Hướng dẫn sử dụng Wireshark từ A đến Z – Toàn tập cho người mới bắt đầu

Là một chuyên gia trong lĩnh vực công nghệ thông tin, tôi chắc chắn rằng bạn đã từng nghe qua về WireShark. Nhưng bạn có thực sự hiểu rõ về phần mềm này và cách thức nó có thể hỗ trợ công việc của bạn?

WireShark được biết đến là một công cụ hàng đầu trong việc bắt gói tin, theo dõi, giám sát và phân tích lưu lượng mạng (Network Traffic). Trong bài viết này, hãy cùng tôi khám phá hướng dẫn sử dụng WireShark từ cơ bản đến nâng cao, bao gồm: cài đặt, cách bắt gói tin, đọc gói tin, phân tích gói tin và cách viết Wireshark Expression để lọc (filter) lưu lượng khi bắt (capture) hoặc phân tích.

Wireshark là gì?

WireShark là một phần mềm mã nguồn mở, được sử dụng rộng rãi bởi các chuyên gia mạng và quản trị viên hệ thống để bắt gói tin, phân tíchxác định các vấn đề liên quan đến mạng, chẳng hạn như:

  • Rớt gói tin
  • Kết nối chậm
  • Các truy cập bất thường

Phần mềm WireShark cung cấp cho người dùng cái nhìn sâu sắc về các gói tin mạng (Network Packets) đang di chuyển trong hệ thống, từ đó dễ dàng xác định nguyên nhân gốc rễ gây ra lỗi.

Website chính thức: https://www.wireshark.org/

Tại sao nên sử dụng WireShark?

WireShark mang đến nhiều lợi ích vượt trội, biến nó trở thành công cụ đắc lực cho bất kỳ ai làm việc trong lĩnh vực CNTT:

  • Bắt gói tin thời gian thực: WireShark cho phép bạn bắt các gói tin trong thời gian thực (real time), lưu trữ và phân tích chúng sau này (offline).
  • Hỗ trợ đa dạng giao thức: Wireshark hỗ trợ nhiều giao thức mạng khác nhau, bao gồm HTTP, TCP, UDP, IP, DNS,… giúp bạn dễ dàng phân tích lưu lượng mạng một cách toàn diện.
  • Lọc và phân tích mạnh mẽ: Với bộ lọc (filter) và tính năng tô màu (color coding), Wireshark cho phép bạn tập trung vào các gói tin cụ thể và phân tích chúng một cách hiệu quả.
  • Miễn phí và mã nguồn mở: Wireshark là một phần mềm mã nguồn mở, được cấp phép GPL, cho phép người dùng sử dụng, chia sẻ và sửa đổi một cách tự do.

Ứng dụng của Wireshark trong thực tế

Wireshark được sử dụng rộng rãi bởi các chuyên gia mạng, quản trị viên hệ thống và cả trong lĩnh vực giáo dục, với nhiều mục đích khác nhau:

  • Khắc phục sự cố mạng: Giúp xác định nguyên nhân gốc rễ gây ra sự cố mạng như mất kết nối, kết nối chậm, gián đoạn,…
  • Phân tích hiệu suất mạng: Cung cấp thông tin chi tiết về hiệu suất mạng, bao gồm thời gian phản hồi, độ trễ và các thống kê khác.
  • Nâng cao bảo mật: Phát hiện các hoạt động độc hại trên mạng như tấn công phishing, kiểm soát truy cập trái phép,…
  • Giáo dục và đào tạo: Giúp sinh viên và người học CNTT hiểu rõ hơn về cách thức hoạt động của mạng máy tính.

Hướng dẫn tải và cài đặt Wireshark

Wireshark hỗ trợ đa nền tảng, bạn có thể dễ dàng tải và cài đặt trên Windows, macOS, Linux. Dưới đây là hướng dẫn chi tiết:

1. Tải xuống Wireshark:

  • Truy cập trang web chính thức của Wireshark: https://www.wireshark.org/
  • Chọn phiên bản phù hợp với hệ điều hành của bạn (Windows, macOS, Linux).
  • Tải xuống file cài đặt.

2. Cài đặt Wireshark:

  • Trên Windows:
    • Chạy file cài đặt đã tải xuống (.exe).
    • Làm theo hướng dẫn trên màn hình để hoàn tất cài đặt.
  • Trên macOS:
    • Mở file cài đặt đã tải xuống (.dmg).
    • Kéo biểu tượng Wireshark vào thư mục Applications.
  • Trên Ubuntu:
    • Mở Terminal và chạy lệnh sau:
        sudo apt-get install wireshark
  • Trên RedHat Fedora:
    • Mở Terminal và chạy lệnh sau:
        sudo dnf install wireshark-qt

3. Khởi động Wireshark:

  • Sau khi cài đặt, bạn có thể khởi động Wireshark từ menu Start (Windows), Applications (macOS) hoặc Terminal (Linux).

Hướng dẫn sử dụng Wireshark cơ bản

Sau khi cài đặt xong Wireshark, hãy cùng tôi tìm hiểu cách sử dụng WireShark để bắt và phân tích gói tin mạng:

1. Bắt gói tin (Capture Packets)

  • Bước 1: Chọn giao diện mạng

    Ở giao diện chính, chọn giao diện mạng (network interface) mà bạn muốn bắt gói tin. Ví dụ: Ethernet, Wi-Fi.

  • Bước 2: Bắt đầu bắt gói tin

    Nhấn nút “Start” (biểu tượng hình cá mập) để bắt đầu quá trình bắt gói tin.

  • Bước 3: Dừng bắt gói tin

    Nhấn nút “Stop” (biểu tượng hình vuông) để dừng bắt gói tin.

  • Bước 4: Lưu gói tin (tùy chọn)

    Bạn có thể lưu gói tin đã bắt vào file để phân tích sau này. Chọn “File” > “Save“.

2. Lọc gói tin (Filter Packets)

Với số lượng lớn gói tin được bắt, việc lọc gói tin giúp bạn tập trung vào những gì quan trọng. Wireshark cung cấp hai loại bộ lọc:

  • Capture Filter: Áp dụng bộ lọc trong quá trình bắt gói tin, chỉ những gói tin thỏa mãn điều kiện mới được bắt.
  • Display Filter: Áp dụng bộ lọc sau khi bắt gói tin, hiển thị những gói tin thỏa mãn điều kiện.

Cách sử dụng bộ lọc:

  • Nhập biểu thức bộ lọc vào ô “Filter“.
  • Sử dụng các bộ lọc được xác định trước: Chọn “Analyze” > “Display Filters“.

3. Phân tích gói tin (Analyze Packets)

Sau khi bắt và lọc gói tin, bạn có thể bắt đầu phân tích chúng. Wireshark cung cấp nhiều thông tin hữu ích về mỗi gói tin:

  • Packet List Pane: Liệt kê tất cả các gói tin đã bắt, hiển thị thông tin như: số thứ tự, thời gian, nguồn, đích, giao thức.
  • Packet Details Pane: Hiển thị thông tin chi tiết về gói tin được chọn, bao gồm các lớp (layer) khác nhau của gói tin.
  • Packet Bytes Pane: Hiển thị dữ liệu thô của gói tin ở dạng hex và ASCII.

Các tính năng phân tích hữu ích:

  • Follow TCP Stream: Theo dõi luồng TCP giữa client và server.
  • Statistics: Cung cấp thông tin thống kê về các gói tin đã bắt.
  • Coloring Rules: Tô màu các gói tin dựa trên các quy tắc nhất định.

Hướng dẫn sử dụng Wireshark nâng cao

1. Viết Wireshark Expression

Wireshark Expression là ngôn ngữ được sử dụng để tạo bộ lọc mạnh mẽ và linh hoạt. Dưới đây là một số ví dụ:

  • Lọc theo địa chỉ IP:

      ip.addr == 192.168.1.100
  • Lọc theo cổng (port):

      tcp.port == 80
  • Lọc theo giao thức:

      http
  • Kết hợp nhiều điều kiện:

      ip.addr == 192.168.1.100 and tcp.port == 80

2. Chế độ Promiscuous

Theo mặc định, WireShark chỉ bắt các gói tin được gửi đến hoặc gửi đi từ máy tính của bạn. Tuy nhiên, bạn có thể kích hoạt chế độ Promiscuous để bắt tất cả các gói tin trên mạng, kể cả những gói tin không dành cho máy tính của bạn.

Lưu ý: Việc sử dụng chế độ Promiscuous cần được thực hiện cẩn thận và tuân thủ chính sách bảo mật của mạng.

3. Wireshark Command Line (tshark)

Ngoài giao diện người dùng đồ họa (GUI), WireShark cũng cung cấp giao diện dòng lệnh (CLI) với tên gọi là tshark. Tshark cho phép bạn thực hiện các tác vụ WireShark từ Terminal hoặc script.

Ví dụ:

tshark -i eth0 -w capture.pcap

Lệnh này sẽ bắt gói tin trên giao diện eth0 và lưu vào file capture.pcap.

Lời kết

WireShark là một công cụ mạnh mẽ và linh hoạt, cung cấp cho người dùng khả năng bắt gói tin, phân tích và khắc phục sự cố mạng một cách hiệu quả. Hy vọng với hướng dẫn sử dụng WireShark từ cơ bản đến nâng cao này, bạn đã có thể tự tin sử dụng WireShark để phân tích mạng và nâng cao kỹ năng CNTT của mình.

Nguồn: https://truongxaydunghcm.edu.vn/