Wireshark là một chương trình phần mềm phân tích giao thức mạng nguồn mở doGerald Combskhởi xướng từnăm 1998, nó là công cụ phân tích giao thức mạng phổ biến nhất thế giới. Wireshark cho phép ta xem lưu lượng truy cập và phân tích những gì đang diễn ra trong mạng, nó nắm bắt lưu lượng mạng trên mạng cục bộ và lưu trữ dữ liệu đó để phân tích ngoại tuyến.Wireshark nắm bắt lưu lượng mạng từ Ethernet, Bluetooth, Wireless (IEEE.802.11), v.v.
Ở bài viết này mình sẽ đi vào cách sử dụng wireshark để bắt các gói tin có trong mạng và có thể lọc các gói tin mong muốn và loại bỏ những gói tin không có nhu cầu.
Làm việc với file PCAP
Bắt gói tin và lưu vào file
Khi mở Wireshark, các giao diện mạng có trên máy của bạn sẽ được liệt kê như phía dưới. Để xem lưu lượng của 1 giao diện mạng nào đó, hãy kích đúp vào đó, lập tức lưu lượng (các gói tin) đi qua giao diện đó sẽ được hiển thị. Ở đây mình chọn giao diện mạng là Wi-Fi
Lưu lượng các gói tin đi qua Wi-Fi sẽ hiển thị như sau :
ta thấy rằng trên thanh công cụ có 1 nút màu đỏ, đó là nút sử dụng capture những gói tin đã bắt được.
Sau khi kích vào đó, wireshark sẽ dừng cập nhật các gói tin mới và ta có thể lưu lại những gói tin này kích vàoFilesau đó chọnSave để lưu dưới dạng file pcap
Mở 1 file có sẵn
File có sẵn có thể là các file đã capture trước đó bằng wireshark trên máy bạn hoặc bạn có thể sử dụng tcpdump để chụp lại các gói tin qua 1 giao diện mạng trên 1 máy chủ khác và lưu vào file .pcap sau đó chuyển sang máy cài wireshark và mở file đó.
Lệnh sử dụng để chụp lại 100 gói tin qua 1 giao diện mạng và lưu vào file như sau :
tcpdump -i -c 100 -w .pcapĐể mở file pcap đã capture trước đó, ta chỉ cần kích vàoFile->Openvà chọn file có đuôi là.pcapđể xem.
Đang xem: Phần mềm bắt gói tin
Xem thêm: Hướng Dẫn Cách Thiết Kế Trò Chơi Ô Chữ Trong Powerpoint, Mẫu Thiết Kế Trò Chơi Ô Chữ Trong Powerpoint
Sử dụng Filter trong wireshark
Ta có thể sử dụng filter để loại bỏ các gói mà ta không quan tâm. Filter có thể được sử dụng khi bắt các gói tin realtime hoặc cũng có thể được sử dụng đối với các gói tin được mở từ file .pcap
Chỉ bắt các gói có IP trùng khớp
Chỉ xem các gói tin có IP đích trùng khớp với IP 192.168.1.54
Tương tự như vậy ta chỉ xem các gói tin có IP nguồn khớp với IP 192.168.1.54
Chỉ xem các gói có IP nguồn là 192.168.1.54 và IP đích là 54.189.246.18
hoặc ta cũng có thể loại trừ các gói với IP nguồn và đích nhất định
Không bắt các gói có IP nguồn là 192.168.1.54
Chỉ bắt các gói có port hoặc giao thức trùng khớp
Chỉ xem các gói có TCP port là 80
Xem các gói có TCP port là 80 hoặc TCP port là 443
Chỉ xem các gói không sử dụng cổng 443
Chỉ bắt các gói sử dụng dịch vụ http
Bắt các gói đang sử dụng giao thức UDP hoặc ICMP
Bạn có thể tìm hiểu nhiều hơn nữa các bộ lọc của wireshark tại đây.
Kết luận
Wireshark là một công cụ cực kỳ mạnh mẽ và hướng dẫn này chỉ nói sơ qua về những gì bạn có thể làm với nó.Các chuyên gia sử dụng nó để gỡ lỗi triển khai giao thức mạng, kiểm tra các vấn đề bảo mật và kiểm tra nội bộ giao thức mạng. Nếu bạn muốn đọc thêm nhiều hơn nữa về wireshark có thể tham khảo tại wiki.wireshark .
Chúc các bạn thành công !
Tài liệu tham khảo :
https://medium.com/better-programming/intro-to-wireshark-2abe7fb24f53
https://www.varonis.com/blog/how-to-use-wireshark/
Xem thêm: Cách Chơi Online Starcraft 2, Cách Chơi Starcraft 2 Dễ Hiểu
Khác, wireshark
wireshark
Previous post Hướng dẫn backup website lên Direct Admin (phần 4)Next postSử dụng Wireshark để phân tích gói tin trong hệ thống mạng
Leave a Reply Cancel reply
Your email address will not be published. Required fields are marked *
