Wireshark, một công cụ phân tích mạng trước đây gọi là Ethereal, bắt các gói tin trong thời gian thực và hiển thị chúng ở định dạng có thể đọc được.
Wireshark bao gồm các bộ lọc, mã màu và các tính năng khác cho phép bạn đào sâu vào lưu lượng mạng và kiểm tra các gói dữ liệu cá nhân.
Hướng dẫn này sẽ giúp bạn có được tốc độ đọc và hiểu nhanh nhất với những điều cơ bản của bắt gói, tách chúng, và kiểm tra chúng.
Bạn có thể sử dụng Wireshark để kiểm tra lưu lượng mạng một chương
trình đáng ngờ, phân tích lưu lượng gói tin trên mạng của bạn,
hoặc khắc phục sự cố các vấn đề mạng.
Cảnh báo: Nhiều tổ chức không cho phép Wireshark và các công cụ tương tự như trên mạng của họ. Không sử dụng công cụ này tại nơi làm việc, trừ khi bạn có sự cho phép.
Sau khi tải về và cài đặt Wireshark, bạn có thể khởi động nó và nhấp vào tên của một giao diện dưới Interface List để bắt đầu kiểm tra các gói tin trên giao diện đó.
Ví dụ, nếu bạn muốn kiểm tra lưu lượng trên các mạng không dây, nhấp vào giao diện không dây của bạn. Bạn có thể cấu hình các tính năng tiên tiến bằng cách nhấn Capture Options, nhưng điều này là không cần thiết cho bây giờ.
Nhấp vào nút dừng chụp ở góc trên bên trái của cửa sổ khi bạn muốn ngừng chụp lưu lượng.
Có thể bạn sẽ thấy các gói tin nổi bật trong màu xanh lá cây, xanh dương và đen. Wireshark sử dụng màu sắc để giúp bạn xác định các loại hình giao thức trong nháy mắt.
Theo mặc định,
Màu xanh lá cây là lưu lượng TCP,
Màu xanh đậm là DNS giao thông,
Ánh sáng màu xanh là lưu lượng UDP
Màu đen xác định các gói tin TCP
Mở một tập tin chụp là dễ dàng; chỉ cần nhấp mở trên màn hình chính và duyệt cho một tập tin. Bạn cũng có thể lưu những ảnh chụp của riêng bạn trong Wireshark và mở chúng sau này.
Cách cơ bản nhất để áp dụng một bộ lọc bằng cách gõ vào hộp bộ lọc ở phía trên cùng của cửa sổ và nhấp Apply (hoặc nhấn Enter). Ví dụ, gõ "dns" và bạn sẽ chỉ thấy các gói tin DNS. Khi bạn bắt đầu gõ, Wireshark sẽ giúp bạn tự động hoàn thành bộ lọc của bạn.
Bạn sẽ thấy cuộc chat giữa khách hàng và máy chủ.
Đóng cửa sổ và bạn sẽ tìm thấy một bộ lọc đã được áp dụng tự động - Wireshark được hiển thị cho bạn các gói tin đó tạo nên cuộc trò chuyện
Nhấn vào một gói tin để chọn nó và bạn có thể đào xuống để xem chi tiết.
Bạn cũng có thể tạo các bộ lọc từ đây - chỉ cần kích chuột phải vào một trong các chi tiết và sử dụng Áp dụng như lọc đơn phụ để tạo ra một bộ lọc dựa trên nó.
Lời kết
Wireshark là một công cụ cực kỳ mạnh mẽ và hướng dẫn này chỉ là demo của những gì bạn có thể làm gì với nó. Chuyên gia sử dụng nó để gỡ lỗi thực thi giao thức mạng, kiểm tra vấn đề an ninh và kiểm tra giao thức mạng.
Wireshark bao gồm các bộ lọc, mã màu và các tính năng khác cho phép bạn đào sâu vào lưu lượng mạng và kiểm tra các gói dữ liệu cá nhân.
Cài Đặt Wireshark
Bạn có thể tải về Wireshark cho Windows hoặc Mac OS X từ trang web chính thức của nó . Nếu bạn đang sử dụng Linux hoặc hệ thống UNIX-như, có thể bạn sẽ tìm thấy Wireshark trong kho gói cài đặt của nó. Ví dụ, nếu bạn đang sử dụng Ubuntu, bạn sẽ tìm thấy Wireshark trong Ubuntu Software Center.Cảnh báo: Nhiều tổ chức không cho phép Wireshark và các công cụ tương tự như trên mạng của họ. Không sử dụng công cụ này tại nơi làm việc, trừ khi bạn có sự cho phép.
Sau khi tải về và cài đặt Wireshark, bạn có thể khởi động nó và nhấp vào tên của một giao diện dưới Interface List để bắt đầu kiểm tra các gói tin trên giao diện đó.
Ví dụ, nếu bạn muốn kiểm tra lưu lượng trên các mạng không dây, nhấp vào giao diện không dây của bạn. Bạn có thể cấu hình các tính năng tiên tiến bằng cách nhấn Capture Options, nhưng điều này là không cần thiết cho bây giờ.
Ngay sau khi bạn nhấp vào tên của giao diện, bạn sẽ thấy các gói bắt đầu xuất hiện trong thời gian thực. Wireshark bắt mỗi gói tin gửi đến hoặc từ hệ thống của bạn. Nếu bạn đang kiểm tra trên một giao diện không dây và có chế độ promiscuous kích hoạt trong lựa chọn kiểm tra của bạn, bạn cũng sẽ thấy các gói khác trên mạng.
Nhấp vào nút dừng chụp ở góc trên bên trái của cửa sổ khi bạn muốn ngừng chụp lưu lượng.
Color Coding
Có thể bạn sẽ thấy các gói tin nổi bật trong màu xanh lá cây, xanh dương và đen. Wireshark sử dụng màu sắc để giúp bạn xác định các loại hình giao thức trong nháy mắt.
Theo mặc định,
Màu xanh lá cây là lưu lượng TCP,
Màu xanh đậm là DNS giao thông,
Ánh sáng màu xanh là lưu lượng UDP
Màu đen xác định các gói tin TCP
Sample Captures
Mở một tập tin chụp là dễ dàng; chỉ cần nhấp mở trên màn hình chính và duyệt cho một tập tin. Bạn cũng có thể lưu những ảnh chụp của riêng bạn trong Wireshark và mở chúng sau này.
Filtering Packets
Nếu bạn đang cố gắng để kiểm tra một cái gì đó cụ thể, chẳng hạn như lưu lượng của một chương trình sẽ gửi khi gửi gói tin về máy tính cá nhân, nó giúp để đóng cửa tất cả các ứng dụng khác sử dụng mạng, do đó bạn có thể thu hẹp phạm vi. Tuy nhiên, bạn có thể sẽ có một số lượng lớn các gói tin để lọc qua. Đó là nơi mà các bộ lọc Wireshark đi vào.Cách cơ bản nhất để áp dụng một bộ lọc bằng cách gõ vào hộp bộ lọc ở phía trên cùng của cửa sổ và nhấp Apply (hoặc nhấn Enter). Ví dụ, gõ "dns" và bạn sẽ chỉ thấy các gói tin DNS. Khi bạn bắt đầu gõ, Wireshark sẽ giúp bạn tự động hoàn thành bộ lọc của bạn.
Bạn cũng có thể nhấp vào Analyze menu và chọn hiển thị bộ lọc để tạo ra một bộ lọc mới.
Một điều thú vị mà bạn có thể làm là nhấn chuột phải vào một gói và chọn Follow TCP Stream.
Bạn sẽ thấy cuộc chat giữa khách hàng và máy chủ.
Đóng cửa sổ và bạn sẽ tìm thấy một bộ lọc đã được áp dụng tự động - Wireshark được hiển thị cho bạn các gói tin đó tạo nên cuộc trò chuyện
Nhấn vào một gói tin để chọn nó và bạn có thể đào xuống để xem chi tiết.
Bạn cũng có thể tạo các bộ lọc từ đây - chỉ cần kích chuột phải vào một trong các chi tiết và sử dụng Áp dụng như lọc đơn phụ để tạo ra một bộ lọc dựa trên nó.
Lời kết
Wireshark là một công cụ cực kỳ mạnh mẽ và hướng dẫn này chỉ là demo của những gì bạn có thể làm gì với nó. Chuyên gia sử dụng nó để gỡ lỗi thực thi giao thức mạng, kiểm tra vấn đề an ninh và kiểm tra giao thức mạng.
0 nhận xét:
Post a Comment