiệu suất mạng.
    • Theo dõi kết nối và lưu lượng mạng.
    • Kiểm tra các vấn đề bảo mật.

    Khi nào nên sử dụng Wireshark?

    Wireshark là một công cụ khắc phục sự cố mạng hiệu quả được tin dùng bởi các doanh nghiệp và tổ chức giáo dục. Hoặc bạn có thể sử dụng Wireshark để theo dõi các giao thức hoạt động của lưu lượng mạng và tìm ra các sự cố nhanh chóng hơn.

    Một số hạn chế của Wireshark:

    • Không phù hợp với người dùng có ít kinh nghiệm về sử dụng giao thức mạng. Cần tìm hiểu về các giao thức hoạt động khác nhau của mạng như TCP, UDP, DHCP, ICMP trước để có thể sử dụng Wireshark dễ dàng hơn.
    • Wireshark không tự động nhận các lưu lượng truy cập từ hệ thống mạng bình thường.
    • Wireshark có khả năng hiển thị gói nhưng không phải là hệ thống phát hiện xâm nhập và không có cảnh báo nào được thực hiện.
    • Wireshark không có khả năng giải quyết các lưu lượng mã hoá.
    • Wireshark thường xuyên giả mạo gói tin IPv4 khiến cho các địa chỉ IP không được hiển thị.

    Các trường hợp sử dụng Wireshark

    Wireshark được sử dụng giúp xác định các sự cố mạng gia đình có kết nối chậm.

    Ví dụ: Dưới đây là lỗi điểm đến không truy cập được trong bộ định tuyến được phát hiện bằng cách đi sâu vào các giao thức kiểm soát gói tin IPv6 (ICMP) được đánh dấu 2 dải màu đen.

    Trong trường hợp này, Wireshark đã giúp xác định các bộ định tuyến bị lỗi và cách khắc phục nhanh nhất là hãy khởi động lại modem cáp.

    Hoặc với các gói tin cụ thể của TCP được đánh dấu bằng dải màu trắng bao gồm bảo mật TLS được đi sâu vào kiểm tra và theo dõi bằng Wireshark. Công cụ này cho phép xác định chính xác hơn các phiên bản tương thích với trình duyệt hiện tại.

    Goi tin trong Wireshark
    Gói tin trong Wireshark

    Wireshark còn có thể xác định các vấn đề mạng phức tạp hơn. Ví dụ: Nếu một hệ thống mạng gặp nhiều sự cố như truyền lại hay tắc nghẽn thường xuyên hãy sử dụng Wireshark để xác định lại các vấn đề lỗi như hình sau:

    So lieu thong ke cua Wireshark
    Số liệu thống kê của Wireshark

    Với phương pháp này, Wireshark cho phép cấu hình lại bộ định tuyến hoặc cải thiện tốc độ lưu lượng mạng.

    Cách sử dụng Wireshark

    Để tải xuống ứng dụng Wireshark mã nguồn mở miễn phí, hãy truy cập link.

    Cách cài đặt Wireshark trên Windows

    Tải xuống và sử dụng phiên bản Wireshark cần tương thích với hệ điều hành hiện tại của bạn. Ví dụ: Với hệ điều hành windows 10 thì sử dụng trình cài đặt Windows 64 bit và làm theo ướng dẫn để cài đặt Wireshark.

    Cách cài đặt Wireshark trên Linux

    Để cài đặt Wireshark trên Linux cần thực hiện các bước sau:

    {{EJS0}}

    Sau đó đăng xuất và đăng lập lại để khởi động Wireshark:

    {{EJS1}}

    Cách nắm bắt các gói tin bằng Wireshark

    Khi phần mềm Wireshark được cài đặt thành công trên máy chủ, nó sẽ thực hiện khả năng lấy lưu lượng mạng. Tuy nhiên Wireshark cần tương thích với tất cả các gói tin để đảm bảo cho việc nắm bắt diễn ra nhanh hơn.

    Đối với Windows, các hành động này được gọi là quyền truy cập của quản trị viên. Còn đối với Linux được gọi là quyền truy cập root.

    Ví dụ:

    Nếu được cấp quyền, hãy truy cập vào Main Windows và chọn Capture -> Options. Sau đó cửa sổ Capture Interfaces sẽ được hiển thị trên màn hình.

    Capture Interfaces trong Wireshark
    Capture Interfaces trong Wireshark

    Trong Capture Interfaces bao gồm tất cả các giao diện có sẵn và một số lựa chọn mà Wireshark đưa ra.

    Tiếp theo lựa chọn mục Ethernet 3 – giao diện thích hợp nhất giúp hiển thị đường di chuyển của các gói mạng. Sau đó nhấn chọn “Start” để bắt đầu chụp và các gói tin sẽ xuất hiện trên màn hình hiển thị:

    Wireshark chup cac goi
    Wireshark chụp các gói

    Sau khi lựa chọn xong các gói, hãy nhấn chọn vào biểu tượng hình vuông màu đỏ trên góc trái màn hình và kiểm tra lại.

    Ý nghĩa của các mã màu trong Wireshark

    Sử dụng Wireshark giúp xác định các loại gói tin bằng cách sử dụng các mã màu.
    Một số mã màu chính như:

    Màu sắc trong WiresharkLoại Gói
    Màu tím nhạtTCP
    Màu xanh nhạtUDP
    Màu đenGói có lỗi
    Màu xanh lá cây nhạtLưu lượng HTTP
    Màu vàng nhạtLưu lượng truy cập của Windows bao gồm SMB và NetBIOS
    Màu vàng đậmRouting
    Màu xám đenLưu lượng truy cập TCP SYN, FIN và ACK

    Để xem danh sách mã màu mặc định, hãy chọn View >> Coloring Rules.

    Quy tac ma mau
    Quy tắc mã màu

    Các mã màu này cho phép người dùng tùy chỉnh theo mong muốn.Nếu không muốn sử dụng màu hãy đi đến View -> Colorize Packet List.

    Ví dụ: Dưới đây là các UDP tiêu chuẩn được gắn màu xanh lam nhạt, TCP gắn màu tím nhạt, TCP gắn màu xám đậm và các lưu lượng định tuyến gắn màu vàng.

    Cac goi mau trong Wireshark
    Các gói màu trong Wireshark

    Các gói tin không bị giới hạn với các mã màu và cho phép Wireshark sử dụng I/O để thống kê toàn bộ quá trình chụp gói.

    Để tìm kiếm biểu đồ trong Wireshark hãy chọn Statistics >> I/O Graph:

    Đo thi luu luong đau vao/đau ra trong Wireshark
    Đồ thị lưu lượng đầu vào/đầu ra trong Wireshark

    Biểu đồ này hiển thị lưu lượng truy cập do nội bộ mạng tạo ra và lưu lượng truy cập đột biến do DDoS tạo ra trên hệ thống Linux.

    Với ba đợt đột biến lưu lượng mạng diễn ra trong biểu đồ trên, Wireshark đã được sử dụng để xác định các lỗi và khắc phục chúng một cách chính xác.

    Ngoài ra, Wireshark còn cho phép theo dõi các lưu lượng truy cập được tạo ra từ nhiều hệ thống khác nhau.

    Để tìm bản tóm tắt về quy trình của các điểm, hãy đi tới Statistics, sau đó chọn Conversations.

    Hoi thoai điem cuoi trong Wireshark
    Hội thoại điểm cuối trong Wireshark

    Wireshark được sử dụng để tìm kiếm các thiết bị cũ trên hệ thống liên lạc MCI chạy trên mạng và loại bỏ chúng để đảm bảo an toàn cho người dùng.

    Với một số kết nối mạng cũng gặp các vấn đề về Amazon và Box.com có thể sử dụng Wireshark để xác định vị trí lưu lượng truy cập nguồn và đích chính xác hơn.

    Hãy nhấn chọn vào biểu tượng bản đồ ở cuối màn hình để hiển thị một bản đồ phỏng đoán vị trí địa chỉ IP đã được xác định.

    Xem uoc tinh đia ly trong Wireshark
    Xem ước tính địa lý trong Wireshark

    Địa chỉ IPv4 không xảy ra các phiên bản giả mạo và thông tin của nó trên bản đồ được hiển thị khá chính xác.

    Những cách lọc và kiểm tra các gói tin trong Wireshark

    Bạn có thể áp dụng bộ lọc Wireshark theo hai cách:

    • Sử dụng cửa sổ Display Filter ở đầu màn hình.
    • Đánh dấu gói bằng cách nhấp vào chuột phải và chọn bộ lọc Wireshark bao gồm các cụm khoá lệnh:
    ip.addrChỉ định địa chỉ IPv4
    ipv6.addrXác định địa chỉ IPv6
    SrcNguồn – nơi gói đến từ
    DstĐiểm đến – nơi gói đang đi

    Hoặc sử dụng các giá trị sau:

    &&Có nghĩa là “và”
    Ví dụ: Chọn địa chỉ IP của 192.168.2.1 và 192.168.2.2
    ==Có nghĩa là “bằng nhau”
    Ví dụ: Chỉ chọn địa chỉ IP 192.168.2.1
    !Có nghĩa là “không”
    Ví dụ: Không hiển thị một địa chỉ IP cụ thể hoặc cổng nguồn

    Ví dụ: Không hiển thị một địa chỉ IP cụ thể hoặc cổng nguồn

    Các quy tắc lọc hợp lệ sẽ được gắn màu xanh lá cây và nếu không hợp lệ sẽ được gắn màu hồng.

    Ví dụ: Để kiểm tra các gói có địa chỉ IP 18.224.161, hãy tạo dòng lệnh trong cửa sổ bộ lọc:

    ip.addr == 18.224.161.65

    Kết quả nhận được sẽ hiển thị trên màn hình dưới đây.

    Ap dung bo loc đe chup trong Wireshark
    Áp dụng bộ lọc để chụp trong Wireshark

    Wireshark cho phép làm nổi bật địa chỉ IP của gói tin bằng cách bấm chuột phải và chọn Apply As Filter.

    Trên màn hình hiển thị một menu với các tùy chọn bổ sung như Selected. Nếu nhấn chọn “Selected” thì Wireshark sẽ tiến hành tạo một bộ lọc hiển thị các gói có địa chỉ IP.

    Hoặc để lọc ra một địa chỉ IP cụ thể, ta sử dụng lệnh:

    !ip.addr==18.224.161.65

    Loc ra mot đia chi IP cu the trong Wireshark
    Lọc ra một địa chỉ IP cụ thể trong Wireshark

    Ngoài địa chỉ IPv4, để xem một máy tính có hoạt động hay không tại địa chỉ IPv6 trên mạng, hãy tạo một bản sao Wireshark bằng cách áp dụng quy tắc:

    ipv6.dst == 2607:f8b0:400a:15::b

    Quy tắc tương tự được thể hiện như sau:

    Ap dung bo loc IPv6 trong Wireshark
    Áp dụng bộ lọc IPv6 trong Wireshark

    Kết quả cho thấy hệ thống hoạt động bình thường và còn nhiều tính năng.

    Các bộ lọc bổ sung bao gồm:

    ip.addrChỉ định địa chỉ IPv4
    ipv6.addrXác định địa chỉ IPv6
    SrcNguồn – nơi gói đến từ
    DstĐiểm đến – nơi gói đang đi

    Hoặc sử dụng các giá trị sau:

    tcp.port==8080Lọc các gói để hiển thị một cổng bất kỳ
    Ví dụ: cổng 8080
    ! (ip.src == 162.248.16.53)Hiển thị tất cả các gói và ngoại trừ 162.248.16.53
    ! (ipv6.dst ==
    2607:f8b0:400a:15:::b)
    Hiển thị tất cả các gói và ngoại trừ các gói đi đến địa chỉ IPv6 của 2607:f8b0:400a:15::b
    ip.addr == 192.168.4.1 &&&
    ip.addr == 192.168.4.2
    Hiển thị cả 192.168.4.1 và 192.168.4.2
    http.requestChỉ hiển thị yêu cầu http – để khắc phục sự cố hoặc trực quan hóa lưu lượng truy cập web

    Bạn muốn tìm hiểu thêm về Wireshark?

    Để tìm hiểu sâu hơn về Wireshark hãy lựa chọn Using Wireshark: A Hands-on Demonstration bao gồm các yêu cầu và hướng dẫn có sẵn.

    Ngoài ra còn có một số tham khảo khác về Wireshark mà bạn xem để nghiên cứu. Hoặc bạn cũng có thể tải xuống “cheat sheet” nhanh chóng ở dạng PDF từ Packetlife.net.

    Tài
    nguyên
    URL
    Trang web Wiresharkwww.Wireshark.org
    Chụp gói mẫu Wiresharkhttps://wiki.Wireshark.org/SampleCaptures
    Gói nắm bắt galore, với sự nhấn mạnh vào bảo mậthttp://www.malware-traffic-analysis.net/
    Chụp gói theo giao thứchttps://www.netresec.com/?page=pcapfiles
    Chụp gói bổ sunghttp://tcpreplay.appneta.com/wiki/captures.html
    Wireshark cheat sheethttp://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf

    Tổng kết về Wireshark

    Wireshark là một công cụ mạnh mẽ hỗ trợ các gói mạng có hiệu suất hoạt động tốt nhất.

    Còn nếu bạn còn thắc mắc thêm về Wireshark hoặc muốn tìm hiểu các công cụ hỗ trợ gói mạng khác ngoài Wireshark, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

    P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.

    Mua Cloud VPS Cao Cấp tại BKHOST

    Giảm giá cực sâu, chất lượng hàng đầu. Đăng ký ngay hôm nay:

    mua vps

    Tôi là Trịnh Duy Thanh, CEO & Founder Công ty Cổ Phần Giải Pháp Mạng Trực Tuyến Việt Nam - BKHOST. Với sứ mệnh mang tới các dịch vụ trên Internet tốt nhất cho các cá nhân và doanh nghiệp trong nước và quốc tế, tôi luôn nỗ lực hết mình nâng cấp đầu tư hệ thống phần cứng, nâng cao chất lượng dịch vụ chăm sóc khách hàng để đem đến những sản phẩm hoàn hảo nhất cho người tiêu dùng. Vì vậy, tôi tin tưởng sẽ đem đến các giải pháp CNTT mới nhất, tối ưu nhất, hiệu quả nhất và chi phí hợp lý nhất cho tất cả các doanh nghiệp.
    Bình luận
    Trượt lên đầu trang
    Miễn phí cước gọi
    Chat ngay qua Zalo
    Chat ngay qua Messenger
    Bạn đã hài lòng với trải nghiệm trên Bkhost.vn?
    Cảm ơn lượt bình chọn của bạn, Chúc bạn 1 ngày tốt lành !