Đối với người quan tâm đến an ninh mạng hay có kiến thức về mạng máy tính thì chắc không còn xa lạ với phần mềm Wireshark. Wireshark được sử dụng để phân tích mạng (network packet analyzer). Công dụng của ứng dụng này là dùng để bắt, phân tích và xác định các vấn đề có liên quan đến network bao gồm: kết nối chậm, rớt gói tin hoặc các truy cập bất thường.
I. Cài đặt Wireshark
Bạn có thể tải xuống bản phát hành chính thức tại https://www.wireshark.org/download.html. Ở đây bạn hãy chọn phiên bản tương ứng với máy của mình và tải xuống.
II. Giới thiệu về giao diện
Bây giờ bạn đã cài đặt Wireshark, tiếp theo chúng ta sẽ khám phá về giao diện của Wireshark. Hình bên dưới hiển thị giao diện người dùng của Wireshark như bạn thường thấy sau khi một số gói tin được bắt hoặc tải xuống (cách thực hiện sẽ được mô tả sau). Giao diện người dùng của Wireshark Cửa sổ chính của Wireshark bao gồm các phần thường được biết đến từ nhiều chương trình GUI khác. Menu chính chứa các mục sau
Menu chính của Wireshark
Menu này chứa các mục open và merge capture files, save, print, export capture files và quit.
Menu này chứa các mục find a packet, time reference hoặc đánh dấu một hoặc nhiều gói tin, xử lý các cấu hình và đặt tùy chọn của bạn.
Menu này chứa các mục để chuyển đến một gói cụ thể như: Back, Forward , Go to Packet
Menu này cho phép bạn bắt đầu và dừng bắt gói tin và chỉnh sửa các bộ lọc.
Menu này chứa các mục để thao tác các bộ lọc, bật hoặc tắt phân tích các giao thức, giải mã và theo dõi luồng.
Menu này sẽ hiển thị các cửa sổ thống kê khác nhau bao gồm tóm tắt các gói đã được thu thập, hiển thị thống kê phân cấp giao thức và nhiều công dụng khác.
Menu này chứa các mục để hiển thị các thống kê mạng liên quan đến điện thoại.
Menu này chứa các mục để hiển thị thống kê không dây Bluetooth và IEEE 802.11
Menu này chứa các công cụ khác nhau có sẵn trong Wireshark, chẳng hạn như tạo Quy tắc ACL tường lửa.
Menu này chứa các mục để giúp người dùng, chẳng hạn như truy cập vào một số trợ giúp cơ bản, các trang hướng dẫn sử dụng các công cụ dòng lệnh khác nhau, truy cập trực tuyến vào một số trang web và hộp thoại giới thiệu thông thường. Thanh công cụ chính cho phép truy cập nhanh vào các mục thường dùng từ menu. Thanh công cụ bộ lọc cho phép người dùng đặt bộ lọc hiển thị để lọc gói nào được hiển thị. Ngăn danh sách gói hiển thị một bản tóm tắt của mỗi gói tin được thu thập. Bằng cách nhấp vào các gói trong ngăn này, bạn kiểm soát những gì được hiển thị trong hai ngăn còn lại. (Packet List) Ngăn chi tiết hiển thị chi tiết hơn về gói được chọn trong ngăn danh sách gói. Ngăn này hiển thị các giao thức và trường giao thức của gói được chọn. (Packet Details) Ngăn byte hiển thị dữ liệu từ gói tin được chọn trong Packet List và đánh dấu trường được chọn trong Packet Details và hiển thị dưới dạng hexdump. (Packet Bytes) Ngăn Packet Diagram hiển thị gói được chọn trong Packet List dưới dạng sơ đồ kiểu sách giáo khoa. Thanh trạng thái hiển thị một số thông tin chi tiết về trạng thái chương trình hiện tại và dữ liệu đã thu thập. (The Statusbar)
III. Cách sử dụng Wireshark cơ bản
A. Cách bắt các gói tin trực tiếp trong Wireshark
Khi bạn mở Wireshark mà không bắt đầu bắt gói tin hoặc mở tệp, nó sẽ hiển thị “Màn hình chào mừng”, liệt kê mọi tệp đã mở gần đây và các giao diện bắt gói tin có sẵn. Hoạt động mạng cho mỗi giao diện sẽ được hiển thị trong một đường gấp khúc bên cạnh tên giao diện. Bạn có thể chọn nhiều hơn một giao diện và bắt đồng thời nhiều hoạt động mạng. Bạn có thể bấm vào phần bánh răng ở phần thanh công cụ chính để cài đặt Input, Output của các hoạt động mạng.
Để bắt đầu capture chúng ta có những cách sau:
- Bạn có thể nhấp đúp vào một trong những hoạt động mạng trên màn. hình chào mừng .
- Bạn có thể chọn một trong những hoạt động mạng trên màn hình chào mừng , sau đó chọn Capture → Start hoặc nhấp vào nút trên thanh công cụ chính.
B. Cách xem các gói tin trong Wireshark
Khi bạn đã bắt một số gói hoặc bạn đã mở tệp capture đã lưu trước đó, bạn có thể xem các gói được hiển thị trong Packet List bằng cách chỉ cần nhấp vào một gói trong Packet List, thao tác này sẽ hiển thị gói đã chọn trong Packet Details và Packet Bytes. Sau đó, bạn có thể mở rộng bất kỳ phần nào của Packet Details để xem thông tin chi tiết về từng giao thức trong mỗi gói. Nhấp vào một mục trong Packet Details sẽ làm nổi bật các byte tương ứng trong chế độ xem byte. Ví dụ về gói TCP được chọn được hiển thị trong hình. Nó cũng có số Acknowledgment trong tiêu đề TCP được chọn, hiển thị trong dạng xem byte dưới dạng các byte đã chọn.
C. Cách lọc các gói tin trong Wireshark
Wireshark có hai kiểu lọc là: Capture Filters và Display Filters .
Capture Filter được sử dụng để lọc khi bắt gói tin từ các hoạt động mạng
Display Filters cho phép bạn tập trung vào các gói tin mà bạn quan tâm trong khi ẩn những gói bạn không quan tâm. Chúng cho phép bạn chỉ hiển thị các gói dựa trên:
- Giao thức
- Sự hiện diện của một trường (The presence of a field)
- Giá trị của các trường (The values of fields)
- So sánh giữa các trường (A comparison between fields) … và nhiều hơn nữa!
Để chỉ hiển thị các gói tin chứa một giao thức cụ thể, hãy nhập tên giao thức đó vào thanh công cụ display filter của cửa sổ Wireshark và nhấn enter để áp dụng bộ lọc. Hình dưới cho thấy một ví dụ về những gì sẽ xảy ra khi bạn nhập “udp” vào thanh công cụ display filter.
-
Wireshark cung cấp ngôn ngữ display filter cho phép bạn kiểm soát chính xác gói nào được hiển thị. Chúng có thể được sử dụng để kiểm tra sự hiện diện của một giao thức hoặc field, giá trị của field hoặc thậm chí so sánh hai fields với nhau. Các phép so sánh này có thể được kết hợp với các toán tử logic, như "and" và "or", và dấu ngoặc đơn thành các biểu thức phức tạp.
- Bạn có thể tạo display filter so sánh các giá trị bằng cách sử dụng một số toán tử so sánh khác nhau. Ví dụ: để chỉ hiển thị các gói đến hoặc đi từ địa chỉ IP 192.168.1.102, hãy sử dụng ip.addr == 192.168.1.102
- Bạn có thể tham khảo những cú pháp để sử dụng display filter hiệu quả hơn tại bảng cheat sheet bên dưới.