Tìm hiểu về Wireshark - Phần mềm phân tích và xác định các vấn đề về network

Wireshark có vai trò rất quan trọng đối với những người muốn hiểu rõ về cách hoạt động của các gói dữ liệu mạng, hay muốn phân tích chúng để hiểu về hoạt động của mạng.

Tổng quan về Wireshark

Wireshark là gì?

Wireshark là một phần mềm phân tích gói mạng (network packet analyzer), cho phép người dùng xem và kiểm tra các dữ liệu truyền qua mạng máy tính. Nó giúp người dùng phát hiện và giải quyết các vấn đề liên quan đến mạng như kết nối chậm, rớt gói tin và các truy cập không bình thường, cung cấp cái nhìn sâu sắc về các gói tin cụ thể trong mạng.

Wireshark có khả năng nắm bắt và phân tích các gói dữ liệu từ nhiều nguồn khác nhau như dây cáp, kết nối mạng trực tiếp hoặc thậm chí từ các tệp dữ liệu đã được ghi lại trước đó. Nó hỗ trợ nhiều loại phương tiện truyền dẫn như Ethernet, LAN, USB, Bluetooth và cả các giao thức không dây như IEEE 802.11.

Một trong những điểm mạnh của Wireshark là khả năng phân tích các giao thức mạng, bao gồm TCP, UDP, ICMP và hàng ngàn giao thức khác. Wireshark cung cấp khả năng quản lý và tùy chỉnh cách phân tích giao thức, thậm chí còn cho phép người dùng tạo ra các trình cắm mở rộng mới nếu cần. Ngoài ra, Wireshark còn hỗ trợ việc phân tích cuộc gọi VoIP qua mạng, cho phép người dùng theo dõi và kiểm tra các cuộc gọi này để đảm bảo chất lượng cũng như hiệu suất mạng.

Chức năng của Wireshark

Wireshark giúp việc chuyển đổi dữ liệu capture từ dạng binary thành định dạng dễ đọc, đồng thời cung cấp một loạt các công cụ, tính năng để người dùng phân tích và hiểu rõ hơn về lưu lượng mạng đang diễn ra trong hệ thống của họ.

Với hơn 2000 giao thức mạng được hỗ trợ, Wireshark là một công cụ tối ưu giúp xác định và phân tích lưu lượng truy cập đang đi qua hệ thống mạng của bạn, cho phép bạn kiểm tra từng gói tin và hiểu rõ cấu trúc, nội dung của chúng.

Trong khi hệ thống mạng có thể sản sinh ra một khối lượng lớn lưu lượng truy cập mỗi giây, các công cụ của Wireshark hỗ trợ lọc ra các lưu lượng này để phân tích một cách hiệu quả. Bộ capture filter cho phép bạn chỉ thu thập các loại lưu lượng truy cập mà bạn quan tâm, giảm thiểu sự cồng kềnh và tăng hiệu suất phân tích.

Ngoài ra, Wireshark cung cấp một loạt các công cụ phân tích giao thức mạng bao gồm các công cụ tìm kiếm, biểu thức chính quy và tô màu, nhờ vào tính linh hoạt và khả năng tùy chỉnh cao này, người dùng có thể điều chỉnh cách phân tích theo nhu cầu cụ thể của họ.

Cách hoạt động của Wireshark

Wireshark hoạt động ngay sau khi được cài đặt trên thiết bị của bạn, tự động bắt đầu thu thập dữ liệu mạng khi hoạt động. Tuy nhiên, để có hiệu suất tốt nhất, bạn cần lựa chọn cài đặt mạng phù hợp với hệ thống mạng mà bạn đang sử dụng.

Wireshark thu thập tất cả các địa chỉ IP đã được kết nối với hệ thống mạng của bạn. Mỗi khi có thiết bị nào sử dụng mạng được kết nối, thông tin về chúng sẽ được cập nhật và ghi lại trong các gói dữ liệu mà Wireshark thu thập được.

Sau khi dữ liệu mạng được thu thập, Wireshark tổng hợp và hiển thị chúng một cách rất chi tiết. Công cụ này sử dụng các màu sắc khác nhau để phân biệt các loại dữ liệu mạng:

• Màu xanh lá cây thường được sử dụng để biểu diễn các địa chỉ IP của các kết nối TCP.
• Màu xanh da trời tổng hợp địa chỉ IP của các kết nối UDP.
• Màu tím nhạt thường được sử dụng để biểu diễn các địa chỉ IP thuộc về các truy vấn DNS.
• Màu nền đen chữ cam thường được sử dụng để chỉ ra các gói dữ liệu mạng TCP có vấn đề.

Các dữ liệu mạng được thu thập trong Wireshark có thể lưu trữ để sử dụng lâu dài. Bạn có thể mở tập tin Capture, chọn Open, sau đó chỉ định tới tập tin dữ liệu mạng gốc, lưu lại để sử dụng và phân tích sau này.

Các tính năng nổi bật của Wireshark

Wireshark là một phần mềm phân tích gói tin mạng với hàng loạt tính năng nổi bật, giúp người dùng hiểu rõ hơn về hoạt động của mạng và phát hiện các vấn đề liên quan. Dưới đây là một số tính năng đáng chú ý của Wireshark:

• Phân tích chuyên sâu: Wireshark hỗ trợ phân tích hàng trăm giao thức mạng, từ các giao thức phổ biến như TCP, UDP đến các giao thức hiếm gặp và không phổ biến.
• Cập nhật liên tục: Thường xuyên được cập nhật để hỗ trợ các tính năng mới, sửa lỗi và cải thiện hiệu suất.
• Hỗ trợ đa nền tảng: Hoạt động tốt trên nhiều hệ điều hành như Windows, MacOS, Linux, OpenBCD, Solaris,…
• Chụp và phân tích gói tin: Cho phép người dùng chụp trực tiếp dữ liệu gói tin trên giao diện mạng và phân tích offline.
• Hỗ trợ nhiều định dạng tệp: Có thể mở tệp chứa dữ liệu gói tin từ nhiều chương trình bắt gói tin khác nhau như TCPdump, Windump và hỗ trợ nhiều định dạng tệp dữ liệu.

• Giao diện và command line: Cung cấp giao diện đồ họa dễ sử dụng, cũng như tùy chọn command line thông qua tshark.
• Display filter mạnh mẽ: Cung cấp tính năng Display filter cho phép người dùng lọc và hiển thị các gói tin theo các tiêu chí cụ thể.
• Phân tích VoIP: Hỗ trợ tính năng phân tích VoIP để người dùng có thể hiểu rõ hơn về hoạt động của các cuộc gọi thoại qua mạng.
• Hỗ trợ nhiều định dạng tệp: Cho phép lưu và đọc dữ liệu gói tin dưới nhiều định dạng như Microsoft Network Monitor, Cisco Secure IDS iplog, tcpdump (libpcap), Pcap NG,...
• Được mã hóa: Hỗ trợ giải mã nhiều giao thức mã hóa như SSL/TLS, WEP, IPsec, SNMPv3, ISAKMP, Kerberos, và WPA/WPA2.
• Tùy chỉnh màu sắc: Cho phép người dùng tùy chỉnh màu sắc của các gói tin để tăng tốc độ phân tích.
• Hỗ trợ nhiều giao thức và phương tiện truyền dẫn: Wireshark có thể bắt và phân tích dữ liệu từ nhiều loại mạng và giao thức khác nhau như Ethernet, Bluetooth, USB, Frame Relay, FDDI, IEEE 802.11, PPP/HDLC, ATM, Token Ring,..

Hướng dẫn cài đặt Wireshark

Trên hệ điều hành Windows

Để cài đặt Wireshark trên Windows, bạn có thể tiến hành theo các bước sau:

Bước 1: Xác định phiên bản hệ điều hành Windows mà bạn đang sử dụng là 32 bit hay 64 bit.

Bước 2: Truy cập vào đường link sau để tải xuống phiên bản phù hợp nhất:

https://www.wireshark.org/download.html

Bước 3: Tải xuống tệp cài đặt của Wireshark từ trang web chính thức. Sau khi tải xuống hoàn tất, bạn sẽ có tệp cài đặt trong máy.

Bước 4: Mở tệp cài đặt Wireshark bằng cách nhấp đúp vào nó. Bạn sẽ thấy một hộp thoại cài đặt xuất hiện trên màn hình.

Bước 5: Tiến hành cài đặt Wireshark bằng cách tuân theo các hướng dẫn trên màn hình. Trong quá trình cài đặt, bạn sẽ cần chấp nhận các điều khoản sử dụng và chọn thư mục để cài đặt phần mềm.

Trên hệ điều hành MacOS

Đối với thiết bị MacOS, bạn tham khảo và thực hiện theo các bước dưới đây:

Bước 1: Truy cập vào trang chủ của Wireshark để tải xuống phiên bản phù hợp cho hệ điều hành MacOS của bạn:

https://www.wireshark.org/download.html

Bước 2: Sau khi tải xuống hoàn tất, bạn sẽ có một file .dmg. Mở file này bằng cách đơn giản nhấp đúp vào nó.

Bước 3: Trong cửa sổ mới xuất hiện, bạn sẽ thấy biểu tượng của Wireshark cùng với một thư mục Applications.

Bước 4: Kéo và thả biểu tượng của Wireshark vào thư mục Applications để cài đặt phần mềm.

Bước 5: Đợi cho quá trình cài đặt hoàn tất.

Bước 6: Khi cài đặt hoàn tất, bạn có thể mở Wireshark từ thư mục Applications hoặc tìm kiếm trong Spotlight.

Bước 7: Nhấp đúp vào biểu tượng Wireshark để mở chương trình và bắt đầu sử dụng.

Trên Ubuntu

Bước 1: Từ terminal prompt, bạn có thể sử dụng lệnh sau để tải và cài đặt Wireshark trên Ubuntu:

sudo apt update

sudo apt install wireshark

Bước 2: Sau khi bạn nhập lệnh này, hệ thống sẽ yêu cầu mật khẩu quản trị viên của bạn. Nhập mật khẩu và ấn Enter.

Bước 3: Quá trình cài đặt sẽ tự động bắt đầu. Khi được hỏi Do you want to continue? hãy nhập y và nhấn Enter để tiếp tục.

Bước 4: Sau khi cài đặt hoàn tất, bạn có thể mở Wireshark từ Dash hoặc từ terminal bằng lệnh: wireshark.

Bước 5: Sau khi chạy lệnh này, Wireshark sẽ mở và bạn có thể bắt đầu sử dụng để phân tích và giám sát lưu lượng mạng trên hệ điều hành Ubuntu của bạn.

Trên RedHat Fedora

Để cài đặt Wireshark, bạn thực hiện như sau:

Bước 1: Mở terminal và chạy lệnh sau để cài đặt GUI và phiên bản CLI của Wireshark: sudo dnf install wireshark wireshark-cli

Bước 2: Tiếp theo, chạy lệnh phía dưới để thêm quyền sử dụng cho phần mềm. Đảm bảo thay thế username bằng tên người dùng hiện tại đang sử dụng hệ thống:

sudo usermod -a -G wireshark username

Bước 3: Nhập mật khẩu quản trị viên khi được yêu cầu và nhấn Enter để tiếp tục. Quá trình cài đặt và cấp quyền sử dụng sẽ được thực hiện tự động.

Bước 4: Sau khi hoàn thành, bạn có thể mở Wireshark từ Dash hoặc từ terminal bằng lệnh wireshark.

Bước 5: Wireshark sẽ mở và bạn có thể bắt đầu sử dụng để phân tích và giám sát lưu lượng mạng trên hệ điều hành RedHat Fedora của bạn.

Hướng dẫn sử dụng Wireshark

Cách chụp các gói tin

Khi quá trình chụp gói tin bắt đầu, Wireshark sẽ hiển thị các gói tin trong thời gian thực, bạn tiến hành chụp các gói tin theo các bước sau:

Bước 1: Mở ứng dụng Wireshark sau khi đã được tải xuống và cài đặt vào máy tính của bạn.

Bước 2: Nhấp đúp vào tên của một giao diện mạng trong cửa sổ Capture để bắt đầu chụp các gói tin trên giao diện đó. Ví dụ, nếu bạn muốn ghi lại lưu lượng truy cập trên mạng không dây của mình, hãy chọn giao diện không dây tương ứng.

Bước 3: Tiếp theo, bạn cần cấu hình các tính năng nâng cao bằng cách nhấp vào Capture, chọn Options. Tại đây, bạn có thể thay đổi các thiết lập như bộ lọc gói tin, định dạng lưu trữ và các tùy chọn khác.

Bước 4: Đảm bảo rằng chế độ promiscuous đã được kích hoạt, cho phép Wireshark hiển thị tất cả các gói tin trên mạng, thay vì chỉ gói tin được gửi đến máy của bạn.

Bước 5: Sau khi đã cấu hình, các gói tin sẽ bắt đầu xuất hiện trong cửa sổ chính của Wireshark. Chương trình sẽ tự động chụp mỗi gói tin được gửi đến hệ thống hoặc có sẵn trên hệ thống của bạn.

Bước 6: Nếu bạn muốn dừng việc chụp gói tin, nhấp vào nút Stop màu đỏ ở góc trên cùng bên trái của cửa sổ Capture Options.

Cách mở gói tin

Dưới đây là các bước hướng dẫn mở gói tin trong Wireshark:

Bước 1: Mở phần mềm Wireshark trên máy tính của bạn.

Bước 2: Chọn File trong thanh menu ở phía trên cùng của cửa sổ Wireshark.

Bước 3: Trong menu thả xuống, chọn Open.

Bước 4: Duyệt đến đường dẫn của tệp tin mà bạn muốn mở và chọn nó.

Bước 5: Nhấp vào nút Open để mở tệp tin.

Cách lưu gói tin

Để lưu gói tin, bạn có thể tham khảo các bước:

Bước 1: Trong cửa sổ Wireshark, chọn File từ thanh menu.

Bước 2: Chọn Save.

Bước 3: Duyệt đến nơi bạn muốn lưu trữ tệp tin và đặt tên cho tệp tin.

Bước 4: Chọn định dạng bạn muốn lưu trữ tệp tin. Wireshark hỗ trợ nhiều định dạng như pcap, pcapng,...

Bước 5: Nhấp vào nút Save để lưu tệp tin.

Cách lọc các gói tin

Wireshark cung cấp một loạt các công cụ mạnh mẽ để lọc và hiển thị gói tin mạng một cách chính xác và hiệu quả. Để sử dụng Wireshark để lọc gói tin, bạn có thể bắt đầu bằng cách nhập điều kiện lọc vào hộp bộ lọc ở đầu cửa sổ chương trình. Ví dụ, nếu bạn chỉ muốn hiển thị các gói tin liên quan đến DNS, bạn có thể nhập “dns” vào bộ lọc.

Ngoài ra, bạn cũng có thể truy cập vào menu Analyze và chọn Display Filters để chọn các bộ lọc mặc định hoặc thêm bộ lọc mới theo nhu cầu cụ thể của bạn. Bằng cách này, bạn có thể tinh chỉnh hiển thị gói tin để tập trung vào các thông tin quan trọng nhất đối với mục tiêu phân tích của mình.

Wireshark cũng cho phép bạn theo dõi các cuộc trò chuyện TCP hoặc của các giao thức khác bằng cách chuột phải vào một gói tin và chọn tùy chọn Follow, giúp bạn xem toàn bộ cuộc trò chuyện và hiểu rõ hơn về cách mà các giao thức hoạt động trong mạng của bạn.

Sau khi áp dụng bộ lọc, Wireshark sẽ tự động hiển thị các gói tin liên quan đến bộ lọc đã được áp dụng, giúp bạn phân tích lưu lượng mạng một cách hiệu quả và nhanh chóng, làm cho việc lọc gói tin trở nên dễ dàng và linh hoạt hơn, giúp bạn tập trung vào những thông tin quan trọng nhất trong quá trình phân tích mạng.

Cách Color Coding

Trong Wireshark, tính năng Color Coding cho phép người dùng định cấu hình các màu sắc cho các loại gói tin mạng cụ thể, dễ dàng nhận biết và phân tích các loại lưu lượng mạng.

Để sử dụng tính năng Color Coding trong Wireshark, bạn có thể thực hiện các bước sau:

Truy cập vào menu View và chọn Coloring Rules. Trong cửa sổ Coloring Rules, bạn có thể thấy danh sách các quy tắc màu sắc hiện có và các màu sắc được áp dụng cho mỗi quy tắc. Bạn có thể thêm, sửa đổi hoặc xóa các quy tắc màu sắc tại đây.

Để thêm một quy tắc màu sắc mới, bạn nhấp vào nút Add, chọn loại gói tin mạng bạn muốn áp dụng màu sắc và chọn màu sắc tương ứng. Bạn cũng có thể sửa đổi hoặc xóa các quy tắc màu sắc hiện có theo ý muốn. Sau khi hoàn thành tùy chỉnh, nhấn nút OK để lưu cấu hình và áp dụng các quy tắc màu sắc mới.

Cách kiểm tra gói tin

Trong giao diện của Wireshark, bạn có thể xem danh sách các gói tin mạng đã được chụp. Nhấp vào một gói tin cụ thể mà bạn muốn kiểm tra. Sau khi chọn một gói tin, bạn có thể nhấp chuột phải vào bất kỳ chi tiết nào trong gói tin đó. Trong menu xuất hiện, chọn Apply as Filter để tạo bộ lọc dựa trên thông tin cụ thể trong gói tin này.

Sau khi tạo bộ lọc, Wireshark sẽ chỉ hiển thị các gói tin phù hợp với bộ lọc bạn đã tạo, hỗ trợ bạn tập trung vào các gói tin quan trọng trong quá trình phân tích dữ liệu mạng.

Tạm kết

Wireshark là một công cụ vô cùng hữu ích trong lĩnh vực công nghệ thông tin, hy vọng rằng qua bài viết này bạn có thể hiểu rõ hơn về khái niệm Wireshark cũng như các hoạt động của nó.

Nếu bạn đang có nhu cầu tìm mua các sản phẩm công nghệ cao cấp như điện thoại, máy tính bảng, PC, laptop thì hãy ghé qua gian hàng của FPT Shop nhé. Bài viết xin đề cử đến bạn top các sản phẩm TV bán chạy nhất hiện nay:

TV

Xem thêm:

• cURL là gì? Cách sử dụng cURL và các lệnh cURL cơ bản cần biết trong Linux
• Flutter là gì? Giải đáp lí do tại sao bạn nên dùng Flutter để phát triển ứng dụng