Cách sử dụng Wireshark để chụp, lọc và kiểm tra gói tin
Wireshark, một công cụ phân tích mạng trước đây được gọi là Ethereal, nắm bắt các gói tin trong thời gian thực và hiển thị chúng ở định dạng con người có thể đọc được. Wireshark bao gồm các bộ lọc, mã hóa màu và các tính năng khác cho phép bạn tìm hiểu sâu về lưu lượng mạng và kiểm tra các gói riêng lẻ.
Hướng dẫn này sẽ giúp bạn bắt kịp tốc độ với những kiến thức cơ bản về nắm bắt gói, lọc và kiểm tra chúng. Bạn có thể sử dụng Wireshark để kiểm tra lưu lượng mạng của một chương trình đáng ngờ, phân tích luồng lưu lượng trên mạng của bạn hoặc khắc phục sự cố mạng.
Bắt Wireshark
Bạn có thể tải xuống Wireshark cho Windows hoặc macOS từ trang web chính thức của nó. Nếu bạn đang sử dụng Linux hoặc một hệ thống giống UNIX khác, bạn có thể sẽ tìm thấy Wireshark trong kho lưu trữ gói của nó. Ví dụ: nếu bạn đang sử dụng Ubuntu, bạn sẽ tìm thấy Wireshark trong Trung tâm phần mềm Ubuntu.
Chỉ là một cảnh báo nhanh: Nhiều tổ chức không cho phép Wireshark và các công cụ tương tự trên mạng của họ. Không sử dụng công cụ này tại nơi làm việc trừ khi bạn được phép.
Nắm bắt các gói tin
Sau khi tải xuống và cài đặt Wireshark, bạn có thể khởi chạy nó và nhấp đúp vào tên của giao diện mạng trong Capture để bắt đầu bắt các gói tin trên giao diện đó. Ví dụ: nếu bạn muốn nắm bắt lưu lượng truy cập trên mạng không dây của mình, hãy nhấp vào giao diện không dây của bạn. Bạn có thể định cấu hình các tính năng nâng cao bằng cách nhấp vào Chụp> Tùy chọn, nhưng điều này hiện không cần thiết.
Ngay sau khi bạn nhấp vào tên của giao diện, bạn sẽ thấy các gói bắt đầu xuất hiện trong thời gian thực. Wireshark bắt từng gói được gửi đến hoặc từ hệ thống của bạn.
Nếu bạn đã bật chế độ quảng bá — chế độ này được bật theo mặc định — bạn cũng sẽ thấy tất cả các gói khác trên mạng thay vì chỉ các gói được gửi tới bộ điều hợp mạng của bạn. Để kiểm tra xem chế độ lăng nhăng có được bật hay không, hãy nhấp vào Chụp> Tùy chọn và xác minh hộp kiểm “Bật chế độ lăng nhăng trên tất cả giao diện” được kích hoạt ở cuối cửa sổ này.
Nhấp vào nút “Dừng” màu đỏ ở gần góc trên cùng bên trái của cửa sổ khi bạn muốn dừng lưu lượng truy cập.
Mã màu
Bạn có thể sẽ thấy các gói được đánh dấu bằng nhiều màu khác nhau. Wireshark sử dụng màu sắc để giúp bạn xác định các loại lưu lượng truy cập trong nháy mắt. Theo mặc định, màu tím nhạt là lưu lượng TCP, màu xanh lam nhạt là lưu lượng UDP và màu đen xác định các gói có lỗi — ví dụ: chúng có thể đã được phân phối không đúng thứ tự.
Để xem chính xác ý nghĩa của mã màu, hãy nhấp vào Xem> Quy tắc tô màu. Bạn cũng có thể tùy chỉnh và sửa đổi các quy tắc tô màu từ đây, nếu bạn muốn.
Chụp mẫu
Nếu không có gì thú vị trên mạng của riêng bạn để kiểm tra, wiki của Wireshark sẽ giúp bạn kiểm tra. Wiki chứa một trang gồm các tệp chụp mẫu mà bạn có thể tải và kiểm tra. Nhấp vào Tệp> Mở trong Wireshark và duyệt tìm tệp đã tải xuống của bạn để mở tệp.
Bạn cũng có thể lưu ảnh chụp của riêng mình trong Wireshark và mở chúng sau. Nhấp vào Tệp> Lưu để lưu các gói đã chụp của bạn.
Lọc gói tin
Nếu bạn đang cố gắng kiểm tra một điều gì đó cụ thể, chẳng hạn như lưu lượng mà một chương trình gửi khi gọi điện về nhà, thì việc này sẽ giúp đóng tất cả các ứng dụng khác đang sử dụng mạng để bạn có thể thu hẹp lưu lượng. Tuy nhiên, bạn có thể sẽ có một lượng lớn các gói tin cần sàng lọc. Đó là nơi các bộ lọc của Wireshark xuất hiện.
Cách cơ bản nhất để áp dụng bộ lọc là nhập bộ lọc đó vào hộp bộ lọc ở đầu cửa sổ và nhấp vào Áp dụng (hoặc nhấn Enter). Ví dụ: nhập “dns” và bạn sẽ chỉ thấy các gói DNS. Khi bạn bắt đầu nhập, Wireshark sẽ giúp bạn tự động hoàn thành bộ lọc của mình.
Bạn cũng có thể nhấp vào Phân tích> Bộ lọc hiển thị để chọn một bộ lọc trong số các bộ lọc mặc định có trong Wireshark. Từ đây, bạn có thể thêm các bộ lọc tùy chỉnh của riêng mình và lưu chúng để dễ dàng truy cập chúng trong tương lai.
Để biết thêm thông tin về ngôn ngữ lọc hiển thị của Wireshark, hãy đọc trang Biểu thức lọc hiển thị tòa nhà trong tài liệu chính thức của Wireshark.
Một điều thú vị khác mà bạn có thể làm là nhấp chuột phải vào một gói và chọn Theo dõi> TCP Stream.
Bạn sẽ thấy toàn bộ cuộc hội thoại TCP giữa máy khách và máy chủ. Bạn cũng có thể nhấp vào các giao thức khác trong menu Theo dõi để xem toàn bộ cuộc hội thoại cho các giao thức khác, nếu có.
Đóng cửa sổ và bạn sẽ thấy một bộ lọc đã được áp dụng tự động. Wireshark đang hiển thị cho bạn các gói tạo nên cuộc trò chuyện.
Kiểm tra gói tin
Nhấp vào một gói để chọn nó và bạn có thể xem chi tiết của nó.
Bạn cũng có thể tạo bộ lọc từ đây - chỉ cần nhấp chuột phải vào một trong các chi tiết và sử dụng menu con Áp dụng làm Bộ lọc để tạo bộ lọc dựa trên bộ lọc đó.
Wireshark là một công cụ cực kỳ mạnh mẽ và hướng dẫn này chỉ là sơ lược về những gì bạn có thể làm với nó. Các chuyên gia sử dụng nó để gỡ lỗi việc triển khai giao thức mạng, kiểm tra các vấn đề bảo mật và kiểm tra nội bộ giao thức mạng.
Bạn có thể tìm thêm thông tin chi tiết trong Hướng dẫn sử dụng Wireshark chính thức và các trang tài liệu khác trên trang web của Wireshark.