Wireshark là gì?
Wireshark là một bộ phân tích gói trực tuyến (community packet analyzer). Một community packet analyzer sẽ cố gắng nắm bắt các community packets và cố gắng hiển thị dữ liệu gói đó càng chi tiết càng tốt.
Một community packet analyzer được sử dụng như một thiết bị đo lường, sử dụng để kiểm tra những gì đang xảy ra bên trong cáp trực tuyến (community cable), không khác gì tính năng của một vôn kế được thợ điện sử dụng để kiểm tra những gì đang xảy ra bên trong cáp điện.
Trước đó, các phần mềm này thường hoặc là rất tốn kém, hoặc độc quyền, hoặc cả hai. Tất nhiên, với sự ra đời của Wireshark, tất cả những điều đó đã thay đổi. Theo Bizfly Cloud, Wireshark có lẽ là một trong những máy phân tích gói mã nguồn mở tốt nhất hiện nay (open supply packet analyzer).
Wireshark có lẽ là một trong những máy phân tích gói mã nguồn mở tốt
Wireshark sử dụng để làm gì?
Sử dụng Wireshark nhằm các mục tiêu sau:
- Community directors sử dụng Wireshark để khắc phục sự cố trực tuyến.
- Các kỹ sư Community safety sử dụng Wireshark để kiểm tra các vấn đề bảo mật.
- Các kỹ sư QA sử dụng Wireshark để xác minh các community functions.
- Các builders sử dụng Wireshark để gỡ lỗi triển khai giao thức.
- Mọi người sử dụng Wireshark để học internals giao thức trực tuyến.
Không chỉ các tình huống trên, Wireshark cũng có thể hữu ích trong nhiều tình huống khác nữa.
>> Có thể bạn quan tâm: 6 phần mềm khắc phục sự cố trực tuyến mà bạn nên biết
Tính năng
- Có sẵn cho UNIX và Home windows.
- Chụp dữ liệu gói trực tiếp từ giao diện trực tuyến.
- Mở các tệp có chứa dữ liệu gói được bắt bằng tcpdump/ WinDump, Wireshark và một số chương trình packet seize khác.
- Nhập các gói từ các tệp văn bản có chứa các hex dumps của packet information.
- Hiển thị các gói với thông tin giao thức rất chi tiết.
- Lưu dữ liệu gói bị bắt.
- Xuất một số hoặc tất cả các gói trong một số định dạng seize file.
- Lọc các gói tin trên nhiều tiêu chí.
- Tìm kiếm các gói trên nhiều tiêu chí.
- Colorize gói hiển thị dựa trên bộ lọc.
- Tạo các số liệu thống kê khác nhau.
Hình dưới đây cho thấy Wireshark đã bắt giữ một số gói và chờ bạn kiểm tra chúng.
Bắt gói tin từ nhiều phương tiện trực tuyến khác nhau
Wireshark có thể nắm bắt lưu lượng truy cập từ nhiều loại phương tiện trực tuyến khác nhau, bao gồm cả trực tuyến LAN không dây. Loại phương tiện nào được support sẽ phụ thuộc vào nhiều yếu tố như hệ điều hành bạn đang sử dụng. Bạn có thể tìm thấy tổng quan về các loại phương tiện được support tại https://wiki.wireshark.org/CaptureSetup/NetworkMedia.
Nhập tệp từ nhiều chương trình chụp khác
Wireshark có thể mở các gói tin được chụp từ một số lượng lớn các chương trình chụp khác.
Xuất tệp cho nhiều chương trình chụp khác
Wireshark có thể lưu các gói tin được chụp trong một số lượng lớn các định dạng của các chương trình chụp khác.
Nhiều protocol dissectors
Có khá nhiều các bộ phân tách giao thức (hoặc bộ giải mã) cho một giao thức tuyệt vời.
Phần mềm mã nguồn mở
Wireshark là một dự án phần mềm mã nguồn mở, và được phát hành theo GNU Normal Public License (GPL). Bạn có thể tự do sử dụng Wireshark trên bất kỳ số lượng máy tính nào mà không phải sợ về các license keys hoặc các khoản ngân sách phát sinh. Ngoài ra, tất cả các mã nguồn đều có sẵn miễn phí theo GPL, do đó, rất dễ dàng để thêm giao thức mới vào Wireshark, hoặc là plugin, hoặc được tích hợp vào nguồn.
>> Tham khảo thêm: Open-source Software program là gì, bạn đã biết chưa?
Wireshark
Wireshark không phải là một nền móng phát hiện xâm nhập. Nó sẽ không cảnh báo khi ai đó làm những điều không được phép trên mạng. Tất nhiên, nếu có gì đó không ổn, Wireshark có thể cho bạn biết những gì đang diễn ra.
Wireshark sẽ không thao túng mọi thứ trên mạng, nó sẽ chỉ thực hiện việc “đo”. Wireshark không gửi các gói trên mạng hoặc thực hiện các hoạt động khác (ngoại trừ title resolutions).
Phương pháp obtain Wireshark
Bạn có thể tải xuống Wireshark cho Home windows hoặc macOS từ trang net chính thức. Nếu bạn đang sử dụng Linux hoặc một nền móng giống UNIX khác, có thể bạn sẽ tìm thấy Wireshark trong kho lưu trữ gói. Ví dụ: nếu bạn đang sử dụng Ubuntu, bạn sẽ tìm thấy Wireshark trong Ubuntu Software program Middle.
Note: Nhiều tổ chức không cho phép Wireshark và các phần mềm tương tự trên mạng của họ. Không sử dụng phần mềm này tại nơi làm việc trừ khi bạn được phép.
Chụp các gói tin bằng Wireshark
Sau khi tải xuống và cài đặt Wireshark, bạn có thể khởi chạy nó và nhấp đúp vào tên của một giao diện trực tuyến trong Seize để khởi đầu chụp các gói trên giao diện đó. Ví dụ: nếu bạn muốn ghi lại lưu lượng truy cập trên mạng không dây của mình, hãy nhấp vào giao diện không dây. Bạn có thể cấu hình các tính năng nâng cao bằng hướng dẫn nhấp vào Seize > Choices, nhưng điều này chưa quan trọng ngay hiện giờ.
Ngay khi bạn nhấp vào tên của giao diện, bạn sẽ thấy các gói khởi đầu xuất hiện trong thời gian thực. Wireshark chụp mỗi gói được gửi đến hoặc từ nền móng của bạn.
Nếu bạn đã bật chế độ promiscuous — chế độ này được bật theo mặc định — bạn cũng sẽ thấy tất cả các gói khác trên mạng thay vì chỉ các gói được gửi tới bộ điều hợp trực tuyến của bạn. Để kiểm tra xem chế độ promiscuous có được kích hoạt hay không, nhấn Seize > Choices và kiểm tra hộp kiểm “Allow promiscuous mode on toàn bộ interfaces” được kích hoạt ở dưới cùng của cửa sổ này.
Nhấp vào nút “Cease” màu đỏ gần góc trên cùng bên trái của cửa sổ khi bạn muốn dừng capturing visitors.
Coloration Coding
Bạn sẽ thấy các gói được đánh dấu bằng nhiều màu khác nhau. Wireshark sử dụng màu sắc để giúp bạn xác định các loại lưu lượng truy cập trong nháy mắt. Theo mặc định, màu tím nhạt là lưu lượng TCP, màu xanh dương nhạt là lưu lượng UDP và màu đen nhận dạng các gói có lỗi — ví dụ, chúng có thể được phân phối theo thứ tự.
Để xem chuẩn xác ý nghĩa của các mã màu, hãy nhấp vào View > Coloring Guidelines. Bạn cũng có thể tùy chỉnh và sửa đổi các quy tắc tô màu từ đây, nếu bạn muốn.
Phương pháp lưu và mở gói tin trong Wireshark
Nếu không có gì bất thường, wiki của Wireshark đã được cowl. Wiki chứa một trang các tệp tin mẫu mà bạn có thể tải và kiểm tra. Nhấp vào File > Open trong Wireshark và duyệt tìm tệp đã tải xuống của bạn để mở tệp.
Bạn cũng có thể lưu ảnh chụp của riêng bạn trong Wireshark và mở chúng sau này. Nhấp vào File > Save để lưu các gói đã chụp của bạn.
Phương pháp lọc các gói tin trong Wireshark
Nếu bạn đang cố gắng kiểm tra một hướng dẫn chi tiết cụ thể, chẳng hạn như lưu lượng truy cập mà chương trình gửi khi gọi điện về nhà, chương trình sẽ giúp đóng tất cả các ứng dụng khác bằng trực tuyến để bạn có thể thu hẹp lưu lượng truy cập. Tất nhiên, bạn sẽ có một lượng lớn các gói dữ liệu để sàng lọc. Đó là nơi các bộ lọc của Wireshark xuất hiện.
Phương pháp cơ bản nhất để vận dụng bộ lọc là nhập nó vào hộp bộ lọc ở đầu cửa sổ và nhấp vào Apply (hoặc nhấn Enter). Ví dụ: nhập “dns” và bạn sẽ chỉ thấy các gói DNS. Khi bạn khởi đầu nhập, Wireshark sẽ giúp bạn tự động hoàn thiện bộ lọc của mình.
>> Tìm hiểu thêm: DNS Server là gì? Tác dụng của DNS Server?
Bạn cũng có thể nhấp vào Analyze > Show Filters để chọn bộ lọc trong số các bộ lọc mặc định có trong Wireshark. Từ đây, bạn có thể thêm bộ lọc tùy chỉnh của riêng mình và lưu chúng để dễ dàng truy cập chúng trong tương lai.
Một điều thú vị khác bạn có thể làm là nhấp chuột phải vào một gói và chọn Comply with > TCP Stream.
Bạn sẽ thấy cuộc hội thoại TCP đầy đủ giữa máy khách và máy chủ. Bạn cũng có thể nhấp vào các giao thức khác trong trình đơn Theo dõi để xem các cuộc hội thoại đầy đủ cho các giao thức khác, nếu có.
Đóng cửa sổ và bạn sẽ thấy một bộ lọc đã được vận dụng tự động. Wireshark hiển thị cho bạn các gói tạo nên cuộc trò chuyện.
Kiểm tra gói
Nhấp vào một gói để chọn và bạn có thể xem chi tiết của nó.
Bạn cũng có thể tạo bộ lọc từ đây – chỉ cần nhấp chuột phải vào một trong các chi tiết và sử dụng thực đơn con Apply as Filter để tạo bộ lọc dựa trên bộ lọc đó.
Wireshark là một phần mềm cực kỳ mạnh mẽ, và hướng dẫn này chỉ mới mô tả được phần nhỏ công dụng của Wireshark. Các chuyên gia sử dụng nó để gỡ lỗi triển khai giao thức trực tuyến, kiểm tra các vấn đề bảo mật và kiểm tra các giao thức trực tuyến nội bộ.
Theo Bizfly Cloud share
>> Có thể bạn quan tâm: Sniffer là gì? Các phần mềm Packet Sniffer phổ biến