Tài liệu hướng dẫn sử dụng Wireshark – Techrum.info

Wireshark là phần mềm bắt gói tin được sử dụng để giám sát, theo dõi và phân tích traffic Network. Trong bài viết ngày hôm nay, chúng tôi sẽ cập nhật tài liệu hướng dẫn sử dụng Wireshark từ cơ bản đến nâng cao. Mời các bạn cùng theo dõi chi tiết!

Xem thêm: 10+ phần mềm hack pass wifi cho PC và điện thoại tốt nhất

Tải tài liệu hướng dẫn sử dụng Wireshark

Download tài liệu hướng dẫn sử dụng Wireshark: Tại đây

Wireshark là gì?

Đây là phần mềm dùng để bắt (capture), phân tích và xác định một số vấn đề liên quan đến network như: kết nối chậm, rớt gói tin, truy cập bất thường. Wireshark cho phép quản trị viên hiểu sâu hơn về Network Packets đang chạy trên hệ thống từ đó xác định dễ dàng các nguyên nhân gây ra lỗi.

Phần mềm này được viết bằng ngôn ngữ C và hệ điều hành Cross-platform. Bên cạnh đó, nó còn có các bản phân lối Windows, Linux, NetBSD, FreeBSD, OS X, OpenBSD. Đây là phần mềm mã nguồn mở, được sử dụng miễn phí và tự do chia sẻ, chỉnh sửa.

Cơ chế hoạt động của Wireshark

Wireshark là ứng dụng dùng để capture và phân tích packet. Nó bắt các lưu lượng mạng trên cục bộ rồi lưu trữ để phân tích offline. Phần mềm này có thể bắt các lưu lượng mạng từ kết nối Token Ring, Ethernet, Wireless, Bluetooth, Frame Relay,,,,,,

Phần mềm cho phép người dùng thiết lập bộ lọc trước khi bắt đầu capture. Từ đó giúp bạn trong quá trình theo dõi mạng có thể thu hẹp phạm vi tìm kiếm.

Tính năng nổi bật của Wireshark

Với khối lượng lưu lượng khổng lồ truyền hệ thống mạng, các công cụ của phần mềm này giúp lọc các lưu lượng và tiến hành phân tích chúng. Bộ capture filter chỉ thu thập các loại lưu lượng truy cập mà bạn quan tâm. Sau đó hiển thị chi tiết lưu lượng bạn muốn kiểm tra.

Dưới đây là một số tính năng nổi bật của Wireshark:

• Live capture và phân tích offline.
• Phân tích hàng trăm giao thức và cập nhật liên tục.
• Display filter mạnh mẽ.
• Hoạt động trên đa nền tảng: OpenBSD, Linux, Windows, FreeBSD, MacOS,….
• Capture dữ liệu từ FDDI, Frame Relay, ATM, Ethernet, Token Ring, Bluetooth,….
• Output có thể export sang CSV, XML hoặc Plain text.
• Coloring rules cho phép thiết lập màu sắc cho packet giúp phân tích nhanh, hiệu quả.

Hướng dẫn sử dụng Wireshark

Dưới đây là hướng dẫn cách sử dụng Wireshark mà các bạn có thể tham khảo:

Dùng Wireshark để bắt gói tin

Sau khi cài đặt, bạn khởi động phần mềm bằng cách nháy đúp chuột vào tên của Network interface trong danh sách phía dưới “Capture” để bắt đầu bắt gói tin trên card mạng đó.

Lúc này, các packet sẽ hiển thị theo thời gian thực. Wireshark sẽ capture từng packet được gửi đến hoặc đi từ hệ thống của bạn.

Nếu chế độ Promiscuous được enable, bạn có thể xem tất cả các packet khác trên mạng thay vì chỉ các packet được gửi đến network adapter của mình. Để kiểm tra chế độ này, bạn bấm chuột vào Capture rồi chọn Options. Sau đó kiểm tra hộp “Enable promiscuous mode on all interfaces” xem nó được kích hoạt hay chưa.

Nếu muốn dừng việc capture bạn bấm vào nút “Stop” màu đỏ.

Giao diện WireShark

Giao diện phần mềm là nơi liệt kê danh sách các packet đã được capture, parse và thể hiện dưới định dạng mà chúng ta có thể dễ dàng đọc thông tin và phân tích.

Giao diện của phần mềm Wireshark được chia thành 3 phần:

• Packet List: Bao gồm danh sách toàn bộ packet của file capture hiện tại. Nó thể hiện số thứ tự của gói tin, thời gian gói tin được bắt, source và destination IP, protocol của packet cùng một số thông tin tổng quan khác.
• Packet Details: Khi bạn chọn một gói tin ở phần Packet List, toàn bộ thông tin chi tiết của gói tin này sẽ hiển thị ở Packet Detail. Thông tin chi tiết có thể được expanded hoặc collapsed bằng cách click vào mũi tên hình tam giác ở đầu dòng.
• Packet Bytes: Thể hiện packet ở định dạng raw dưới dạng binary hoặc hex. Thể hiện cách mà packet được truyền trên đường truyền.

Mở gói tin và lưu gói tin

Nếu muốn mở gói tin bằng Wireshark, bạn chọn “File > Open” và tìm đến đường dẫn của file cần mở.

Để lưu gói tin đã capture, bạn vào “File > Save”, sau đó chọn đường dẫn để lưu trữ, đặt tên cho file capture và định dạng sẽ lưu.

Phân tích gói tin với Wireshark

Wireshark Filter

Filter cho phép bạn có thể lọc ra các packet mà bạn dùng để phân tích. Có hai loại filter chính như sau:

• Capture Filters: Chỉ định các packet sẽ được capture và quá trình bắt gói tin chỉ capture những packet thỏa điều kiện này.
• Display filters: Áp dụng filter lên các gói tin đã được capture, mục tiêu là để ẩn đi những packet không cần thiết và chỉ thể hiện những packet thỏa điều kiện chỉ định.

Cách đọc gói tin trong Wireshark

Bạn nhấp chuột vào một packet để chọn rồi xem thông tin chi tiết.

Lúc này, khung cửa sổ Paket List sẽ cung cấp đầy đủ các thông tin như:

• No: Số thứ tự của gói tin trong file capture hiện tại.
• Time: Thời gian tương đối mà gói tin này được bắt.
• Source: địa chỉ source IP của kết nối.
• Destination: địa chỉ destination IP của kết nối.
• Length: chiều dài gói tin.
• Protocol: giao thức gói tin
• Info: các thông tin tổng quan liên quan đến gói tin.

Còn ở khung Packet Details sẽ cung cấp cho chúng ta các thông tin chi tiết từng Layer của packet như:

• Frame: Interface
• Ethernet: Destination, Source, Mac Address
• Application Layer: HTTP, DNS, SMTP…
• TCP/UDP/ICMP: Source Port, Destination Port, Sequence Number, ACK Number, Flags, TCP Options …
• Internet: Source IP, Destination IP, TTL, Protocol, Flags, Checksum, Identification, Total Length…

Ở khung Packet Bytes thể hiện gói tin ở dạng Hex. Khi bạn chọn 1 trường bất kỳ ở phần Packet Details, những bytes liên quan ở phần này sẽ được tô đậm ở phần Packet Bytes tương ứng.

Ngoài ra, bạn có thể thêm các filter ở đây. Bạn chỉ cần nhấp chuột phải vào một trong số các chi tiết sua đó chọn Apply as Filter để tạo một filter dựa theo đó.

Trên đây là tổng hợp tài liệu hướng dẫn sử dụng Wireshark. Các bạn có thể download ngay về máy để thực hành nhé!