Làm thế nào để đọc các gói tin trong Wireshark

Đối với nhiều chuyên gia CNTT, Wireshark là công cụ cần thiết để phân tích gói mạng. Phần mềm nguồn mở cho phép bạn kiểm tra chặt chẽ dữ liệu thu thập được và xác định gốc rễ của vấn đề với độ chính xác được cải thiện. Hơn nữa, Wireshark hoạt động trong thời gian thực và sử dụng mã hóa màu để hiển thị các gói tin đã chụp, trong số các cơ chế tiện lợi khác.

Trong hướng dẫn này, chúng tôi sẽ giải thích cách thu thập, đọc và lọc các gói bằng Wireshark. Dưới đây, bạn sẽ tìm thấy hướng dẫn từng bước và bảng phân tích các chức năng phân tích mạng cơ bản. Khi bạn thành thạo các bước cơ bản này, bạn sẽ có thể kiểm tra luồng lưu lượng truy cập mạng của mình và khắc phục sự cố với hiệu quả cao hơn.

Phân tích gói tin

Sau khi các gói được nắm bắt, Wireshark sắp xếp chúng trong một ngăn danh sách gói chi tiết, cực kỳ dễ đọc. Nếu bạn muốn truy cập thông tin liên quan đến một gói duy nhất, tất cả những gì bạn phải làm là tìm nó trong danh sách và nhấp vào. Bạn cũng có thể mở rộng thêm cây để truy cập chi tiết của từng giao thức có trong gói.

Để có cái nhìn tổng quan hơn, bạn có thể hiển thị từng gói tin đã chụp trong một cửa sổ riêng biệt. Đây là cách thực hiện:

cách gắn nhãn các cột trong google trang tính

1. Chọn gói từ danh sách bằng con trỏ của bạn, sau đó nhấp chuột phải.
   
2. Mở tab View từ thanh công cụ ở trên.
   
3. Chọn Hiển thị Gói trong Cửa sổ Mới từ trình đơn thả xuống.
   

Lưu ý: Việc so sánh các gói đã thu được sẽ dễ dàng hơn nhiều nếu bạn đưa chúng lên trong các cửa sổ riêng biệt.

Như đã đề cập, Wireshark sử dụng hệ thống mã hóa màu để hiển thị dữ liệu. Mỗi gói được đánh dấu bằng một màu khác nhau đại diện cho các loại lưu lượng khác nhau. Ví dụ, lưu lượng TCP thường được đánh dấu bằng màu xanh lam, trong khi màu đen được sử dụng để chỉ ra các gói có lỗi.

Tất nhiên, bạn không cần phải ghi nhớ ý nghĩa đằng sau mỗi màu sắc. Thay vào đó, bạn có thể kiểm tra ngay tại chỗ:

1. Nhấp chuột phải vào gói bạn muốn kiểm tra.
   
2. Chọn tab Xem từ thanh công cụ ở đầu màn hình.
   
3. Chọn Quy tắc tô màu từ bảng thả xuống.
   

Bạn sẽ thấy tùy chọn để tùy chỉnh màu sắc theo ý thích của mình. Tuy nhiên, nếu bạn chỉ muốn tạm thời thay đổi các quy tắc tô màu, hãy làm theo các bước sau:

1. Bấm chuột phải vào gói trong ngăn danh sách gói.
2. Từ danh sách các tùy chọn, chọn Tô màu Với Bộ lọc.
   
3. Chọn màu mà bạn muốn gắn nhãn.
   

Số

Ngăn danh sách gói sẽ hiển thị cho bạn số lượng bit dữ liệu đã được thu thập chính xác. Vì các gói được tổ chức thành nhiều cột nên khá dễ hiểu. Các danh mục mặc định là:

• Không. (Số): Như đã đề cập, bạn có thể tìm thấy số lượng chính xác các gói được bắt trong cột này. Các chữ số sẽ vẫn giữ nguyên ngay cả sau khi lọc dữ liệu.
• Thời gian: Như bạn có thể đoán, dấu thời gian của gói được hiển thị ở đây.
• Nguồn: Nó cho biết nơi bắt nguồn của gói tin.
• Đích: Nó hiển thị nơi mà gói tin sẽ được lưu giữ.
• Giao thức: Nó hiển thị tên của giao thức, thường là viết tắt.
• Độ dài: Nó hiển thị số byte có trong gói được bắt.
• Thông tin: Cột này bao gồm bất kỳ thông tin bổ sung nào về một gói tin cụ thể.

Thời gian

Khi Wireshark phân tích lưu lượng mạng, mỗi gói được chụp đều được đóng dấu thời gian. Dấu thời gian sau đó được đưa vào ngăn danh sách gói và có sẵn để kiểm tra sau.

Wireshark không tự tạo dấu thời gian. Thay vào đó, công cụ phân tích lấy chúng từ thư viện Npcap. Tuy nhiên, nguồn của dấu thời gian thực sự là hạt nhân. Đó là lý do tại sao độ chính xác của dấu thời gian có thể khác nhau giữa các tệp.

Bạn có thể chọn định dạng mà các dấu thời gian sẽ được hiển thị trong danh sách gói. Ngoài ra, bạn có thể đặt độ chính xác ưu tiên hoặc số vị trí thập phân được hiển thị. Ngoài cài đặt độ chính xác mặc định, còn có:

• Giây
• Phần mười giây
• Phần trăm giây
• Mili giây
• Microseconds
• Nano giây

Nguồn

Như tên cho thấy, nguồn của gói là nơi xuất xứ. Nếu bạn muốn lấy mã nguồn của kho lưu trữ Wireshark, bạn có thể tải xuống bằng cách sử dụng ứng dụng khách Git. Tuy nhiên, phương pháp này yêu cầu bạn phải có tài khoản GitLab. Bạn hoàn toàn có thể làm được điều đó nếu không có tài khoản, nhưng tốt hơn hết là bạn nên đăng ký để đề phòng.

Khi bạn đã đăng ký tài khoản, hãy làm theo các bước sau:

1. Đảm bảo Git hoạt động bằng cách sử dụng lệnh này: $ git -–version.
   
2. Kiểm tra kỹ xem địa chỉ email và tên người dùng của bạn đã được định cấu hình chưa.
3. Tiếp theo, tạo một bản sao của nguồn Workshark. Sử dụng dấu $ git clone -o upstream [email protected]:wireshark/wireshark.git URL SSH để tạo bản sao.
4. Nếu bạn chưa có tài khoản GitLab, hãy thử URL HTTPS: $ git clone -o upstream https://gitlab.com/wireshark/wireshark.git .
   

Tất cả các nguồn sau đó sẽ được sao chép vào thiết bị của bạn. Hãy nhớ rằng quá trình sao chép có thể mất một lúc, đặc biệt nếu bạn có kết nối mạng chậm.

Điểm đến

Nếu bạn muốn biết địa chỉ IP của đích đến của một gói tin cụ thể, bạn có thể sử dụng bộ lọc hiển thị để định vị nó. Đây là cách thực hiện:

1. Nhập ip.addr == 8.8.8.8 vào Hộp lọc Wireshark. Sau đó, nhấp vào Enter.
   
2. Ngăn danh sách gói sẽ được cấu hình lại chỉ để hiển thị đích gói. Tìm địa chỉ IP mà bạn quan tâm bằng cách cuộn qua danh sách.
   
3. Sau khi hoàn tất, hãy chọn Xóa từ thanh công cụ để định cấu hình lại ngăn danh sách gói.

Giao thức

Giao thức là một hướng dẫn xác định việc truyền dữ liệu giữa các thiết bị khác nhau được kết nối với cùng một mạng. Mỗi gói Wireshark chứa một giao thức và bạn có thể hiển thị nó bằng cách sử dụng bộ lọc hiển thị. Đây là cách thực hiện:

1. Ở đầu cửa sổ Wireshark, nhấp vào hộp thoại Bộ lọc.
2. Nhập tên của giao thức bạn muốn kiểm tra. Thông thường, tiêu đề giao thức được viết bằng chữ thường.
3. Nhấp vào Nhập hoặc Áp dụng để bật bộ lọc hiển thị.

Chiều dài

Độ dài của gói Wireshark được xác định bởi số byte được ghi lại trong đoạn mạng cụ thể đó. Con số đó thường tương ứng với số byte dữ liệu thô được liệt kê ở cuối cửa sổ Wireshark.

Nếu bạn muốn kiểm tra sự phân bố độ dài, hãy mở cửa sổ Độ dài gói. Tất cả thông tin được chia thành các cột sau:

• Độ dài gói
• Đếm
• Trung bình cộng
• Val tối thiểu / Val tối đa
• Tỷ lệ
• Phần trăm
• Tỷ lệ nổ
• Bắt đầu bùng nổ

Thông tin

Nếu có bất kỳ điểm bất thường nào hoặc các mục tương tự trong một gói tin đã chụp cụ thể, Wireshark sẽ lưu ý điều đó. Thông tin sau đó sẽ được hiển thị trong ngăn danh sách gói để kiểm tra thêm. Bằng cách đó, bạn sẽ có một bức tranh rõ ràng về hành vi mạng không điển hình, điều này sẽ dẫn đến phản ứng nhanh hơn.

Câu hỏi thường gặp bổ sung

Làm cách nào để lọc dữ liệu gói?

Lọc là một tính năng hiệu quả cho phép bạn xem xét các chi tiết cụ thể của một chuỗi dữ liệu cụ thể. Có hai loại bộ lọc Wireshark: chụp và hiển thị. Bộ lọc Capture có sẵn để hạn chế việc bắt gói để phù hợp với các nhu cầu cụ thể. Nói cách khác, bạn có thể sàng lọc các loại lưu lượng truy cập khác nhau bằng cách áp dụng bộ lọc thu thập. Như tên cho thấy, bộ lọc hiển thị cho phép bạn trau dồi về một phần tử cụ thể của gói, từ độ dài gói đến giao thức.

Áp dụng một bộ lọc là một quá trình khá đơn giản. Bạn có thể nhập tiêu đề bộ lọc vào hộp thoại ở đầu cửa sổ Wireshark. Ngoài ra, phần mềm thường sẽ tự động điền tên của bộ lọc.

Ngoài ra, nếu bạn muốn lược qua các bộ lọc Wireshark mặc định, hãy làm như sau:

1. Mở tab Phân tích trong thanh công cụ ở đầu cửa sổ Wireshark.

làm thế nào để thêm tín dụng để có thể nghe được

2. Từ danh sách thả xuống, chọn Bộ lọc hiển thị.

3. Duyệt qua danh sách và nhấp vào danh sách bạn muốn áp dụng.

Cuối cùng, đây là một số bộ lọc Wireshark phổ biến có thể hữu ích:

• Để chỉ xem địa chỉ IP nguồn và đích, hãy sử dụng: ip.src==IP-address and ip.dst==IP-address

• Để chỉ xem lưu lượng SMTP, hãy nhập: tcp.port eq 25

• Để nắm bắt tất cả lưu lượng mạng con, hãy áp dụng: net 192.168.0.0/24

• Để nắm bắt mọi thứ trừ lưu lượng ARP và DNS, hãy sử dụng: port not 53 and not arp

Làm cách nào để nắm bắt dữ liệu gói trong Wireshark?

Sau khi tải Wireshark xuống thiết bị của mình, bạn có thể bắt đầu theo dõi kết nối mạng của mình. Để nắm bắt các gói dữ liệu để phân tích toàn diện, đây là những gì bạn cần làm:

1. Khởi chạy Wireshark. Bạn sẽ thấy danh sách các mạng có sẵn, vì vậy hãy nhấp vào mạng bạn muốn kiểm tra. Bạn cũng có thể áp dụng bộ lọc nắm bắt nếu bạn muốn xác định loại lưu lượng truy cập.

2. Nếu bạn muốn kiểm tra nhiều mạng, hãy sử dụng điều khiển shift + nhấp chuột trái.

3. Tiếp theo, nhấp vào biểu tượng vây cá mập ngoài cùng bên trái trên thanh công cụ phía trên.

4. Bạn cũng có thể bắt đầu chụp bằng cách nhấp vào tab Chụp và chọn Bắt đầu từ danh sách thả xuống.

5. Một cách khác để thực hiện là sử dụng tổ hợp phím Control - E.

Khi phần mềm lấy dữ liệu, bạn sẽ thấy nó xuất hiện trên ngăn danh sách gói trong thời gian thực.

Shark Byte

Mặc dù Wireshark là một công cụ phân tích mạng tiên tiến, nhưng nó lại dễ hiểu một cách đáng ngạc nhiên. Ngăn danh sách gói rất toàn diện và được tổ chức tốt. Tất cả thông tin được phân phối thành bảy màu khác nhau và được đánh dấu bằng mã màu rõ ràng.

Hơn nữa, phần mềm mã nguồn mở đi kèm với một loạt các bộ lọc dễ áp ​​dụng để tạo điều kiện thuận lợi cho việc giám sát. Bằng cách bật bộ lọc thu thập, bạn có thể xác định loại lưu lượng mà bạn muốn Wireshark phân tích. Và khi dữ liệu được thu thập, bạn có thể áp dụng một số bộ lọc hiển thị cho các tìm kiếm được chỉ định. Nói chung, đó là một cơ chế hiệu quả cao và không quá khó để làm chủ.

Bạn có sử dụng Wireshark để phân tích mạng không? Bạn nghĩ gì về chức năng lọc? Hãy cho chúng tôi biết trong phần nhận xét bên dưới nếu có một tính năng phân tích gói hữu ích nào mà chúng tôi đã bỏ qua.