Wireshark là một chương trình phần mềm phân tích giao thức mạng nguồn mở do Gerald Combs khởi xướng từ năm 1998, nó là công cụ phân tích giao thức mạng phổ biến nhất thế giới. Wireshark cho phép ta xem lưu lượng truy cập và phân tích những gì đang diễn ra trong mạng, nó nắm bắt lưu lượng mạng trên mạng cục bộ và lưu trữ dữ liệu đó để phân tích ngoại tuyến. Wireshark nắm bắt lưu lượng mạng từ Ethernet, Bluetooth, Wireless (IEEE.802.11), v.v.
Ở bài viết này mình sẽ đi vào cách sử dụng wireshark để bắt các gói tin có trong mạng và có thể lọc các gói tin mong muốn và loại bỏ những gói tin không có nhu cầu.
Làm việc với file PCAP
Bắt gói tin và lưu vào file
Khi mở Wireshark, các giao diện mạng có trên máy của bạn sẽ được liệt kê như phía dưới. Để xem lưu lượng của 1 giao diện mạng nào đó, hãy kích đúp vào đó, lập tức lưu lượng (các gói tin) đi qua giao diện đó sẽ được hiển thị. Ở đây mình chọn giao diện mạng là Wi-Fi
Lưu lượng các gói tin đi qua Wi-Fi sẽ hiển thị như sau :
ta thấy rằng trên thanh công cụ có 1 nút màu đỏ, đó là nút sử dụng capture những gói tin đã bắt được.
Sau khi kích vào đó, wireshark sẽ dừng cập nhật các gói tin mới và ta có thể lưu lại những gói tin này kích vào File sau đó chọn Save để lưu dưới dạng file pcap
Mở 1 file có sẵn
File có sẵn có thể là các file đã capture trước đó bằng wireshark trên máy bạn hoặc bạn có thể sử dụng tcpdump để chụp lại các gói tin qua 1 giao diện mạng trên 1 máy chủ khác và lưu vào file .pcap sau đó chuyển sang máy cài wireshark và mở file đó.
Lệnh sử dụng để chụp lại 100 gói tin qua 1 giao diện mạng và lưu vào file như sau :
tcpdump -i <interface> -c 100 -w <tên_file>.pcap
Để mở file pcap đã capture trước đó, ta chỉ cần kích vào File -> Open và chọn file có đuôi là .pcap để xem.
Sử dụng Filter trong wireshark
Ta có thể sử dụng filter để loại bỏ các gói mà ta không quan tâm. Filter có thể được sử dụng khi bắt các gói tin realtime hoặc cũng có thể được sử dụng đối với các gói tin được mở từ file .pcap
Chỉ bắt các gói có IP trùng khớp
- Chỉ xem các gói tin có IP đích trùng khớp với IP 192.168.1.54
- Tương tự như vậy ta chỉ xem các gói tin có IP nguồn khớp với IP 192.168.1.54
- Chỉ xem các gói có IP nguồn là 192.168.1.54 và IP đích là 54.189.246.18
hoặc ta cũng có thể loại trừ các gói với IP nguồn và đích nhất định
- Không bắt các gói có IP nguồn là 192.168.1.54
Chỉ bắt các gói có port hoặc giao thức trùng khớp
- Chỉ xem các gói có TCP port là 80
- Xem các gói có TCP port là 80 hoặc TCP port là 443
- Chỉ xem các gói không sử dụng cổng 443
- Chỉ bắt các gói sử dụng dịch vụ http
- Bắt các gói đang sử dụng giao thức UDP hoặc ICMP
Bạn có thể tìm hiểu nhiều hơn nữa các bộ lọc của wireshark tại đây.
Kết luận
Wireshark là một công cụ cực kỳ mạnh mẽ và hướng dẫn này chỉ nói sơ qua về những gì bạn có thể làm với nó. Các chuyên gia sử dụng nó để gỡ lỗi triển khai giao thức mạng, kiểm tra các vấn đề bảo mật và kiểm tra nội bộ giao thức mạng. Nếu bạn muốn đọc thêm nhiều hơn nữa về wireshark có thể tham khảo tại wiki.wireshark .
Chúc các bạn thành công !
Tài liệu tham khảo :
https://medium.com/better-programming/intro-to-wireshark-2abe7fb24f53
https://www.varonis.com/blog/how-to-use-wireshark/
