Hướng dẫn này sẽ giúp bạn tăng tốc với các khái niệm cơ bản về việc thu thập các gói, lọc chúng và kiểm tra chúng. Bạn có thể sử dụng Wireshark để kiểm tra lưu lượng truy cập mạng của một chương trình đáng ngờ, phân tích lưu lượng truy cập trên mạng của bạn hoặc khắc phục sự cố mạng.
Bắt Wireshark
Bạn có thể tải xuống Wireshark cho Windows hoặc macOS từ trang web chính thức của nó. Nếu bạn đang sử dụng Linux hoặc một hệ thống giống UNIX khác, có thể bạn sẽ tìm thấy Wireshark trong kho lưu trữ gói của nó. Ví dụ: nếu bạn đang sử dụng Ubuntu, bạn sẽ tìm thấy Wireshark trong Trung tâm phần mềm Ubuntu.
Chỉ cần cảnh báo nhanh: Nhiều tổ chức không cho phép Wireshark và các công cụ tương tự trên mạng của họ. Không sử dụng công cụ này tại nơi làm việc trừ khi bạn được phép.
Chụp gói
Sau khi tải xuống và cài đặt Wireshark, bạn có thể khởi chạy nó và nhấp đúp vào tên của một giao diện mạng trong Capture để bắt đầu chụp các gói trên giao diện đó. Ví dụ: nếu bạn muốn ghi lại lưu lượng truy cập trên mạng không dây của mình, hãy nhấp vào giao diện không dây của bạn. Bạn có thể định cấu hình các tính năng nâng cao bằng cách nhấp vào Chụp> Tùy chọn, nhưng điều này không cần thiết ngay bây giờ.
Nếu bạn đã bật chế độ promiscuous - chế độ này được bật theo mặc định - bạn cũng sẽ thấy tất cả các gói khác trên mạng thay vì chỉ các gói được gửi tới bộ điều hợp mạng của bạn. Để kiểm tra xem chế độ promiscuous có được kích hoạt hay không, nhấn Capture> Options và kiểm tra hộp kiểm “Enable promiscuous mode on all interfaces” được kích hoạt ở dưới cùng của cửa sổ này.
Nhấp vào nút “Dừng” màu đỏ gần góc trên cùng bên trái của cửa sổ khi bạn muốn dừng lưu lượng truy cập.
Mã màu
Có thể bạn sẽ thấy các gói được đánh dấu bằng nhiều màu khác nhau. Wireshark sử dụng màu sắc để giúp bạn xác định các loại lưu lượng truy cập trong nháy mắt. Theo mặc định, màu tím nhạt là lưu lượng TCP, màu xanh dương nhạt là lưu lượng UDP và màu đen nhận dạng các gói có lỗi - ví dụ, chúng có thể được phân phối theo thứ tự.
Để xem chính xác ý nghĩa của các mã màu, hãy nhấp vào Xem> Quy tắc tô màu. Bạn cũng có thể tùy chỉnh và sửa đổi các quy tắc tô màu từ đây, nếu bạn muốn.
Chụp mẫu
Nếu không có gì thú vị trên mạng của riêng bạn để kiểm tra, wiki của Wireshark có bạn được bảo hiểm. Wiki chứa một trang các tệp tin mẫu mà bạn có thể tải và kiểm tra. Nhấp vào Tệp> Mở trong Wireshark và duyệt tìm tệp đã tải xuống của bạn để mở tệp.
Bạn cũng có thể lưu ảnh chụp của riêng bạn trong Wireshark và mở chúng sau này. Nhấp vào Tệp> Lưu để lưu các gói đã chụp của bạn.
Lọc các gói
Nếu bạn đang cố gắng kiểm tra điều gì đó cụ thể, chẳng hạn như lưu lượng truy cập mà chương trình gửi khi gọi điện về nhà, chương trình sẽ giúp đóng tất cả các ứng dụng khác bằng mạng để bạn có thể thu hẹp lưu lượng truy cập. Tuy nhiên, bạn có thể sẽ có một lượng lớn các gói dữ liệu để sàng lọc. Đó là nơi các bộ lọc của Wireshark xuất hiện.
Cách cơ bản nhất để áp dụng bộ lọc là bằng cách nhập nó vào hộp bộ lọc ở đầu cửa sổ và nhấp vào Áp dụng (hoặc nhấn Enter). Ví dụ: nhập “dns” và bạn sẽ chỉ thấy các gói DNS. Khi bạn bắt đầu nhập, Wireshark sẽ giúp bạn tự động hoàn thành bộ lọc của mình.
Để biết thêm thông tin về ngôn ngữ lọc hiển thị của Wireshark, hãy đọc trang biểu thức bộ lọc hiển thị Tòa nhà trong tài liệu chính thức của Wireshark.
Bạn sẽ thấy cuộc hội thoại TCP đầy đủ giữa máy khách và máy chủ. Bạn cũng có thể nhấp vào các giao thức khác trong trình đơn Theo dõi để xem các cuộc hội thoại đầy đủ cho các giao thức khác, nếu có.
Kiểm tra gói
Nhấp vào một gói để chọn nó và bạn có thể đào sâu để xem chi tiết của nó.
Wireshark là một công cụ cực kỳ mạnh mẽ, và hướng dẫn này chỉ làm xước bề mặt của những gì bạn có thể làm với nó. Các chuyên gia sử dụng nó để gỡ lỗi triển khai giao thức mạng, kiểm tra các vấn đề bảo mật và kiểm tra các giao thức mạng nội bộ.
Bạn có thể tìm thêm thông tin chi tiết trong Hướng dẫn sử dụng Wireshark chính thức và các trang tài liệu khác trên trang web của Wireshark.
