Wireshark là một ứng dụng miễn phí cho phép bạn chụp và xem dữ liệu di chuyển qua lại trên mạng của bạn, cung cấp khả năng xem chi tiết nội dung của mỗi gói - lọc để đáp ứng các nhu cầu cụ thể của bạn. Nó thường được sử dụng để khắc phục các vấn đề về mạng cũng như phát triển và kiểm thử phần mềm. Máy phân tích giao thức nguồn mở này được chấp nhận rộng rãi như là tiêu chuẩn của ngành, giành được phần thưởng công bằng trong nhiều năm qua.
Ban đầu được gọi là Ethereal, Wireshark có giao diện thân thiện với người dùng có thể hiển thị dữ liệu từ hàng trăm giao thức khác nhau trên tất cả các loại mạng chính. Các gói dữ liệu này có thể được xem trong thời gian thực hoặc phân tích ngoại tuyến, với hàng tá định dạng tệp chụp / theo dõi được hỗ trợ bao gồm CAP và ERF . Các công cụ giải mã tích hợp cho phép bạn xem các gói được mã hóa cho một số giao thức phổ biến như WEP và WPA / WPA2 .
01 trên 07
Tải xuống và cài đặt Wireshark
Wireshark có thể được tải xuống miễn phí từ trang web của Wireshark Foundation cho cả hệ điều hành MacOS và Windows. Trừ khi bạn là người dùng nâng cao, bạn nên tải xuống bản phát hành ổn định mới nhất. Trong quá trình cài đặt (chỉ dành cho Windows), bạn nên chọn cũng cài đặt WinPcap nếu được nhắc, vì nó bao gồm một thư viện cần thiết để thu thập dữ liệu trực tiếp.
Ứng dụng này cũng có sẵn cho Linux và hầu hết các nền tảng UNIX khác như Red Hat , Solaris và FreeBSD. Các tệp nhị phân cần thiết cho các hệ điều hành này có thể được tìm thấy ở cuối trang tải xuống trong phần Gói của bên thứ ba.
Bạn cũng có thể tải xuống mã nguồn của Wireshark từ trang này.
02 trên 07
Làm thế nào để nắm bắt gói dữ liệu
Khi bạn khởi động Wireshark lần đầu tiên, màn hình chào mừng tương tự như màn hình hiển thị ở trên sẽ hiển thị, có chứa danh sách các kết nối mạng khả dụng trên thiết bị hiện tại của bạn. Trong ví dụ này, bạn sẽ nhận thấy rằng các loại kết nối sau được hiển thị: Kết nối mạng Bluetooth , Ethernet , Mạng chỉ dành cho máy chủ lưu trữ ảo , Wi-Fi . Hiển thị ở bên phải mỗi biểu đồ là biểu đồ đường kiểu EKG thể hiện lưu lượng truy cập trực tiếp trên mạng tương ứng đó.
Để bắt đầu thu thập các gói, trước tiên hãy chọn một hoặc nhiều mạng này bằng cách nhấp vào (các) lựa chọn của bạn và sử dụng phím Shift hoặc Ctrl nếu bạn muốn ghi dữ liệu từ nhiều mạng cùng một lúc. Khi loại kết nối được chọn cho mục đích chụp, nền của nó sẽ được tô màu xanh hoặc xám. Nhấp vào Chụp từ menu chính, nằm ở phía trên cùng của giao diện Wireshark. Khi menu thả xuống xuất hiện, hãy chọn tùy chọn Bắt đầu .
Bạn cũng có thể bắt đầu chụp gói thông qua một trong các phím tắt sau.
- Bàn phím: Nhấn Ctrl + E
- Chuột: Để bắt đầu chụp các gói từ một mạng cụ thể, chỉ cần nhấp đúp vào tên của nó
- Thanh công cụ: Nhấp vào nút vây cá mập xanh, nằm ở phía bên trái của thanh công cụ Wireshark
Quá trình capture trực tiếp sẽ bắt đầu, với các chi tiết gói được hiển thị trong cửa sổ Wireshark khi chúng được ghi lại. Thực hiện một trong các hành động dưới đây để dừng chụp.
- Bàn phím: Nhấn Ctrl + E
- Thanh công cụ: Nhấp vào nút dừng màu đỏ, nằm bên cạnh vây cá mập trên thanh công cụ Wireshark
03 trên 07
Xem và phân tích nội dung gói
Bây giờ bạn đã ghi lại một số dữ liệu mạng, đã đến lúc xem xét các gói đã capture. Như được hiển thị trong ảnh chụp màn hình ở trên, giao diện dữ liệu đã chụp chứa ba phần chính: ngăn danh sách gói, ngăn chi tiết gói và ngăn byte gói.
Danh sách gói
Ngăn danh sách gói, nằm ở phía trên cùng của cửa sổ, hiển thị tất cả các gói được tìm thấy trong tệp chụp đang hoạt động. Mỗi gói có hàng riêng và số tương ứng được gán cho nó, cùng với mỗi điểm dữ liệu này.
- Thời gian: Dấu thời gian khi gói được chụp được hiển thị trong cột này, với định dạng mặc định là số giây (hoặc một phần giây) kể từ khi tệp chụp cụ thể này được tạo lần đầu tiên. Để sửa đổi định dạng này thành một thứ có thể hữu ích hơn một chút, chẳng hạn như thời gian thực tế trong ngày, hãy chọn tùy chọn Định dạng hiển thị thời gian từ trình đơn Xem của Wireshark - nằm ở đầu giao diện chính.
- Nguồn: Cột này chứa địa chỉ (IP hoặc địa chỉ khác) nơi gói tin bắt nguồn.
- Đích: Cột này chứa địa chỉ mà gói đang được gửi đến.
- Giao thức: Tên giao thức của gói (ví dụ: TCP) có thể được tìm thấy trong cột này.
- Độ dài: Chiều dài gói, tính theo byte, được hiển thị trong cột này.
- Thông tin: Các chi tiết bổ sung về gói được trình bày ở đây. Nội dung của cột này có thể khác nhau tùy thuộc vào nội dung gói.
Khi một gói được chọn trong ngăn trên cùng, bạn có thể nhận thấy một hoặc nhiều biểu tượng xuất hiện trong cột đầu tiên. Các dấu ngoặc mở và / hoặc đóng, cũng như đường thẳng nằm ngang, có thể cho biết gói hoặc nhóm gói có phải là một phần của cùng một cuộc hội thoại qua lại trên mạng hay không. Một đường ngang bị hỏng biểu thị rằng một gói không phải là một phần của cuộc hội thoại đã nói.
Chi tiết gói
Ngăn chi tiết, được tìm thấy ở giữa, trình bày các giao thức và các trường giao thức của gói được chọn theo một định dạng có thể thu gọn. Ngoài việc mở rộng từng lựa chọn, bạn cũng có thể áp dụng các bộ lọc Wireshark riêng lẻ dựa trên các chi tiết cụ thể cũng như theo các luồng dữ liệu dựa trên loại giao thức thông qua menu ngữ cảnh chi tiết - có thể truy cập bằng cách nhấp chuột phải vào mục mong muốn trong ngăn này.
Byte gói
Ở phía dưới là ngăn byte gói, hiển thị dữ liệu thô của gói được chọn trong chế độ xem thập lục phân. Bãi chứa hex này chứa 16 byte thập lục phân và 16 byte ASCII cùng với bù đắp dữ liệu.
Việc chọn một phần cụ thể của dữ liệu này sẽ tự động làm nổi bật phần tương ứng của nó trong ngăn chi tiết gói và ngược lại. Bất kỳ byte nào không thể in được thay vào đó được biểu thị bằng dấu chấm.
Bạn có thể chọn hiển thị dữ liệu này ở định dạng bit trái ngược với hệ thập lục phân bằng cách nhấp chuột phải vào bất kỳ vị trí nào trong ngăn và chọn tùy chọn thích hợp từ trình đơn ngữ cảnh.
04/07
Sử dụng bộ lọc Wireshark
Một trong những tính năng quan trọng nhất trong Wireshark là khả năng lọc của nó, đặc biệt là khi bạn đang xử lý các tệp có kích thước đáng kể. Bộ lọc chụp có thể được đặt trước khi thực tế, hướng dẫn Wireshark chỉ ghi lại các gói đó đáp ứng các tiêu chí được chỉ định của bạn.
Các bộ lọc cũng có thể được áp dụng cho một tệp chụp đã được tạo để chỉ các gói nhất định được hiển thị. Đây được gọi là bộ lọc hiển thị.
Wireshark cung cấp một số lượng lớn các bộ lọc được xác định trước theo mặc định, cho phép bạn thu hẹp số lượng các gói có thể nhìn thấy chỉ với một vài lần nhấn phím hoặc nhấp chuột. Để sử dụng một trong các bộ lọc hiện có này, hãy đặt tên của nó trong trường Áp dụng bộ lọc hiển thị (nằm ngay bên dưới thanh công cụ Wireshark) hoặc trong trường nhập bộ lọc Nhập chụp (nằm ở giữa màn hình chào mừng).
Có nhiều cách để đạt được điều này. Nếu bạn đã biết tên bộ lọc của mình, chỉ cần nhập nó vào trường thích hợp. Ví dụ, nếu bạn chỉ muốn hiển thị các gói TCP, bạn sẽ gõ tcp . Tính năng tự động hoàn thành của Wireshark sẽ hiển thị các tên được đề xuất khi bạn bắt đầu nhập, giúp tìm kiếm đúng biệt danh cho bộ lọc bạn đang tìm kiếm.
Một cách khác để chọn bộ lọc là nhấp vào biểu tượng giống như dấu trang ở bên trái của trường nhập. Thao tác này sẽ hiển thị menu chứa một số bộ lọc thường được sử dụng nhất cũng như tùy chọn Quản lý bộ lọc chụp hoặc Quản lý bộ lọc hiển thị . Nếu bạn chọn quản lý một trong hai loại giao diện sẽ xuất hiện cho phép bạn thêm, xóa hoặc chỉnh sửa bộ lọc.
Bạn cũng có thể truy cập các bộ lọc được sử dụng trước đó bằng cách chọn mũi tên xuống, nằm ở bên phải của trường nhập, hiển thị danh sách thả xuống lịch sử.
Sau khi được đặt, bộ lọc chụp sẽ được áp dụng ngay khi bạn bắt đầu ghi lưu lượng truy cập mạng. Tuy nhiên, để áp dụng bộ lọc hiển thị, bạn cần phải nhấp vào nút mũi tên bên phải được tìm thấy ở phía bên tay phải của trường nhập.
05/07
Quy tắc tô màu
Trong khi các bộ lọc chụp và hiển thị của Wireshark cho phép bạn giới hạn các gói nào được ghi lại hoặc hiển thị trên màn hình, chức năng tô màu của nó sẽ giúp bạn phân biệt các loại gói khác nhau dựa trên màu sắc riêng của chúng. Tính năng tiện dụng này cho phép bạn nhanh chóng xác định vị trí các gói nhất định trong một tập hợp đã lưu bằng bảng màu của hàng trong ngăn danh sách gói.
Wireshark đi kèm với khoảng 20 quy tắc tô màu mặc định được tích hợp sẵn; mỗi cái có thể được chỉnh sửa, vô hiệu hóa hoặc xóa nếu bạn muốn. Bạn cũng có thể thêm bộ lọc dựa trên bóng râm mới thông qua giao diện quy tắc tô màu, có thể acessible từ menu View . Ngoài việc xác định tên và tiêu chí lọc cho từng quy tắc, bạn cũng được yêu cầu liên kết cả màu nền và màu văn bản.
Màu sắc gói có thể được tắt và bật thông qua tùy chọn Colorize Packet List , cũng được tìm thấy trong menu View .
06 trên 07
Số liệu thống kê
Ngoài thông tin chi tiết về dữ liệu mạng của bạn được hiển thị trong cửa sổ chính của Wireshark, một số chỉ số hữu ích khác có sẵn thông qua trình đơn thả xuống Thống kê được tìm thấy ở phía trên cùng của màn hình. Chúng bao gồm thông tin về kích thước và thời gian về chính tệp chụp, cùng với hàng tá biểu đồ và đồ thị khác nhau trong chủ đề từ phân tích cuộc hội thoại gói để tải phân phối các yêu cầu HTTP.
Bộ lọc hiển thị có thể được áp dụng cho nhiều thống kê này thông qua giao diện riêng lẻ của chúng và kết quả có thể được xuất sang một số định dạng tệp phổ biến bao gồm CSV , XML và TXT.
07/07
Các tính năng tiên tiến
Mặc dù chúng tôi đã đề cập đến hầu hết các chức năng chính của Wireshark trong bài viết này, cũng có một bộ sưu tập các tính năng bổ sung có sẵn trong công cụ mạnh mẽ này thường được dành riêng cho người dùng cao cấp. Điều này bao gồm khả năng viết các trình phân tích giao thức của riêng bạn bằng ngôn ngữ lập trình Lua.
Để biết thêm thông tin về các tính năng nâng cao này, hãy tham khảo hướng dẫn sử dụng chính thức của Wireshark.