Wireshark là một công cụ rất hữu ích đối với các chuyên gia CNTT cho phép chụp và nắm bắt các gói tin mạng nhanh chóng, hiển thị thông tin chính xác. Các gói tin có thể được phân chia để hỗ trợ thời gian thực thi hay không? Công cụ Wireshark giúp cài đặt các gói lưu lượng mạng hiệu quả như thế nào? Các thông tin chi tiết dưới đây của BKHOST sẽ giúp bạn giải đáp thắc mắc nhanh nhất.
Wireshark là gì?
Wireshark – công cụ phân tích gói mạng với chức năng thu nhận và hiển thị các gói dữ liệu trên internet và bao gồm ba chức năng chính như sau:
- Packet Capture (chụp gói): Wireshark nắm bắt kết nối mạng tại một thời điểm cụ thể để lấy toàn bộ lưu lượng của nhiều gói dữ liệu.
- Filtering (Lọc): Wireshark sử dụng bộ lọc để cắt các dữ liệu trực tiếp và cho phép hiển thị một vài thông tin quan trọng.
- Visualization: Wireshark cho phép đi sâu vào nội bộ để tìm hiểu các giao thức dữ liệu mạng.
Wireshark được sử dụng để làm gì?
Wireshark có nhiều công dụng khác nhau như:
- Hỗ trợ khắc phục các sự cố về hiệu suất mạng.
- Theo dõi kết nối và lưu lượng mạng.
- Kiểm tra các vấn đề bảo mật.
Khi nào nên sử dụng Wireshark?
Wireshark là một công cụ khắc phục sự cố mạng hiệu quả được tin dùng bởi các doanh nghiệp và tổ chức giáo dục. Hoặc bạn có thể sử dụng Wireshark để theo dõi các giao thức hoạt động của lưu lượng mạng và tìm ra các sự cố nhanh chóng hơn.
Một số hạn chế của Wireshark:
- Không phù hợp với người dùng có ít kinh nghiệm về sử dụng giao thức mạng. Cần tìm hiểu về các giao thức hoạt động khác nhau của mạng như TCP, UDP, DHCP, ICMP trước để có thể sử dụng Wireshark dễ dàng hơn.
- Wireshark không tự động nhận các lưu lượng truy cập từ hệ thống mạng bình thường.
- Wireshark có khả năng hiển thị gói nhưng không phải là hệ thống phát hiện xâm nhập và không có cảnh báo nào được thực hiện.
- Wireshark không có khả năng giải quyết các lưu lượng mã hoá.
- Wireshark thường xuyên giả mạo gói tin IPv4 khiến cho các địa chỉ IP không được hiển thị.
Các trường hợp sử dụng Wireshark
Wireshark được sử dụng giúp xác định các sự cố mạng gia đình có kết nối chậm.
Ví dụ: Dưới đây là lỗi điểm đến không truy cập được trong bộ định tuyến được phát hiện bằng cách đi sâu vào các giao thức kiểm soát gói tin IPv6 (ICMP) được đánh dấu 2 dải màu đen.
Trong trường hợp này, Wireshark đã giúp xác định các bộ định tuyến bị lỗi và cách khắc phục nhanh nhất là hãy khởi động lại modem cáp.
Hoặc với các gói tin cụ thể của TCP được đánh dấu bằng dải màu trắng bao gồm bảo mật TLS được đi sâu vào kiểm tra và theo dõi bằng Wireshark. Công cụ này cho phép xác định chính xác hơn các phiên bản tương thích với trình duyệt hiện tại.
Wireshark còn có thể xác định các vấn đề mạng phức tạp hơn. Ví dụ: Nếu một hệ thống mạng gặp nhiều sự cố như truyền lại hay tắc nghẽn thường xuyên hãy sử dụng Wireshark để xác định lại các vấn đề lỗi như hình sau:
Với phương pháp này, Wireshark cho phép cấu hình lại bộ định tuyến hoặc cải thiện tốc độ lưu lượng mạng.
Cách sử dụng Wireshark
Để tải xuống ứng dụng Wireshark mã nguồn mở miễn phí, hãy truy cập link.
Cách cài đặt Wireshark trên Windows
Tải xuống và sử dụng phiên bản Wireshark cần tương thích với hệ điều hành hiện tại của bạn. Ví dụ: Với hệ điều hành windows 10 thì sử dụng trình cài đặt Windows 64 bit và làm theo ướng dẫn để cài đặt Wireshark.
Cách cài đặt Wireshark trên Linux
Để cài đặt Wireshark trên Linux cần thực hiện các bước sau:
{{EJS0}}
Sau đó đăng xuất và đăng lập lại để khởi động Wireshark:
{{EJS1}}
Cách nắm bắt các gói tin bằng Wireshark
Khi phần mềm Wireshark được cài đặt thành công trên máy chủ, nó sẽ thực hiện khả năng lấy lưu lượng mạng. Tuy nhiên Wireshark cần tương thích với tất cả các gói tin để đảm bảo cho việc nắm bắt diễn ra nhanh hơn.
Đối với Windows, các hành động này được gọi là quyền truy cập của quản trị viên. Còn đối với Linux được gọi là quyền truy cập root.
Ví dụ:
Nếu được cấp quyền, hãy truy cập vào Main Windows và chọn Capture -> Options. Sau đó cửa sổ Capture Interfaces sẽ được hiển thị trên màn hình.
Trong Capture Interfaces bao gồm tất cả các giao diện có sẵn và một số lựa chọn mà Wireshark đưa ra.
Tiếp theo lựa chọn mục Ethernet 3 – giao diện thích hợp nhất giúp hiển thị đường di chuyển của các gói mạng. Sau đó nhấn chọn “Start” để bắt đầu chụp và các gói tin sẽ xuất hiện trên màn hình hiển thị:
Sau khi lựa chọn xong các gói, hãy nhấn chọn vào biểu tượng hình vuông màu đỏ trên góc trái màn hình và kiểm tra lại.
Ý nghĩa của các mã màu trong Wireshark
Sử dụng Wireshark giúp xác định các loại gói tin bằng cách sử dụng các mã màu.
Một số mã màu chính như:
Màu sắc trong Wireshark | Loại Gói |
Màu tím nhạt | TCP |
Màu xanh nhạt | UDP |
Màu đen | Gói có lỗi |
Màu xanh lá cây nhạt | Lưu lượng HTTP |
Màu vàng nhạt | Lưu lượng truy cập của Windows bao gồm SMB và NetBIOS |
Màu vàng đậm | Routing |
Màu xám đen | Lưu lượng truy cập TCP SYN, FIN và ACK |
Để xem danh sách mã màu mặc định, hãy chọn View >> Coloring Rules.
Các mã màu này cho phép người dùng tùy chỉnh theo mong muốn.Nếu không muốn sử dụng màu hãy đi đến View -> Colorize Packet List.
Ví dụ: Dưới đây là các UDP tiêu chuẩn được gắn màu xanh lam nhạt, TCP gắn màu tím nhạt, TCP gắn màu xám đậm và các lưu lượng định tuyến gắn màu vàng.
Các gói tin không bị giới hạn với các mã màu và cho phép Wireshark sử dụng I/O để thống kê toàn bộ quá trình chụp gói.
Để tìm kiếm biểu đồ trong Wireshark hãy chọn Statistics >> I/O Graph:
Biểu đồ này hiển thị lưu lượng truy cập do nội bộ mạng tạo ra và lưu lượng truy cập đột biến do DDoS tạo ra trên hệ thống Linux.
Với ba đợt đột biến lưu lượng mạng diễn ra trong biểu đồ trên, Wireshark đã được sử dụng để xác định các lỗi và khắc phục chúng một cách chính xác.
Ngoài ra, Wireshark còn cho phép theo dõi các lưu lượng truy cập được tạo ra từ nhiều hệ thống khác nhau.
Để tìm bản tóm tắt về quy trình của các điểm, hãy đi tới Statistics, sau đó chọn Conversations.
Wireshark được sử dụng để tìm kiếm các thiết bị cũ trên hệ thống liên lạc MCI chạy trên mạng và loại bỏ chúng để đảm bảo an toàn cho người dùng.
Với một số kết nối mạng cũng gặp các vấn đề về Amazon và Box.com có thể sử dụng Wireshark để xác định vị trí lưu lượng truy cập nguồn và đích chính xác hơn.
Hãy nhấn chọn vào biểu tượng bản đồ ở cuối màn hình để hiển thị một bản đồ phỏng đoán vị trí địa chỉ IP đã được xác định.
Địa chỉ IPv4 không xảy ra các phiên bản giả mạo và thông tin của nó trên bản đồ được hiển thị khá chính xác.
Những cách lọc và kiểm tra các gói tin trong Wireshark
Bạn có thể áp dụng bộ lọc Wireshark theo hai cách:
- Sử dụng cửa sổ Display Filter ở đầu màn hình.
- Đánh dấu gói bằng cách nhấp vào chuột phải và chọn bộ lọc Wireshark bao gồm các cụm khoá lệnh:
ip.addr | Chỉ định địa chỉ IPv4 |
ipv6.addr | Xác định địa chỉ IPv6 |
Src | Nguồn – nơi gói đến từ |
Dst | Điểm đến – nơi gói đang đi |
Hoặc sử dụng các giá trị sau:
&& | Có nghĩa là “và” Ví dụ: Chọn địa chỉ IP của 192.168.2.1 và 192.168.2.2 |
== | Có nghĩa là “bằng nhau” Ví dụ: Chỉ chọn địa chỉ IP 192.168.2.1 |
! | Có nghĩa là “không” Ví dụ: Không hiển thị một địa chỉ IP cụ thể hoặc cổng nguồn |
Ví dụ: Không hiển thị một địa chỉ IP cụ thể hoặc cổng nguồn
Các quy tắc lọc hợp lệ sẽ được gắn màu xanh lá cây và nếu không hợp lệ sẽ được gắn màu hồng.
Ví dụ: Để kiểm tra các gói có địa chỉ IP 18.224.161, hãy tạo dòng lệnh trong cửa sổ bộ lọc:
ip.addr == 18.224.161.65
Kết quả nhận được sẽ hiển thị trên màn hình dưới đây.
Wireshark cho phép làm nổi bật địa chỉ IP của gói tin bằng cách bấm chuột phải và chọn Apply As Filter.
Trên màn hình hiển thị một menu với các tùy chọn bổ sung như Selected. Nếu nhấn chọn “Selected” thì Wireshark sẽ tiến hành tạo một bộ lọc hiển thị các gói có địa chỉ IP.
Hoặc để lọc ra một địa chỉ IP cụ thể, ta sử dụng lệnh:
!ip.addr==18.224.161.65
Ngoài địa chỉ IPv4, để xem một máy tính có hoạt động hay không tại địa chỉ IPv6 trên mạng, hãy tạo một bản sao Wireshark bằng cách áp dụng quy tắc:
ipv6.dst == 2607:f8b0:400a:15::b
Quy tắc tương tự được thể hiện như sau:
Kết quả cho thấy hệ thống hoạt động bình thường và còn nhiều tính năng.
Các bộ lọc bổ sung bao gồm:
ip.addr | Chỉ định địa chỉ IPv4 |
ipv6.addr | Xác định địa chỉ IPv6 |
Src | Nguồn – nơi gói đến từ |
Dst | Điểm đến – nơi gói đang đi |
Hoặc sử dụng các giá trị sau:
tcp.port==8080 | Lọc các gói để hiển thị một cổng bất kỳ Ví dụ: cổng 8080 |
! (ip.src == 162.248.16.53) | Hiển thị tất cả các gói và ngoại trừ 162.248.16.53 |
! (ipv6.dst == 2607:f8b0:400a:15:::b) | Hiển thị tất cả các gói và ngoại trừ các gói đi đến địa chỉ IPv6 của 2607:f8b0:400a:15::b |
ip.addr == 192.168.4.1 &&& ip.addr == 192.168.4.2 | Hiển thị cả 192.168.4.1 và 192.168.4.2 |
http.request | Chỉ hiển thị yêu cầu http – để khắc phục sự cố hoặc trực quan hóa lưu lượng truy cập web |
Bạn muốn tìm hiểu thêm về Wireshark?
Để tìm hiểu sâu hơn về Wireshark hãy lựa chọn Using Wireshark: A Hands-on Demonstration bao gồm các yêu cầu và hướng dẫn có sẵn.
Ngoài ra còn có một số tham khảo khác về Wireshark mà bạn xem để nghiên cứu. Hoặc bạn cũng có thể tải xuống “cheat sheet” nhanh chóng ở dạng PDF từ Packetlife.net.
Tài nguyên | URL |
Trang web Wireshark | www.Wireshark.org |
Chụp gói mẫu Wireshark | https://wiki.Wireshark.org/SampleCaptures |
Gói nắm bắt galore, với sự nhấn mạnh vào bảo mật | http://www.malware-traffic-analysis.net/ |
Chụp gói theo giao thức | https://www.netresec.com/?page=pcapfiles |
Chụp gói bổ sung | http://tcpreplay.appneta.com/wiki/captures.html |
Wireshark cheat sheet | http://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf |
Tổng kết về Wireshark
Wireshark là một công cụ mạnh mẽ hỗ trợ các gói mạng có hiệu suất hoạt động tốt nhất.
Còn nếu bạn còn thắc mắc thêm về Wireshark hoặc muốn tìm hiểu các công cụ hỗ trợ gói mạng khác ngoài Wireshark, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.
P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.