1. Thông báo
    • Đã có box quảng cáo rao vặt, hãy cẩn thận để không bị banned tài khoản
    • Update 28/12/2016: Yêu cầu các bài rao vặt post sau ngày này cần phải share g+, post nào không share sẽ bị xóa không cần báo trước.
    • Vi phạm quy định 3 lần, sẽ bị xóa bài acc + toàn bộ bài viết
    Dismiss Notice

Phần mềm bắt và phân tích gói tin với Wireshark

Discussion in 'Quản trị mạng - Hệ thống' started by ThaiDuong, Oct 6, 2016.

  1. ThaiDuong Administrator

    Hôm nay mình có chút việc cần tìm về việc phân tích và bắt gói tin trong mạng LAN, internet nên mình có tìm hiểu trên mạng, tìm thấy Wireshark và được mọi người đánh giá rất cao phần mềm phân tích gói tin này. Mình thấy đây là một bài viết hay nên copy về site để chia sẻ lại với mọi người :)

    Chào các bạn, hôm nay mình sẽ chia sẻ với các bạn một công cụ tuyệt vời để bắt và phân tích gói tin mạng, đó là wireshark.
    wireshark.png
    I - Giới thiệu về wireshark

    1. Về lịch sử

    Wireshark có một bề dày lịch sử ... mà thôi khỏi cần dài dòng làm gì :D các bạn chỉ cần nhớ, wireshark do Gerald Combs phát triển, và phiên bản đầu tiên có tên là Ethereal được phát hành năm 1998.

    2. Các tính năng cơ bản của wireshark
    • Wireshark thân thiện với người dùng: wireshark có cửa sổ giao diện rất dễ sử dụng.
    • Wireshark là một phần mềm hoàn toàn miễn phí và mã nguồn mở.
    • Wireshark hỗ trợ hầu hết các hệ điều hành hiện nay.
    • Wireshark hỗ trợ hầu hết các giao thức hiện nay, kể cả những giao thức đặc biệt như apple talk hay bit torrent.

    II - Các tính năng nâng cao của wireshark

    1. Name Resolution
    • Dữ liệu truyền trong mạng thông qua một vài hệ thống địa chỉ, các địa chỉ này thường dài và khó nhớ (Ví dụ: MAC). Phân giải điạ chỉ là quá trình mà một giao thức sử dụng để chuyển đổi một địa chỉ loại này thành một địa chỉ loại khác đơn giản hơn.
    Các kiểu công cụ phân giải tên trong Wireshark: có 3 loại
    • MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP tầng 3.
    • Network Name Resolution: chuyển đổi địa chỉ tầng 3 sang một tên DNS dễ đọc như là MarketingPC1.
    • Transport Name Resolution: chuyển đổi một cổng sang một tên dịch vụ tương ứng với nó, ví dụ: cổng 80 là http.
    2. Protocol Dissection

    Một protocol dissector cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích.
    Wireshark sử dụng đồng thời vài dissector để phiên dịch mỗi gói tin. Nó quyết định dissector nào được sử dụng bằng cách sử dụng phân tích lôgic đã được cài đặt sẵn và thực hiện việc dự đoán.

    3. Following TCP Streams

    Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP như là ở tầng ứng dụng. Tính năng này cho phép bạn phối hợp tất cả các thông tin liên quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm chứa giống như là người dùng cuối nhìn thấy trong ứng dụng.
    Để sử dụng tính năng này, bạn click chuột phải vào 1 gói packet, chọn Follow TCP Stream

    tcpfollow1-png[1].png


    4. Cửa sổ thống kê phân cấp giao thức

    Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân bố các giao thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và DHCP là bao nhiêu phần trăm,... Thay vì phải đếm từng gói tin để thu được kết quả, chúng ta có thể sử dụng cửa sổ thống kê phân cấp giao thức của Wireshark.
    Để sử dụng tính năng này, bạn chọn menu Statistics > Protocol Hierarchy

    tcpfollow-png[1].png

    5. Xem các Endpoints


    Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể. Ví dụ, có hai endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và nhận dữ liệu, 192.168.1.5 và 192.168.0.8.
    Để sử dụng tính năng này, bạn chọn menu Statistics > Endpoint List và chọn một giao thức để hiển thị.

    picture1-png[1].png


    6. Cửa số đồ thị IO

    Cách tốt nhất để hình dung hướng giải quyết là xem chúng dưới dạng hình ảnh. Cửa sổ đồ thị IO của Wireshark cho phép bạn vẽ đồ thị lưu lượng dữ liệu trên mạng.
    Để sử dụng tính năng này, bạn chọn menu Statistics > IO Graph

    picture2-png[1].png


    III - Hướng dẫn sử dụng

    1. Cài đặt.

    Wireshark là một phần mềm hoàn toàn miễn phí, có thể tải về tại http://wireshark.org.
    Cài đặt wireshark cũng rất đơn giản trên tất cả các hệ điều hành.

    2. Sử dụng

    Để bắt được gói tin, Wireshark phải được cài đặt trên máy tính có kết nối mạng(LAN, mạng ảo, Internet…) đang hoạt động và Wireshark phải chạy trước, trước khi quá trình trao đổi dữ liệu diễn ra.

    Để bắt một gói tin với wireshark. Tại màn hình chính, chọn menu Capture > Interface hoặc nhấn tổ hợp phím Ctrl + I.
    picture3-png[1].png

    picture4-png[1].png
    Chọn card mạng mà bạn muốn bắt gói tin và nhấn start.
    - Để kết thúc quá trình bắt gói tin, bạn nhấn vào nút stop trên thanh công cụ hoặc vào menu Capture > Stop.
    - Cửa sổ hiển thị các gói tin gồm 3 phần

    picture5-png[1].png

    Phần danh sách các gói tin: hiển thị tất cả các gói tin đã bắt được, kèm theo thông tin vắn tắt của mỗi gói tin.
    • Phần “Các phần của gói tin đang chọn” sẽ hiển thị các giao thức, các trường của mỗi giao thức. Các trường được tổ chức theo cấu trúc cây, có thể mở rộng hoặc thu gọn cấu trúc cây để tiện quan sát.
    • Khi bấm vào mỗi gói tin trong phần “Danh sách các gói tin”, nội dung của gói tin dưới dạng hệ số16 sẽ được hiển thị tại phần “Nội dung dạng hex của gói tin”.
    IV - Một số ví dụ về bắt và phân tích gói tin.

    1. Ping

    Thực hiện ping tới địa chỉ google (8.8.8.8)



    Kết quả cho thấy giao thức của ping là ICMP, với hai loại gói tin là Echo Request và Echo Reply. Gói tin Request là gói tin gửi đi, được gửi từ nguồn (máy mình) tới đích (google) và gói Reply là ngược lại. Qua đây, ta cũng giải thích được cơ chế hoạt động của Ping.
     

Share This Page