Wireshark là gì?
Wireshark là gì? - Wireshark là công cụ dành cho các chuyên gia công nghệ thực hiện tác vụ chụp, bắt gói tin mạng (khả năng phân tích mạng - network packet analyzer) với mức hiển thị thông tin chính xác nhất. Tác vụ của Wireshark liên quan đến network như kết nối chậm, các truy cập bất thường hay rớt gói tin. Nhờ vào Wireshark, việc xác định lỗi trên mạng máy tính sẽ dễ dàng hơn.
Chức năng và cách thức hoạt động của wireshark?
Những chức năng và cách thức hoạt động của wireshark là gì? Có thể nói, wireshark được coi là công cụ giám sát mạng ở cấp độ chi tiết và theo thời gian thực.
Chức năng của của Wireshark
Wireshark là một công cụ phân tích giao thức mạng mã nguồn mở. Nó cho phép người dùng bắt, hiển thị và phân tích gói tin mạng trong một mạng máy tính.
Dưới đây là một số tính năng chính của Wireshark:
- Bắt và phân tích gói tin: Wireshark cho phép người dùng bắt các gói tin trên một giao diện mạng cụ thể hoặc từ một tệp tin đã được ghi sẵn. Sau đó, người dùng có thể xem và phân tích nội dung của các gói tin này.
- Hiển thị chi tiết gói tin: Wireshark hiển thị chi tiết về các trường dữ liệu trong gói tin, bao gồm các header giao thức, thông tin địa chỉ, cổng và dữ liệu tải. Điều này giúp người dùng có cái nhìn chi tiết về các giao thức và thông tin gửi nhận trên mạng.
- Lọc và tìm kiếm: Wireshark cung cấp khả năng lọc các gói tin dựa trên các tiêu chí như địa chỉ IP, cổng, giao thức và nội dung dữ liệu. Người dùng cũng có thể tìm kiếm các gói tin dựa trên các chuỗi ký tự hoặc các biểu thức chính quy.
- Thống kê và phân tích: Wireshark cung cấp các công cụ để tạo số liệu thống kê và phân tích về mạng, bao gồm biểu đồ, bảng đếm, đồ thị tần suất và thống kê giao thức.
- Hỗ trợ nhiều giao thức: Wireshark hỗ trợ rất nhiều giao thức mạng phổ biến, bao gồm Ethernet, TCP/IP, UDP, HTTP, DNS, SSH, SSL/TLS và nhiều giao thức khác. Điều này cho phép người dùng phân tích và giám sát các hoạt động mạng đa dạng.
- Tích hợp với công cụ khác: Wireshark có khả năng tích hợp với các công cụ và phần mềm khác như ngôn ngữ lập trình Lua, Wireshark API và các công cụ phân tích mạng khác để mở rộng khả năng và tương tác với dữ liệu mạng.
- Hỗ trợ đa nền tảng: Wireshark có sẵn cho nhiều nền tảng hệ điều hành như Windows, macOS và Linux, cho phép người dùng sử dụng trên các hệ thống khác nhau.
Cách thức Wireshark hoạt động như thế nào?
Kể từ khi bạn cài đặt wireshark về máy, ứng dụng này đã hoạt động ngay mà không cần phải "khởi động" bằng bất kỳ thao tác thủ công nào. Tuy nhiên, bạn cũng cần chọn cài đặt mạng tương đồng với hệ thống mạng đang dùng để sự hoạt động wireshark ở mức ổn định nhất.
Về hoạt động, wireshark sẽ thực hiện thu thập mọi địa chỉ IP đã kết nối với hệ thống mạng của bạn. Khi có một thiết bị có sử dụng mạng kết nối, wireshark sẽ cập nhật dữ liệu về thiết bị ngay trong gói dữ liệu. Sau khi dữ liệu mạng đã được thu thập, thông tin sẽ được tổng hợp và hiển thị một cách chi tiết trong wireshark (bạn chỉ cần vào trang là thấy ngay).
Công cụ wireshark cũng phân chia địa chỉ IP theo màu sắc tương ứng với từng trạng thái. Nhờ đó, người theo dõi có thể nhận thấy tình trạng bất thường theo màu sắc. Các màu của IP ứng với tình trạng như sau:
- Xanh lá cây: địa chỉ IP của TCP.
- Xanh da trời: tổng hợp IP từ UDP.
- Tím nhạt: tổng hợp các IP thuộc về DNS.
- Nền đen chữ cam: dữ liệu mạng gói TCP đang gặp vấn đề.
Những dữ liệu được thu thập từ wireshark đều có thể lưu trữ trong thời gian dài. Bạn chỉ cần mở 1 file Capture > Open > trỏ tới file gốc > lưu.
Hướng dẫn tải về và cài đặt wireshark
Trên trang chủ chính thức của wireshark, bạn có thể tải ứng dụng này về theo từng hệ điều hành khác nhau. Cụ thể như sau:
Cài đặt wireshark trên Windows
Đối với hệ điều hành Windows, trước khi cài wireshark bạn cần lưu ý phiên bản Windows bạn đang sở hữu là dạng nào, 32 bit hay 64 bit. Hiện tại, bản cập nhật 4.0.5 hỗ trợ cho Windows là phiên bản dành cho 64bit hoặc Windows PortableApps cũng là 64bit. Bản mới nhất không hỗ trợ cho dạng 32 bit, tuy nhiên bạn vẫn có thể sử dụng wireshark nếu dùng phiên bản cũ hơn. Hiệu quả của phiên bản wireshark 3.6.13 (cũ) không được cập nhật như phiên bản mới nhưng nhìn chung chức năng chính vẫn hiệu quả.
Bạn chỉ cần nhấn vào theo ảnh sau là quá trình tải sẽ tự động về thiết bị máy bạn.
Sau khi file wireshark đã được tải về máy, bạn chỉ cần giải nén và chạy chương trình mà thôi:
Cài đặt wireshark trên MacOS
Đối với hệ điều hành MacOS, file wireshark vẫn được cung cấp trên trang chính thức. Tuy nhiên, file sẽ không lưu đuôi ".exe" mà là đuôi ".dmg". Lưu ý, hãy kéo thả biểu tượng wireshark vào thư mục "Applications" để hoàn tất cài đặt. Quá trình cài đặt cũng không khác nhiều so với trên Windows.
Cài wireshark trên Ubuntu
Đối với hệ điều hành Ubuntu, nếu bạn muốn cài wireshark thì sẽ hơi phức tạp một chút. Trên mục "terminal prompt", bạn hãy chạy mã lệnh:
- sudo apt-get install Wireshark.
- sudo dpkg-reconfigure Wireshark-common.
- sudo adduser $USER Wireshark.
Các mã lệnh trên sẽ hỗ trợ ứng dụng chạy trên hệ điều hành thuận lợi hơn.
Cài wireshark tại Kali Linux
Trên trang web chính của wireshark, có thể bạn chưa thấy link tải. Nhưng đừng lo lắng, wireshark hiện đã được tích hợp sẵn trên các bản phân phối của Kali Linux. Về cơ bản, bạn không cần phải tải từ link nào khác. Thay vào đó, thực hiện các bước sau: Menu > Option > Sniffing & Spoofing.
Tải wireshark trên RedHat Fedora
Sử dụng wireshark trên RedHat Fedora cũng gần tương tự như trên hệ điều hành Ubuntu. Chỉ khác là mã lệnh sẽ không như Ubuntu, mã lệnh để mở wireshark của RedHat Fedora là:
- sudo dnf install Wireshark-qt.
- sudo usermod -a -G Wireshark username.
Hướng dẫn sử dụng wireshark
Vậy cách sử dụng của wireshark là gì? Thông thường, tùy theo nhu cầu thực thế của bạn mà cách dùng của wireshark sẽ được chia làm từng công việc như sau:
Cách chụp gói tin bằng wireshark
Bước 1: sau khi tải wireshark về máy, hệ thống sẽ hiện một hộp thoại. Trong phần Capture từ hộp thoại sẽ có nhiều gói giao diện hoạt động trên hệ thống của bạn. Nếu bạn muốn kiểm tra lưu lượng gói giao diện mạng nào thì cứ click vào gói giao diện mạng đó.
Ví dụ: nếu muốn kiểm tra lưu lượng truy cập mạng không dây từ hệ thống, bạn nhấn chọn giao diện không dây, chẳng hạn như wifi. Nếu muốn, bạn có thể cấu hình tính năng nâng cao bằng cách chọn Capture > Options.
Bước 2: hãy chọn giao diện mạng, lúc này wireshark sẽ mang đến gói thông tin giao diện đó hiện trên màn hình. Wireshark sẽ lấy gói tin đó rồi gửi trực tiếp cho bạn (hoặc lấy từ hệ thống có sẵn).
Nếu muốn kiểm tra promiscuous, hãy nhấn: capture > Options > Enable promiscuous mode on all interfaces > kiểm tra cửa sổ đã bật hay chưa.
Bước 3: nếu muốn dừng quá trình, hãy chọn Stop (có biểu tượng hình vuông màu đỏ, nằm góc trái).
Bước 4: mở và lưu file dữ liệu vừa rồi.
Vậy là chỉ với các bước cơ bản ở trên, bạn đã biết cách bắt gói tin bằng wireshark là gì rồi chứ?
Color Coding từ wireshark
Các gói trong máy tính đều được đánh dấu bằng nhiều màu khác nhau. Wireshark có nhiệm vụ giúp bạn xác định lưu lượng khi truy cập nhanh hơn. Các địa chỉ OP của các gói mạng sẽ có màu sắc khau nhau, những màu sắc này có nghĩa:
- Tím nhạt: lưu lượng TCP (giao thức kiểm soát đường truyền).
- Xanh da trời: lưu lượng UDP (giao thức dữ liệu người dùng).
- Đen: gói tin bị lỗi.
Nếu không nhớ ý nghĩa màu, hãy chọn: view > Coloring Rules.
Kiểm tra gói tin của wireshark
Bước 1: Nếu bạn muốn kiểm tra gói tin trong máy tính mình bằng Wireshark thì đầu tiên hãy chọn một gói bất kỳ mà bạn muốn kiểm tra.
Bước 2: Tạo một bộ lọc bằng cách: nhấp chuột phải vào một trong các chi tiết hoặc dùng Menu của Appy as Filter (bộ lọc được tạo bên trong).
Lưu và mở gói tin wireshark như thế nào?
Vậy làm cách nào để lưu hay mở gói tin wireshark? Lưu và mở gói tin wireshark rất dễ, bạn chỉ cần click vài bước như sau:
- Lưu gói tin wireshark: chọn file > Save. Sau đó, chọn một đường dẫn để lưu file rồi đặt tên cho file capture đó. Chọn tiếp định dạng lưu.
- Mở gói tin wireshark: chọn file > Open. Sau đó tìm đường dẫn file mà bạn cần mở.
Lọc gói tin từ wireshark
Nếu như bạn đang cố gắng kiểm tra lưu lượng truy cập của một chương trình và thực hiện gọi điện về nhà thì chương trình wireshark sẽ như thế nào? Đừng lo lắng, lúc đó wireshark sẽ đóng tất cả các ứng dụng khác đang hoạt động trên cùng một mạng. Cách này giúp người dùng thu hẹp tối đa lưu lượng truy cập.
Cách 1:
Cũng cần chú ý là người dùng sẽ có một lượng lưu lượng lớn về gói dữ liệu cần phải sàng lọc sau đó. Cách sàng lọc gói tin từ wireshark đó là nhập nó vào hộp bộ lọc nằm ở đầu cửa sổ. Tiếp theo, bạn chỉ cần vào Apply hay nhấn Enter trên bàn phím.
Ví dụ: nhập dns vào bộ lúc, người dùng chỉ thấy các gói DNS. Nhưng khi bạn nhấn bắt đầu nhập thì ứng dụng sẽ tự động tạo và hoàn thành bộ lọc cho bạn.
Cách 2:
Chọn lần lượt Analyze > Display Filters để bạn có thể chọn bộ lọc phù hợp. Nếu muốn, bạn cũng có thể tự tạo bộ lọc riêng và lưu chúng để truy cập dễ dàng và có "phong cách riêng" hơn.
Khi nhấp chuột phải vào tệp nào đó, chọn Follow > TCP Stream > một cuộc thoại TCP hiện lên giữa máy khách và máy chủ. Bạn cũng có thể chọn các giao thức khác trong trình đơn rồi theo dõi cuộc đối thoại giữa hai bên như thế nào.
Sau khi đã đóng cửa sổ, bạn sẽ thấy một bộ lọc Wireshark đã được lên tự động. Ứng dụng này sẽ hiện các gói tạo thành cuộc trò chuyện.
Hiểu rõ về wireshark là gì sẽ giúp bạn làm việc trong về dữ liệu công nghệ hiệu quả hơn. Hy vọng những chia sẻ trên đây từ Gofiber đã giúp bạn nắm rõ kiến thức về wireshark. Tuy nhiên, những thông tin này chỉ là một phần rất nhỏ về wireshark mà thôi. Hãy học hỏi thêm để có nhiều kinh nghiệm làm việc hơn nhé!
>> Xem thêm: Wireshark là gì? Cách cài đặt và sử dụng wireshark