Điều cần biết
- Wireshark là một ứng dụng mã nguồn mở thu thập và hiển thị dữ liệu di chuyển qua lại trên mạng.
- Vì nó có thể đi sâu và đọc nội dung của từng gói, nó được sử dụng để khắc phục sự cố mạng và kiểm tra phần mềm.
Hướng dẫn trong bài viết này áp dụng cho Wireshark 3.0.3 dành cho Windows và Mac.
Bottom Line
Ban đầu được gọi là Ethereal, Wireshark hiển thị dữ liệu từ hàng trăm giao thức khác nhau trên tất cả các loại mạng chính. Các gói dữ liệu có thể được xem trong thời gian thực hoặc phân tích ngoại tuyến. Wireshark hỗ trợ hàng chục định dạng tệp tin chụp / theo dõi, bao gồm CAP và ERF. Các công cụ giải mã tích hợp hiển thị các gói được mã hóa cho một số giao thức phổ biến, bao gồm WEP và WPA / WPA2.
Cách tải xuống và cài đặt Wireshark
Wireshark có thể được tải xuống miễn phí từ trang web của Wireshark Foundation cho cả macOS và Windows. Bạn sẽ thấy bản phát hành ổn định mới nhất và bản phát hành phát triển hiện tại. Trừ khi bạn là người dùng nâng cao, hãy tải xuống phiên bản ổn định.
Trong quá trình thiết lập Windows, hãy chọn cài đặt WinPcaphoặc Npcapnếu được nhắc vì chúng bao gồm các thư viện cần thiết để thu thập dữ liệu trực tiếp.
Bạn phải đăng nhập vào thiết bị với tư cách là quản trị viên để sử dụng Wireshark. Trong Windows 10, tìm kiếm Wireshark và chọn Run as administratorTrong macOS, nhấp chuột phải vào biểu tượng ứng dụng và chọn Get Info Trong cài đặt Chia sẻ & Quyền, cấp cho quản trị viên các đặc quyền Đọc & Viết.
Ứng dụng này cũng có sẵn cho Linux và các nền tảng giống UNIX khác bao gồm Red Hat, Solaris và FreeBSD. Bạn có thể tìm thấy mã nhị phân cần thiết cho các hệ điều hành này ở cuối trang tải xuống Wireshark trong phần Gói của bên thứ ba. Bạn cũng có thể tải xuống mã nguồn của Wireshark từ trang này.
Cách chụp gói dữ liệu bằng Wireshark
Khi bạn khởi chạy Wireshark, màn hình chào mừng sẽ liệt kê các kết nối mạng khả dụng trên thiết bị hiện tại của bạn. Được hiển thị ở bên phải của mỗi là biểu đồ đường kiểu EKG thể hiện lưu lượng truy cập trực tiếp trên mạng đó.
Để bắt đầu bắt gói tin bằng Wireshark:
-
Chọn một hoặc nhiều mạng, đi tới thanh menu, sau đó chọn Chụp.
Để chọn nhiều mạng, hãy giữ phím Shiftkhi bạn thực hiện lựa chọn của mình.
Image -
Trong cửa sổ Wireshark Capture Interfaces, chọn Start.
Có nhiều cách khác để bắt đầu thu gói. Chọn vây cá mập ở bên trái của thanh công cụ Wireshark, nhấn Ctrl + Ehoặc nhấp đúp vào mạng.
Image -
Chọn File> Save Ashoặc chọn tùy chọn Exportđể ghi ảnh.
Image -
Để dừng chụp, nhấn Ctrl + E. Hoặc, đi tới thanh công cụ Wireshark và chọn nút Stopmàu đỏ nằm bên cạnh vây cá mập.
Image
Cách Xem và Phân tích Nội dung Gói
Giao diện dữ liệu được chụp có ba phần chính:
- Ngăn danh sách gói (phần trên cùng)
- Ngăn chi tiết gói (phần giữa)
- Ngăn byte gói (phần dưới cùng)
Danh sách gói
Ngăn danh sách gói, nằm ở đầu cửa sổ, hiển thị tất cả các gói được tìm thấy trong tệp chụp đang hoạt động. Mỗi gói có hàng riêng và số tương ứng được gán cho nó, cùng với mỗi điểm dữ liệu sau:
- No: Trường này cho biết gói nào là một phần của cùng một cuộc hội thoại. Nó vẫn trống cho đến khi bạn chọn một gói.
- Thời gian:Dấu thời gian của thời điểm gói được bắt được hiển thị trong cột này. Định dạng mặc định là số giây hoặc một phần giây kể từ khi tệp chụp cụ thể này được tạo lần đầu tiên.
- Nguồn:Cột này chứa địa chỉ (IP hoặc địa chỉ khác) nơi gói tin bắt nguồn.
- Đích:Cột này chứa địa chỉ mà gói tin đang được gửi đến.
- Giao thức:Tên giao thức của gói, chẳng hạn như TCP, có thể được tìm thấy trong cột này.
- Độ dài:Độ dài gói, tính bằng byte, được hiển thị trong cột này.
- Thông tin:Chi tiết bổ sung về gói được trình bày ở đây. Nội dung của cột này có thể thay đổi rất nhiều tùy thuộc vào nội dung gói.
Để thay đổi định dạng thời gian thành một thứ hữu ích hơn (chẳng hạn như thời gian thực trong ngày), hãy chọn Xem> Định dạng Hiển thị Thời gian.
Khi một gói được chọn trong ngăn trên cùng, bạn có thể nhận thấy một hoặc nhiều ký hiệu xuất hiện trong cột No.. Dấu ngoặc mở hoặc đóng và một đường thẳng ngang cho biết một gói hoặc một nhóm gói có phải là một phần của cùng một cuộc hội thoại qua lại trên mạng hay không. Một đường ngang bị đứt cho biết rằng một gói tin không phải là một phần của cuộc trò chuyện.
Chi tiết gói
Ngăn chi tiết, nằm ở giữa, trình bày các giao thức và trường giao thức của gói tin đã chọn ở định dạng có thể thu gọn. Ngoài việc mở rộng từng lựa chọn, bạn có thể áp dụng các bộ lọc Wireshark riêng lẻ dựa trên các chi tiết cụ thể và theo dõi các luồng dữ liệu dựa trên loại giao thức bằng cách nhấp chuột phải vào mục mong muốn.
byte gói
Ở dưới cùng là ngăn byte gói, ngăn này hiển thị dữ liệu thô của gói đã chọn ở dạng xem thập lục phân. Kết xuất hex này chứa 16 byte thập lục phân và 16 byte ASCII cùng với phần bù dữ liệu.
Việc chọn một phần cụ thể của dữ liệu này sẽ tự động làm nổi bật phần tương ứng của nó trong ngăn chi tiết gói và ngược lại. Bất kỳ byte nào không thể in được sẽ được biểu thị bằng dấu chấm.
Để hiển thị dữ liệu này ở định dạng bit thay vì thập lục phân, hãy nhấp chuột phải vào bất kỳ đâu trong khung và chọn là bit.
Cách sử dụng Bộ lọc Wireshark
Bộ lọc chụp chỉ dẫn Wireshark chỉ ghi lại các gói đáp ứng các tiêu chí đã chỉ định. Bộ lọc cũng có thể được áp dụng cho tệp chụp đã được tạo để chỉ một số gói nhất định được hiển thị. Chúng được gọi là bộ lọc hiển thị.
Wireshark cung cấp một số lượng lớn các bộ lọc được xác định trước theo mặc định. Để sử dụng một trong các bộ lọc hiện có này, hãy nhập tên của bộ lọc vào trường nhập Áp dụng bộ lọc hiển thịnằm bên dưới thanh công cụ Wireshark hoặc trong ô Nhập bộ lọc chụptrường nằm ở giữa màn hình chào mừng.
Ví dụ: nếu bạn muốn hiển thị các gói TCP, hãy nhập tcp. Tính năng tự động hoàn thành của Wireshark hiển thị các tên được đề xuất khi bạn bắt đầu nhập, giúp bạn dễ dàng tìm thấy biệt danh chính xác cho bộ lọc mà bạn đang tìm kiếm.
Một cách khác để chọn bộ lọc là chọn dấu ở bên trái của trường nhập. Chọn Quản lý Biểu thức Bộ lọchoặc Quản lý Bộ lọc Hiển thịđể thêm, xóa hoặc chỉnh sửa bộ lọc.
Bạn cũng có thể truy cập các bộ lọc đã sử dụng trước đó bằng cách chọn mũi tên xuống ở phía bên phải của trường mục nhập để hiển thị danh sách lịch sử thả xuống.
Bộ lọc chụp được áp dụng ngay khi bạn bắt đầu ghi lưu lượng mạng. Để áp dụng bộ lọc hiển thị, hãy chọn mũi tên phải ở phía bên phải của trường nhập.
Quy tắc màu của Wireshark
Trong khi các bộ lọc hiển thị và chụp của Wireshark giới hạn gói nào được ghi hoặc hiển thị trên màn hình, thì chức năng chỉnh màu của nó tiến thêm một bước nữa: Nó có thể phân biệt giữa các loại gói khác nhau dựa trên màu sắc riêng của chúng. Thao tác này nhanh chóng định vị các gói nhất định trong một tập hợp đã lưu theo màu hàng của chúng trong ngăn danh sách gói.
Wireshark đi kèm với khoảng 20 quy tắc tô màu mặc định, mỗi quy tắc có thể được chỉnh sửa, tắt hoặc xóa. Chọn Xem> Quy tắc tô màuđể biết tổng quan về ý nghĩa của từng màu. Bạn cũng có thể thêm các bộ lọc dựa trên màu sắc của riêng mình.
Chọn Xem> Tô màu Danh sách Góiđể bật và tắt chức năng tô màu gói.
Thống kê trong Wireshark
Các chỉ số hữu ích khác có sẵn thông qua trình đơn thả xuống Thống kê. Chúng bao gồm thông tin về kích thước và thời gian về tệp chụp, cùng với hàng chục biểu đồ và đồ thị khác nhau về chủ đề từ phân tích hội thoại gói đến phân phối tải các yêu cầu HTTP.
Bộ lọc hiển thị có thể được áp dụng cho nhiều thống kê trong số này thông qua giao diện của chúng và kết quả có thể được xuất sang các định dạng tệp phổ biến, bao gồm CSV, XML và TXT.
Tính năng nâng cao của Wireshark
Wireshark cũng hỗ trợ các tính năng nâng cao, bao gồm khả năng viết phân tách giao thức bằng ngôn ngữ lập trình Lua.
