Wireshark là gì? Cách dùng Wireshark cực đơn giản

cá mập là một công cụ rất hữu ích cho các chuyên gia IT, cho phép chụp và bắt các gói dữ liệu mạng một cách nhanh chóng, hiển thị thông tin chính xác. Các gói có thể được chia nhỏ để hỗ trợ thời gian thực hiện không? Công cụ Wireshark giúp cài đặt các gói lưu lượng mạng như thế nào? Thông tin chi tiết dưới đây của BKHOST sẽ giúp bạn giải đáp thắc mắc một cách nhanh nhất.

Wireshark là gì?

Wireshark – công cụ phân tích gói dữ liệu mạng với chức năng nhận và hiển thị các gói dữ liệu trên internet và bao gồm 3 chức năng chính như sau:

• Chụp gói tin (chụp gói): Wireshark chụp kết nối mạng tại một thời điểm cụ thể để nắm bắt toàn bộ lưu lượng của nhiều gói dữ liệu.
• lọc (Bộ lọc): Wireshark sử dụng bộ lọc để cắt dữ liệu trực tiếp và cho phép hiển thị một số thông tin quan trọng.
• Hình dung: Wireshark cho phép đi sâu vào nội bộ để tìm hiểu các giao thức dữ liệu mạng.

Wireshark được sử dụng để làm gì?

Wireshark có nhiều công dụng khác nhau như:

• Hỗ trợ khắc phục sự cố hiệu suất mạng.
• Giám sát kết nối mạng và lưu lượng truy cập.
• Kiểm tra các vấn đề bảo mật.

Khi nào nên sử dụng Wireshark?

Wireshark là một công cụ khắc phục sự cố mạng hiệu quả được các doanh nghiệp và tổ chức giáo dục tin dùng. Hoặc bạn có thể sử dụng Wireshark để theo dõi các giao thức đang hoạt động của lưu lượng mạng và tìm ra sự cố nhanh hơn.

Một số hạn chế của Wireshark:

• Không phù hợp với người dùng có ít kinh nghiệm trong việc sử dụng các giao thức mạng. Cần tìm hiểu về các giao thức điều hành mạng khác nhau như TCP, UDP, DHCP, ICMP trước để có thể sử dụng Wireshark dễ dàng hơn.
• Wireshark không tự động nhận lưu lượng truy cập từ các mạng thông thường.
• Wireshark có khả năng hiển thị gói nhưng không phải là một hệ thống phát hiện xâm nhập và không có cảnh báo nào được đưa ra.
• Wireshark không có khả năng xử lý lưu lượng được mã hóa.
• Wireshark thường xuyên giả mạo các gói IPv4 để địa chỉ IP không được hiển thị.

Trường hợp sử dụng Wireshark

Wireshark được sử dụng để giúp xác định các sự cố mạng gia đình với kết nối chậm.

Ví dụ: Dưới đây là lỗi bộ định tuyến không thể truy cập đích được phát hiện bằng cách đi sâu vào các giao thức kiểm soát gói IPv6 (ICMP) được đánh dấu bằng 2 dải màu đen.

Trong trường hợp này, Wireshark đã giúp xác định các bộ định tuyến bị lỗi và cách khắc phục nhanh nhất là khởi động lại modem cáp.

Hoặc với các gói dành riêng cho TCP được đánh dấu bằng một sọc trắng bao gồm bảo mật TLS được đưa vào quá trình kiểm tra và giám sát bằng Wireshark. Công cụ này cho phép xác định chính xác hơn các phiên bản tương thích với trình duyệt hiện tại.

Wireshark cũng có thể xác định các sự cố mạng phức tạp hơn. Ví dụ: nếu một mạng đang gặp nhiều sự cố như truyền lại hoặc tắc nghẽn thường xuyên, hãy sử dụng Wireshark để xác định các sự cố lỗi như hình bên dưới:

Với phương pháp này, Wireshark cho phép cấu hình lại bộ định tuyến hoặc cải thiện tốc độ lưu lượng mạng.

Cách sử dụng Wireshark

Để tải xuống ứng dụng Wireshark mã nguồn mở miễn phí, hãy truy cập liên kết.

Cách cài đặt Wireshark trên Windows

Tải xuống và sử dụng phiên bản Wireshark cần tương thích với hệ điều hành hiện tại của bạn. Ví dụ: Với hệ điều hành windows 10, hãy sử dụng bộ cài Windows 64-bit và làm theo hướng dẫn để cài đặt Wireshark.

Cách cài đặt Wireshark trên Linux

Để cài đặt Wireshark trên Linux, hãy làm theo các bước sau:

{{EJS0}}

Sau đó đăng xuất và đăng nhập lại để bắt đầu Wireshark:

{{EJS1}}

Cách chụp các gói bằng Wireshark

Khi phần mềm Wireshark được cài đặt thành công trên máy chủ, nó sẽ thực hiện khả năng nắm bắt lưu lượng mạng. Tuy nhiên, Wireshark cần phải tương thích với tất cả các gói để đảm bảo tốc độ bắt nhanh hơn.

Đối với Windows, những hành động này được gọi là quyền truy cập của quản trị viên. Đối với Linux, nó được gọi là quyền truy cập root.

Ví dụ:

Nếu được cấp quyền, hãy vào Main Windows và chọn Capture -> Options. Sau đó, cửa sổ Capture Interfaces sẽ hiển thị trên màn hình.

Trong Giao diện Capture bao gồm tất cả các giao diện có sẵn và một số lựa chọn mà Wireshark cung cấp.

Tiếp theo, chọn Ethernet 3 – giao diện thích hợp nhất để hiển thị đường dẫn của các gói mạng. Sau đó nhấp vào “Bắt đầu” để bắt đầu chụp và các gói sẽ xuất hiện trên màn hình:

Sau khi chọn các gói nhấn vào biểu tượng ô vuông màu đỏ góc trái màn hình và kiểm tra lại.

Ý nghĩa mã màu trong Wireshark

Sử dụng Wireshark giúp xác định các loại gói bằng mã màu.
Một số mã màu chính như:

Để xem danh sách mã màu mặc định, chọn View >> Coloring Rules.

Các mã màu này cho phép người dùng tùy chỉnh theo ý muốn. Nếu bạn không muốn sử dụng màu sắc, hãy vào View -> Colorize Packet List.

Ví dụ: Bên dưới là UDP tiêu chuẩn được gắn thẻ màu xanh lam nhạt, TCP được gắn thẻ màu tím nhạt, TCP được gắn thẻ màu xám đậm và lưu lượng được định tuyến màu vàng.

Các gói không bị giới hạn bởi mã màu và cho phép Wireshark sử dụng I/O để theo dõi toàn bộ quá trình chụp gói.

Để tìm kiếm đồ thị trong Wireshark, hãy chọn Số liệu thống kê >> Đồ thị vào/ra:

Biểu đồ này hiển thị lưu lượng do mạng nội bộ tạo ra và lưu lượng tăng đột biến do DDoS tạo ra trên hệ thống Linux.

Với ba lần tăng đột biến về lưu lượng truy cập mạng xảy ra trong biểu đồ trên, Wireshark đã được sử dụng để xác định lỗi và sửa chúng.

Ngoài ra, Wireshark còn cho phép giám sát lưu lượng phát sinh từ nhiều hệ thống khác nhau.

Để tìm bản tóm tắt về tiến độ của các điểm, hãy chuyển đến Thống kê, sau đó chọn Cuộc trò chuyện.

Wireshark được sử dụng để tìm các thiết bị cũ trên hệ thống liên lạc MCI đang chạy trên mạng và xóa chúng vì sự an toàn của người dùng.

Với một số kết nối mạng cũng gặp sự cố, Amazon và Box.com có ​​thể sử dụng Wireshark để định vị lưu lượng truy cập nguồn và đích chính xác hơn.

Nhấp vào biểu tượng bản đồ ở cuối màn hình để hiển thị bản đồ đoán vị trí của địa chỉ IP đã xác định.

Địa chỉ IPv4 không có các phiên bản giả mạo và thông tin của nó trên bản đồ được hiển thị khá chính xác.

Các cách lọc và kiểm tra gói tin trong Wireshark

Bạn có thể áp dụng bộ lọc Wireshark theo hai cách:

• Sử dụng cửa sổ Bộ lọc hiển thị ở đầu màn hình.
• Đánh dấu gói bằng cách nhấp chuột phải và chọn bộ lọc Wireshark bao gồm các cụm phím lệnh:

Hoặc sử dụng các giá trị sau:

Ví dụ: Không hiển thị địa chỉ IP hoặc cổng nguồn cụ thể

Các quy tắc lọc hợp lệ sẽ được đánh dấu bằng màu xanh lục và nếu không hợp lệ, sẽ được đánh dấu bằng màu hồng.

Ví dụ: Để kiểm tra các gói có địa chỉ IP 18.224.161, tạo dòng lệnh trong cửa sổ bộ lọc:

ip.addr == 18.224.161.65

Kết quả nhận được sẽ hiển thị trên màn hình bên dưới.

Wireshark cho phép làm nổi bật địa chỉ IP của gói bằng cách nhấp chuột phải và chọn Áp dụng làm bộ lọc.

Trên màn hình hiển thị một menu với các tùy chọn bổ sung như Đã chọn. Nếu bạn nhấp vào “Đã chọn”, Wireshark sẽ tiến hành tạo bộ lọc hiển thị các gói có địa chỉ IP.

Hoặc để lọc ra một địa chỉ IP cụ thể, hãy sử dụng lệnh:

!ip.addr==18.224.161.65

Ngoài địa chỉ IPv4, để xem máy tính có đang hoạt động ở địa chỉ IPv6 trên mạng hay không, hãy tạo một bản sao của Wireshark bằng cách áp dụng quy tắc:

ipv6.dst == 2607:f8b0:400a:15::b

Quy tắc tương tự được thể hiện như sau:

Kết quả cho thấy hệ thống hoạt động bình thường, nhiều tính năng.

Các bộ lọc bổ sung bao gồm:

Hoặc sử dụng các giá trị sau:

Bạn muốn tìm hiểu thêm về Wireshark?

Để tìm hiểu sâu hơn về Wireshark, hãy xem Sử dụng Wireshark: Trình diễn thực hành bao gồm các yêu cầu và hướng dẫn có sẵn.

Ngoài ra còn có một số tài liệu tham khảo Wireshark khác mà bạn có thể xem để nghiên cứu. Hoặc bạn cũng có thể tải xuống “bảng ăn gian” nhanh ở dạng PDF từ Packetlife.net.

Tóm tắt về Wireshark

cá mập là một công cụ mạnh mẽ hỗ trợ các gói mạng hoạt động tốt nhất.

Nếu bạn có thêm câu hỏi về Wireshark hoặc muốn tìm hiểu thêm về các công cụ hỗ trợ gói mạng khác ngoài Wireshark, vui lòng để lại bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

P/s: Bạn cũng có thể ghé thăm Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến ​​thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.