Hướng dẫn sử dụng Wireshark cơ bản

Wireshark là một chương trình phần mềm phân tích giao thức mạng nguồn mở do Gerald Combs khởi xướng từ năm 1998, nó là công cụ phân tích giao thức mạng phổ biến nhất thế giới. Wireshark cho phép ta xem lưu lượng truy cập và phân tích những gì đang diễn ra trong mạng, nó nắm bắt lưu lượng mạng trên mạng cục bộ và lưu trữ dữ liệu đó để phân tích ngoại tuyến. Wireshark nắm bắt lưu lượng mạng từ Ethernet, Bluetooth, Wireless (IEEE.802.11), v.v. 

Ở bài viết này mình sẽ đi vào cách sử dụng wireshark để bắt các gói tin có trong mạng và có thể lọc các gói tin mong muốn và loại bỏ những gói tin không có nhu cầu.

Làm việc với file PCAP

Bắt gói tin và lưu vào file

Khi mở Wireshark, các giao diện mạng có trên máy của bạn sẽ được liệt kê như phía dưới. Để xem lưu lượng của 1 giao diện mạng nào đó, hãy kích đúp vào đó, lập tức lưu lượng (các gói tin) đi qua giao diện đó sẽ được hiển thị. Ở đây mình chọn giao diện mạng là Wi-Fi

Lưu lượng các gói tin đi qua Wi-Fi sẽ hiển thị như sau :

ta thấy rằng trên thanh công cụ có 1 nút màu đỏ, đó là nút sử dụng capture những gói tin đã bắt được.

Sau khi kích vào đó, wireshark sẽ dừng cập nhật các gói tin mới và ta có thể lưu lại những gói tin này kích vào File sau đó chọn Save để lưu dưới dạng file pcap

Mở 1 file có sẵn

File có sẵn có thể là các file đã capture trước đó bằng wireshark trên máy bạn hoặc bạn có thể sử dụng tcpdump để chụp lại các gói tin qua 1 giao diện mạng trên 1 máy chủ khác và lưu vào file .pcap sau đó chuyển sang máy cài wireshark và mở file đó.

Lệnh sử dụng để chụp lại 100 gói tin qua 1 giao diện mạng và lưu vào file như sau :

tcpdump -i <interface> -c 100 -w <tên_file>.pcap

Để mở file pcap đã capture trước đó, ta chỉ cần kích vào File -> Open và chọn file có đuôi là .pcap để xem.

Sử dụng Filter trong wireshark

Ta có thể sử dụng filter để loại bỏ các gói mà ta không quan tâm. Filter có thể được sử dụng khi bắt các gói tin realtime hoặc cũng có thể được sử dụng đối với các gói tin được mở từ file .pcap

Chỉ bắt các gói có IP trùng khớp

• Chỉ xem các gói tin có IP đích trùng khớp với IP 192.168.1.54

• Tương tự như vậy ta chỉ xem các gói tin có IP nguồn khớp với IP 192.168.1.54

• Chỉ xem các gói có IP nguồn là 192.168.1.54 và IP đích là 54.189.246.18

hoặc ta cũng có thể loại trừ các gói với IP nguồn và đích nhất định

• Không bắt các gói có IP nguồn là 192.168.1.54

Chỉ bắt các gói có port hoặc giao thức trùng khớp

• Chỉ xem các gói có TCP port là 80

• Xem các gói có TCP port là 80 hoặc TCP port là 443

• Chỉ xem các gói không sử dụng cổng 443

• Chỉ bắt các gói sử dụng dịch vụ http

• Bắt các gói đang sử dụng giao thức UDP hoặc ICMP

Bạn có thể tìm hiểu nhiều hơn nữa các bộ lọc của wireshark tại đây.

Kết luận

Wireshark là một công cụ cực kỳ mạnh mẽ và hướng dẫn này chỉ nói sơ qua về những gì bạn có thể làm với nó. Các chuyên gia sử dụng nó để gỡ lỗi triển khai giao thức mạng, kiểm tra các vấn đề bảo mật và kiểm tra nội bộ giao thức mạng. Nếu bạn muốn đọc thêm nhiều hơn nữa về wireshark có thể tham khảo tại wiki.wireshark .

Chúc các bạn thành công !

Tài liệu tham khảo :

https://medium.com/better-programming/intro-to-wireshark-2abe7fb24f53

https://www.varonis.com/blog/how-to-use-wireshark/

ONET IDC

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.