Làm thế nào để sử dụng Wireshark để Capture, lọc và kiểm tra gói

Mục lục:

Làm thế nào để sử dụng Wireshark để Capture, lọc và kiểm tra gói
Làm thế nào để sử dụng Wireshark để Capture, lọc và kiểm tra gói

Video: Làm thế nào để sử dụng Wireshark để Capture, lọc và kiểm tra gói

Video: Làm thế nào để sử dụng Wireshark để Capture, lọc và kiểm tra gói
Video: Ứng Dụng Lưu Trữ Đám Mây Miễn Phí TỐT NHẤT - Top 5 Best Free Cloud Storage - YouTube 2024, Tháng Ba
Anonim
Wireshark, một công cụ phân tích mạng trước đây được gọi là Ethereal, nắm bắt các gói tin trong thời gian thực và hiển thị chúng ở định dạng con người có thể đọc được. Wireshark bao gồm các bộ lọc, mã hóa màu và các tính năng khác cho phép bạn đào sâu vào lưu lượng mạng và kiểm tra các gói riêng lẻ.
Wireshark, một công cụ phân tích mạng trước đây được gọi là Ethereal, nắm bắt các gói tin trong thời gian thực và hiển thị chúng ở định dạng con người có thể đọc được. Wireshark bao gồm các bộ lọc, mã hóa màu và các tính năng khác cho phép bạn đào sâu vào lưu lượng mạng và kiểm tra các gói riêng lẻ.

Hướng dẫn này sẽ giúp bạn tăng tốc với các khái niệm cơ bản về việc thu thập các gói, lọc chúng và kiểm tra chúng. Bạn có thể sử dụng Wireshark để kiểm tra lưu lượng truy cập mạng của một chương trình đáng ngờ, phân tích lưu lượng truy cập trên mạng của bạn hoặc khắc phục sự cố mạng.

Bắt Wireshark

Bạn có thể tải xuống Wireshark cho Windows hoặc macOS từ trang web chính thức của nó. Nếu bạn đang sử dụng Linux hoặc một hệ thống giống UNIX khác, có thể bạn sẽ tìm thấy Wireshark trong kho lưu trữ gói của nó. Ví dụ: nếu bạn đang sử dụng Ubuntu, bạn sẽ tìm thấy Wireshark trong Trung tâm phần mềm Ubuntu.

Chỉ cần cảnh báo nhanh: Nhiều tổ chức không cho phép Wireshark và các công cụ tương tự trên mạng của họ. Không sử dụng công cụ này tại nơi làm việc trừ khi bạn được phép.

Chụp gói

Sau khi tải xuống và cài đặt Wireshark, bạn có thể khởi chạy nó và nhấp đúp vào tên của một giao diện mạng trong Capture để bắt đầu chụp các gói trên giao diện đó. Ví dụ: nếu bạn muốn ghi lại lưu lượng truy cập trên mạng không dây của mình, hãy nhấp vào giao diện không dây của bạn. Bạn có thể định cấu hình các tính năng nâng cao bằng cách nhấp vào Chụp> Tùy chọn, nhưng điều này không cần thiết ngay bây giờ.

Ngay khi bạn nhấp vào tên của giao diện, bạn sẽ thấy các gói bắt đầu xuất hiện trong thời gian thực. Wireshark chụp mỗi gói được gửi đến hoặc từ hệ thống của bạn.
Ngay khi bạn nhấp vào tên của giao diện, bạn sẽ thấy các gói bắt đầu xuất hiện trong thời gian thực. Wireshark chụp mỗi gói được gửi đến hoặc từ hệ thống của bạn.

Nếu bạn đã bật chế độ promiscuous - chế độ này được bật theo mặc định - bạn cũng sẽ thấy tất cả các gói khác trên mạng thay vì chỉ các gói được gửi tới bộ điều hợp mạng của bạn. Để kiểm tra xem chế độ promiscuous có được kích hoạt hay không, nhấn Capture> Options và kiểm tra hộp kiểm “Enable promiscuous mode on all interfaces” được kích hoạt ở dưới cùng của cửa sổ này.

Image
Image

Nhấp vào nút “Dừng” màu đỏ gần góc trên cùng bên trái của cửa sổ khi bạn muốn dừng lưu lượng truy cập.

Image
Image

Mã màu

Có thể bạn sẽ thấy các gói được đánh dấu bằng nhiều màu khác nhau. Wireshark sử dụng màu sắc để giúp bạn xác định các loại lưu lượng truy cập trong nháy mắt. Theo mặc định, màu tím nhạt là lưu lượng TCP, màu xanh dương nhạt là lưu lượng UDP và màu đen nhận dạng các gói có lỗi - ví dụ, chúng có thể được phân phối theo thứ tự.

Để xem chính xác ý nghĩa của các mã màu, hãy nhấp vào Xem> Quy tắc tô màu. Bạn cũng có thể tùy chỉnh và sửa đổi các quy tắc tô màu từ đây, nếu bạn muốn.

Image
Image

Chụp mẫu

Nếu không có gì thú vị trên mạng của riêng bạn để kiểm tra, wiki của Wireshark có bạn được bảo hiểm. Wiki chứa một trang các tệp tin mẫu mà bạn có thể tải và kiểm tra. Nhấp vào Tệp> Mở trong Wireshark và duyệt tìm tệp đã tải xuống của bạn để mở tệp.

Bạn cũng có thể lưu ảnh chụp của riêng bạn trong Wireshark và mở chúng sau này. Nhấp vào Tệp> Lưu để lưu các gói đã chụp của bạn.

Image
Image

Lọc các gói

Nếu bạn đang cố gắng kiểm tra điều gì đó cụ thể, chẳng hạn như lưu lượng truy cập mà chương trình gửi khi gọi điện về nhà, chương trình sẽ giúp đóng tất cả các ứng dụng khác bằng mạng để bạn có thể thu hẹp lưu lượng truy cập. Tuy nhiên, bạn có thể sẽ có một lượng lớn các gói dữ liệu để sàng lọc. Đó là nơi các bộ lọc của Wireshark xuất hiện.

Cách cơ bản nhất để áp dụng bộ lọc là bằng cách nhập nó vào hộp bộ lọc ở đầu cửa sổ và nhấp vào Áp dụng (hoặc nhấn Enter). Ví dụ: nhập “dns” và bạn sẽ chỉ thấy các gói DNS. Khi bạn bắt đầu nhập, Wireshark sẽ giúp bạn tự động hoàn thành bộ lọc của mình.

Bạn cũng có thể nhấp vào Phân tích> Bộ lọc hiển thị để chọn bộ lọc trong số các bộ lọc mặc định có trong Wireshark. Từ đây, bạn có thể thêm bộ lọc tùy chỉnh của riêng mình và lưu chúng để dễ dàng truy cập chúng trong tương lai.
Bạn cũng có thể nhấp vào Phân tích> Bộ lọc hiển thị để chọn bộ lọc trong số các bộ lọc mặc định có trong Wireshark. Từ đây, bạn có thể thêm bộ lọc tùy chỉnh của riêng mình và lưu chúng để dễ dàng truy cập chúng trong tương lai.

Để biết thêm thông tin về ngôn ngữ lọc hiển thị của Wireshark, hãy đọc trang biểu thức bộ lọc hiển thị Tòa nhà trong tài liệu chính thức của Wireshark.

Một điều thú vị khác bạn có thể làm là nhấp chuột phải vào một gói và chọn Follow> TCP Stream.
Một điều thú vị khác bạn có thể làm là nhấp chuột phải vào một gói và chọn Follow> TCP Stream.

Bạn sẽ thấy cuộc hội thoại TCP đầy đủ giữa máy khách và máy chủ. Bạn cũng có thể nhấp vào các giao thức khác trong trình đơn Theo dõi để xem các cuộc hội thoại đầy đủ cho các giao thức khác, nếu có.

Đóng cửa sổ và bạn sẽ thấy một bộ lọc đã được áp dụng tự động. Wireshark hiển thị cho bạn các gói tạo nên cuộc trò chuyện.
Đóng cửa sổ và bạn sẽ thấy một bộ lọc đã được áp dụng tự động. Wireshark hiển thị cho bạn các gói tạo nên cuộc trò chuyện.
Image
Image

Kiểm tra gói

Nhấp vào một gói để chọn nó và bạn có thể đào sâu để xem chi tiết của nó.

Bạn cũng có thể tạo bộ lọc từ đây - chỉ cần nhấp chuột phải vào một trong các chi tiết và sử dụng menu con Áp dụng dưới dạng Bộ lọc để tạo bộ lọc dựa trên bộ lọc đó.
Bạn cũng có thể tạo bộ lọc từ đây - chỉ cần nhấp chuột phải vào một trong các chi tiết và sử dụng menu con Áp dụng dưới dạng Bộ lọc để tạo bộ lọc dựa trên bộ lọc đó.
Image
Image

Wireshark là một công cụ cực kỳ mạnh mẽ, và hướng dẫn này chỉ làm xước bề mặt của những gì bạn có thể làm với nó. Các chuyên gia sử dụng nó để gỡ lỗi triển khai giao thức mạng, kiểm tra các vấn đề bảo mật và kiểm tra các giao thức mạng nội bộ.

Bạn có thể tìm thêm thông tin chi tiết trong Hướng dẫn sử dụng Wireshark chính thức và các trang tài liệu khác trên trang web của Wireshark.

Đề xuất: