1.Giới thiệu về Wireshark:
Ảnh giao diện Wireshark
Wireshark là một công cụ kiểm tra, theo dõi và phân tích thông tin mạng được phát triển bởi Gerald Combs. Phiên bản đầu tiên của Wireshark mang tên Ethereal được phát hành năm 1988. Đến nay, WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Các tiện ích của phần mềm Wireshark:
- Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu.
- Giá rẻ: Wireshark là một sản phẩm miễn phí. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại.
- Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở.
- Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay.
Một số tính năng nâng cao của Wireshark:
- Name Resolution: phân giải và chuyển đổi địa chỉ, hỗ trợ việc ghi nhớ.
- Protocol dissector: cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích
- Following TCP Streams: một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP như là ở tầng ứng dụng
- Cửa sổ thống kê phân cấp giao thức
- Xem các Endpoints
- Cửa sổ đồ thị IO,…
2.Giao diện tổng quan của Wireshark:
Khi bạn chạy chương trình Wireshark, giao diện người dùng dưới dạng đồ họa sẽ được thể hiện như sau:
Giao diện Wireshark có năm thành phần chính:
- Các Tùy chỉnh nằm ở phía trên của cửa sổ. Mối quan tâm của chúng ta hiện nay là các tập tin và Capture. Các menu File cho phép bạn lưu dữ liệu gói tin bị bắt hoặc mở một tập tin có chứa các gói dữ liệu bị bắt từ trước, và thoát khỏi ứng dụng Wireshark. Menu Capture cho phép bạn bắt đầu bắt gói tin.
- Cửa sổ danh sách gói tin hiển thị một bản tóm tắt một dòng cho mỗi gói tin
bị bắt, tại thời điểm mà các gói tin bị bắt, nguồn và địa chỉ đích của gói tin, các loại giao thức, và thông tin giao thức cụ thể có trong các gói tin. Danh sách này có thể được sắp xếp theo tùy chỉnh của mỗi loại bằng cách nhấp vào một tên cột. Các loại trường giao thức liệt kê các giao thức cấp cao nhất mà gửi hoặc nhận được gói tin này. - Cửa sổ chi tiết gói tin cung cấp chi tiết về các gói lựa chọn. Những chi tiết này bao gồm thông tin về các khung Ethernet (giả sử các gói đã được gửi/nhận trên một cổng Ethernet) và IP gói tin. Số lượng Ethernet và IP lớp chi tiết hiển thị có thể được mở rộng hoặc giảm thiểu bằng cách nhấp vào biểu tượng cộng hoặc trừ bên trái của khung Ethernet hoặc IP trong cửa sổ chi tiết gói tin. Nếu gói dữ liệu đã được thực hiện trên TCP hoặc UDP, chi tiết về TCP hoặc UDP cũng sẽ được hiển thị, tương tự mà có thể mở rộng hoặc thu nhỏ. Cuối cùng, chi tiết về các giao thức cấp cao nhất mà gửi hoặc nhận được gói tin này cũng được cung cấp.
- Cửa sổ nội dung gói tin: hiển thị toàn bộ nội dung của khung hình chụp,
trong cả hai định dạng mã ASCII và định dạng mã Hex. - Phía trên cùng của giao diện người dùng đồ họa Wireshark, là màn hình hiển thị kỹ thuật lọc gói tin, mà trong đó một tên giao thức hoặc các thông tin khác có thể được nhập vào đặt để lọc các thông tin hiển thị trong cửa sổ (và do đó các gói tiêu đề và gói nội dung cửa sổ).
3.Một thử ngiệm với Wireshark:
Cách tốt nhất để tìm hiểu về bất kỳ phần mềm nào là thử nó! Giả định rằng máy tính được kết nối với Internet thông qua một phương thức Ethernet có dây.- Khởi động trình duyệt web yêu thích của bạn, mà sẽ hiển thị trang web lựa chọn của bạn.
- Khởi động phần mềm Wireshark.
- Để bắt đầu bắt gói tin, click chọn Capture.
- Bạn có thể sử dụng hầu hết các giá trị mặc định trong cửa sổ này. Trong trường hợp máy tính của bạn có nhiều hơn một giao diện mạng đang hoạt động (ví dụ, nếu bạn có cả một kết nối không dây Wifi và một kết nối Ethernet có dây), bạn sẽ cần phải chọn một giao diện đang được sử dụng để gửi và nhận các gói dữ liệu. Sau khi chọn giao diện mạng (hoặc sử dụng giao diện mặc định được lựa chọn bởi Wireshark), nhấn Start. Bắt gói tin sẽ bắt đầu – tất cả các gói được gửi/nhận bởi bạn máy tính đang bị bắt bởi Wireshark!
- Khi bạn bắt đầu bắt gói tin, một cửa sổ gói tin tóm tắt chụp sẽ xuất hiện, cửa sổ này tóm tắt số lượng các loại gói tin khác nhau đang bị bắt, và nút Stop đó sẽ cho phép bạn chặn bắt gói tin.
- Trong khi Wireshark đang chạy, nhập địa chỉ URL: http://vnexpress.net và có trang hiển thị trong trình duyệt của bạn. Các khung có chứa các thông điệp HTTP sẽ được Wireshark bắt và ghi lại.
- Sau khi trình duyệt của bạn đã hiển thị trang vnexpress.net, bằng việc lựa chọn stop sẽ hiển thị cửa sổ chặn bắt gói tin của Wireshark. Cửa sổ chính của Wireshark sẽ chứa tất cả các thông điệp giao thức trao đổi giữa máy tính và các thực thể mạng khác! Tuy nhiên, sẽ có nhiều loại gói tin hiển thị khác nhau. Mặc dù hành động duy nhất là bạn đã tải về một trang web nhưng rõ ràng là có nhiều giao thức khác chạy trên máy tính mà là người sử dụng không nhìn thấy.
- Gõ vào “http” (không có dấu ngoặc kép) vào cửa sổ đặc tả bộ lọc hiển thị ở đầu cửa sổ chính. Sau đó chọn Apply (bên phải nơi mà bạn nhập “Http”). Điều này sẽ gây ra chỉ có tin nhắn HTTP sẽ được hiển thị trong cửa sổ gói tin.
- Để hiện thị rõ ràng và cụ thể hơn, bạn có Click chuột phải vào khung hiển thị các gói tin bị chặn bắt, chọn Follow TCP Stream. Các thông tin sẽ được hiển thị trong cửa sổ khác như sau:
- Thoát Wireshark