Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng

Download
Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng  
Quản Trị Mạng - Wireshark, hay còn gọi là Ethereal, công cụ này có lẽ không quá xa lạ với phần lớn  
người sử dụng chúng ta, vốn được xem là 1 trong những ứng dụng phân tích dữ liệu hệ thống mạng,  
với khả năng theo dõi, giám sát các gói tin theo thời gian thực, hiển thị chính xác báo cáo cho người  
dùng qua giao diện khá đơn giản và thân thiện. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn  
một số đặc điểm cơ bản cũng như cách dùng, phân tích và kiểm tra hệ thống mạng bằng Wireshark.  
Các bạn thể tải Wireshark phiên bản mới nhất tại đây hoặc trực tiếp tại trang chủ. Nếu dùng Linux hoặc  
các hệ thống UNIX khác thì có thể tìm thấy Wireshark trong phần Package Repositories. Ví dụ,  
với Ubuntuthì Wireshark sẽ trong Ubuntu Software Center. Tuy nhiên, các bạn cần lưu ý rằng không  
nên tự tiện sử dụng, vì có công ty, tổ chức hoặc doanh nghiệp không cho phép dùng Wireshark trong hệ thống  
mạng của họ.  
Capturing Packets:  
Sau khi cài đặt, các bạn hãy khởi động chương trình và chọn thành phần trong Interface List để bắt đầu hoạt  
động. dụ, nếu muốn giám sát lưu lượng mạng qua mạng Wireless thì chọn card mạng Wifi tương ứng.  
Nhấn nút Capture Options để hiển thị thêm nhiều tùy chọn khác:  
Ngay sau đó, chúng ta sẽ thấy các gói dữ liệu bất đầu xuất hiện, Wireshark sẽ “bắt” từng gói – package ra và  
vào hệ thống mạng. Nếu đang giám sát thông tin trên Wireless trong chế độ Promiscuous thì sẽ nhìn thấy các  
gói dữ liệu khác trong toàn bộ hệ thống:  
Nếu muốn tạm ngừng quá trình này thì các bạn nhấn nút Stop phía trên:  
Tại đây, chúng ta sẽ thấy nhiều màu sắc khác nhau, bao gồm: xanh lá cây, xanh da trời đen. Wireshark  
dựa vào cơ chế này để giúp người dùng phân biệt được các loại traffic khác nhau. Ở chế độ mặc định, màu  
xanh lá cây là traffic TCP, xanh da trời đậm traffic DNS, xanh da trời nhạt traffic UDP và màu đen là  
góiTCP đang vấn đề.  
Bên cạnh đó, bạn thể tham khảo phần hướng dẫn và ví dụ cơ bản của Wiki Wireshark tại đây. Mở 1 file  
capture khá dễ dàng, nhấn nút Open trỏ tới file gốc, người dùng còn có thể tự lưu dữ liệu capture trong  
Wireshark và sử dụng sau đó:  
Filtering Packets:  
Cách cơ bản nhất để áp dụng filter là nhập thông tin vào ô Filter, sau đó nhấn Apply hoặc nhấn Enter.  
dụ, nếu gõ dns thì chúng ta sẽ chỉ nhìn thấy các gói dữ liệu DNS. Ngay khi nhập từ  
khóa, Wireshark sẽ tự động hoàn chỉnh chuỗi thông tin này dựa vào gợi ý tương ứng.  
Hoặc nhấn menu Analyze > Display Filters để tạo filter mới:  
Nhấn chuột phải vào từng package và chọn Follow TCP Stream: