Hiểu biết về Wireshark
Wireshark là một ứng dụng chụp gói dữ liệu dựa trên nguồn mở rất hữu ích để quét và nắm bắt lưu lượng dữ liệu trên mạng internet. Ứng dụng này thường được sử dụng như một công cụ khắc phục sự cố trên mạng có vấn đề, nhưng cũng thường được sử dụng để thử nghiệm phần mềm bởi vì khả năng đọc nội dung của từng gói lưu lượng dữ liệu. Ứng dụng này trước đây được biết đến bằng tên Ethereum, nhưng do vấn đề nhãn hiệu, tên đã được đổi thành Dây đeo.
Wireshark hỗ trợ nhiều định dạng tệp theo dõi / theo dõi gói bao gồm .cap và .erf. Ngoài ra, công cụ giải mã được tích hợp trong nó có khả năng hiển thị các gói được mã hóa của một số giao thức thường được sử dụng trên mạng internet hiện nay, bao gồm WEP và WPA / WPA2. Một trong những tiện ích của Wireshark là phân phối bản chất phát triển của nó đa nền tảng, vì vậy người dùng Linux và Macintosh cũng có thể cài đặt và sử dụng ứng dụng này.
Chức năng Wireshark
Trong một nhận thức tích cực, Wireshark rất hữu ích cho công việc phân tích mạng. Cách thức hoạt động của nó là bằng cách 'bắt' các gói dữ liệu từ các giao thức khác nhau từ các loại mạng khác nhau thường thấy trong lưu lượng mạng internet. Các gói dữ liệu được 'bắt giữ' và sau đó được hiển thị trong cửa sổ kết quả chụp một cách thời gian thực.
Khi bắt đầu quá trình phân tích mạng bằng Wireshark, tất cả các gói dữ liệu đã bắt được hiển thị tất cả mà không bị kén chọn (chế độ lăng nhăng). Tất cả các gói dữ liệu có thể được xử lý lại bằng lệnh phân loại và bộ lọc.
Trong nhận thức tiêu cực, Wireshark thường được sử dụng bởi một số tin tặc để làm đánh hơi. Thuật ngữ đánh hơi thực tế không khác nhiều so với việc bắt các gói dữ liệu, nhưng theo một ý nghĩa tiêu cực, bởi vì nó có thể có tác động bất lợi đến người khác, đặc biệt là về quyền riêng tư.
Để hoạt động chính xác, Wireshark cần một ứng dụng có tên WinPcap hoặc Npcap làm nền tảng của nó. WinPcap vẫn có thể được sử dụng cho đến phiên bản Windows 7, là cho Windows 10 không còn được hỗ trợ, NPCap cũng đã được phát triển. Khác với pcap như một libcap thư viện trên hệ thống Linux, Windows chỉ sử dụng một cảng chỉ từ thư viện Libcap là Npcap.
PCAP là một API (giao diện lập trình ứng dụng) để làm chụp trên lưu lượng mạng internet. PCAP không phải là một cái gì đó mới, nó là một phần cốt lõi/ cốt lõi của chương trình chụp gói dữ liệu tiền thân của nó, TCPDUMP. Wireshark sử dụng PCAP để chụp các gói dữ liệu, do đó, một nhà phân tích mạng sử dụng Wireshark chỉ có thể 'bắt' các loại gói dữ liệu chỉ được PCAP hỗ trợ.
Cách thức hoạt động của Wireshark
Cách thức hoạt động của ứng dụng này rất giống với TCPDUMP nhưng có giao diện người dùng dễ hiểu và dễ vận hành hơn.
(1) Tải xuống và cài đặt
Trước khi bắt đầu cài đặt Wireshark, bạn nên tải xuống và cài đặt Npcap trước. Bạn có thể lấy NPCAP tại địa chỉ nmap.org/npcap.
Có thể tải xuống ứng dụng Wireshark miễn phí thông qua trang tải xuống của Wireshark Foundation cho MacOS và Windows tại địa chỉ www.wireshark.org/d Download. Tại địa chỉ này, bạn sẽ tìm thấy một số phiên bản phát hành. Nếu đây là lần đầu tiên bạn thử sử dụng Wireshark, bạn nên chọn nhãn phát hành ổn định chỉ để an toàn hơn Ở giữa quá trình cài đặt nó Bạn sẽ được cung cấp tùy chọn cài đặt Npcap, đánh dấu kiểm nếu bạn chưa cài đặt nó.
Đối với Linux, nó có thể được cài đặt bằng CLI (giao diện dòng lệnh) sudo apt. Phương pháp cài đặt có thể khác nhau đối với từng phiên bản Linux, sau đây là ví dụ cho Linux Ubuntu 18.04 LTS.
1. mở nó ra nhắc lệnh sau đó gõ lệnh$ sudo apt cập nhậtĐể cập nhậtkho gói‘.
2. sau quá trình số 1 xong, gõ type$ sudo apt cài đặt wireshark‘.
3. sau đó một cửa sổ sẽ xuất hiệnCấu hình gói‘, Theo cách mặc định Wireshark sẽ chạy nhưgốc, Chọn ‘Có, nếu bạn không muốn sử dụng Wireshark với đặc quyền gốc.
4. Đợi cho đến khi quá trình cài đặt hoàn tất, sau đó khởi động lại PC
(2) Quá trình thu thập gói dữ liệu
Đây là cách sử dụng chức năng chụp trên Wireshark.
Khi ứng dụng Wireshark được mở, bạn sẽ thấymàn hình chào mừngHiển thị danh sách các kết nối mạngcó sẵnTrên thiết bị PC bạn đang sử dụng. Chọn một hoặc một số nếu cần, sau đó làm điều đó chụp.
sau một thời gian, bạn có thể làm Lưu dưới dạng hoặc Xuất khẩu để ghi lại kết quả chụp. Quy trình tiết kiệm hoặc xuất khẩu điều này bạn có thể làm trong khi chương trình vẫn đang chụp.
dừng quá trình chụp, nhấn Ctrl + E hoặc nhấn nút Dừng lại trên thanh công cụ.
(3) Đọc và phân tích dữ liệu chụp
Wireshark ‘bắt dữ liệu trên mạng được hiển thị trên ba (3) phần cửa sổ:
1. cửa sổ danh sách góiTrong cửa sổ này, các gói dữ liệu bắt được sắp xếp theo định dạng bảng. Mỗi gói nhận được được hiển thị trong một hàng /hàng theo số lượng tương ứng trong chuỗi. Quá trình càng dài chụp, càng nhiều hàng /hàng paket bắt gói dữ liệu. Mỗi dòng sẽ chứa các đơn vị thông tin gói bao gồm gói nguồn (nguồn), đích đến (điểm đến), giao thức (giao thức), chiều dài (độ dài của gói dữ liệu theo đơn vị byte) và thông tin.
2. cửa sổ chi tiết góiCửa sổ này nằm ở giữa, chức năng của nó là trình bày nội dung của thông tin giao thức từ các dòng gói dữ liệu được chọn trong cửa sổ danh sách gói, dữ liệu được trình bày theo chiều ngang và phân cấp.
3. cửa sổ byte góiỞ dưới cùng của cửa sổ, dữ liệu được hiển thị nguyên từ gói dữ liệu được chọn trong cửa sổ trên cùng (danh sách gói). Dữ liệu thô xuất hiện ở định dạng thập lục phân (lục giác). Dữ liệu hex chứa 16 byte thập lục phân và 16 byte ASCII.
(4) sử dụng bộ lọc Wireshark
Chụp bộ lọc nằm phía trên cửa sổ danh sách gói, ở đó người dùng có thể nhập ‘truy vấn để lọc các gói dữ liệu đáp ứng các tiêu chí nhất định. Bộ lọc cũng có thể được áp dụng để ghi âm chụp lưu lại Ví dụ: nếu bạn muốn xem gói dữ liệu TCP, sau đó gõ tcp.
Mặc dù đã sử dụng phương thức chế độ lăng nhăng, không phải tất cả các gói dữ liệu có thể được ghi lại đúng cách, không thể có được lưu lượng dữ liệu hoàn hảo. Luôn có động lực để học máy tính và công nghệ mạng. Hy vọng thông tin này hữu ích.
Đó là một lời giải thích về ý nghĩa của Wireshark và các chức năng và cách thức làm việc của nó mà chúng ta cần biết. Hy vọng hữu ích và dễ hiểu!
