Trang chủ » làm thế nào để » Cách sử dụng Wireshark để chụp, lọc và kiểm tra các gói

    Cách sử dụng Wireshark để chụp, lọc và kiểm tra các gói

    Wireshark, một công cụ phân tích mạng trước đây gọi là Ethereal, nắm bắt các gói trong thời gian thực và hiển thị chúng ở định dạng có thể đọc được. Wireshark bao gồm các bộ lọc, mã màu và các tính năng khác cho phép bạn đào sâu vào lưu lượng mạng và kiểm tra các gói riêng lẻ.

    Hướng dẫn này sẽ giúp bạn tăng tốc với những điều cơ bản trong việc bắt gói tin, lọc chúng và kiểm tra chúng. Bạn có thể sử dụng Wireshark để kiểm tra lưu lượng truy cập mạng của chương trình đáng ngờ, phân tích lưu lượng truy cập trên mạng của bạn hoặc khắc phục sự cố mạng.

    Bắt Wireshark

    Bạn có thể tải xuống Wireshark cho Windows hoặc macOS từ trang web chính thức của nó. Nếu bạn đang sử dụng Linux hoặc một hệ thống tương tự UNIX khác, có thể bạn sẽ tìm thấy Wireshark trong kho lưu trữ gói của nó. Ví dụ: nếu bạn đang sử dụng Ubuntu, bạn sẽ tìm thấy Wireshark trong Trung tâm phần mềm Ubuntu.

    Chỉ là một cảnh báo nhanh: Nhiều tổ chức không cho phép Wireshark và các công cụ tương tự trên mạng của họ. Đừng sử dụng công cụ này tại nơi làm việc trừ khi bạn có sự cho phép.

    Gói chụp

    Sau khi tải xuống và cài đặt Wireshark, bạn có thể khởi chạy nó và bấm đúp vào tên của giao diện mạng trong Capture để bắt đầu chụp các gói trên giao diện đó. Ví dụ: nếu bạn muốn nắm bắt lưu lượng truy cập trên mạng không dây của mình, hãy nhấp vào giao diện không dây của bạn. Bạn có thể định cấu hình các tính năng nâng cao bằng cách nhấp vào Chụp> Tùy chọn, nhưng hiện tại điều này không cần thiết.

    Ngay khi bạn nhấp vào tên của giao diện, bạn sẽ thấy các gói bắt đầu xuất hiện trong thời gian thực. Wireshark chụp từng gói được gửi đến hoặc từ hệ thống của bạn.

    Nếu bạn đã bật chế độ bừa bãi - nó được bật theo mặc định - bạn cũng sẽ thấy tất cả các gói khác trên mạng thay vì chỉ các gói được gửi đến bộ điều hợp mạng của bạn. Để kiểm tra xem chế độ lăng nhăng có được bật hay không, hãy nhấp vào Chụp> Tùy chọn và xác minh chế độ lăng nhăng Bật Bật trên tất cả các giao diện Hộp kiểm hình chữ nhật được kích hoạt ở dưới cùng của cửa sổ này.

    Nhấp vào nút Stop Stop màu đỏ gần góc trên cùng bên trái của cửa sổ khi bạn muốn dừng lưu lượng truy cập.

    Mã màu

    Bạn có thể sẽ thấy các gói được tô sáng bằng nhiều màu khác nhau. Wireshark sử dụng màu sắc để giúp bạn xác định các loại lưu lượng truy cập trong nháy mắt. Theo mặc định, màu tím nhạt là lưu lượng TCP, màu xanh nhạt là lưu lượng UDP và màu đen xác định các gói có lỗi - ví dụ: chúng có thể đã được gửi không theo thứ tự.

    Để xem chính xác ý nghĩa của mã màu, nhấp vào Xem> Quy tắc tô màu. Bạn cũng có thể tùy chỉnh và sửa đổi các quy tắc tô màu từ đây, nếu bạn thích.

    Mẫu chụp

    Nếu không có gì thú vị trên mạng riêng của bạn để kiểm tra, wiki của Wireshark đã bảo vệ bạn. Wiki chứa một trang gồm các tệp chụp mẫu mà bạn có thể tải và kiểm tra. Bấm vào Tệp> Mở trong Wireshark và duyệt tìm tệp đã tải xuống của bạn để mở tệp.

    Bạn cũng có thể lưu các ảnh chụp của riêng mình trong Wireshark và mở chúng sau. Bấm vào Tệp> Lưu để lưu các gói đã chụp của bạn.

    Gói lọc

    Nếu bạn đang cố kiểm tra một cái gì đó cụ thể, chẳng hạn như lưu lượng mà chương trình gửi khi gọi điện về nhà, nó sẽ giúp đóng tất cả các ứng dụng khác bằng mạng để bạn có thể thu hẹp lưu lượng. Tuy nhiên, bạn có thể sẽ có một lượng lớn các gói để sàng lọc. Đó là nơi các bộ lọc của Wireshark đi vào.

    Cách cơ bản nhất để áp dụng bộ lọc là bằng cách nhập nó vào hộp bộ lọc ở đầu cửa sổ và nhấp vào Áp dụng (hoặc nhấn Enter). Ví dụ: nhập vào danh sách các loại và bạn sẽ chỉ thấy các gói DNS. Khi bạn bắt đầu nhập, Wireshark sẽ giúp bạn tự động hoàn tất bộ lọc của mình.

    Bạn cũng có thể nhấp vào Phân tích> Bộ lọc hiển thị để chọn bộ lọc trong số các bộ lọc mặc định có trong Wireshark. Từ đây, bạn có thể thêm các bộ lọc tùy chỉnh của riêng mình và lưu chúng để dễ dàng truy cập chúng trong tương lai.

    Để biết thêm thông tin về ngôn ngữ lọc hiển thị của Wireshark, hãy đọc trang biểu thức bộ lọc hiển thị Tòa nhà trong tài liệu chính thức của Wireshark.

    Một điều thú vị khác bạn có thể làm là nhấp chuột phải vào gói và chọn Theo dõi> TCP Stream.

    Bạn sẽ thấy cuộc trò chuyện TCP đầy đủ giữa máy khách và máy chủ. Bạn cũng có thể nhấp vào các giao thức khác trong menu Theo dõi để xem toàn bộ cuộc hội thoại cho các giao thức khác, nếu có thể.

    Đóng cửa sổ và bạn sẽ thấy một bộ lọc đã được áp dụng tự động. Wireshark đang hiển thị cho bạn các gói tạo nên cuộc trò chuyện.

    Kiểm tra gói

    Bấm vào một gói để chọn nó và bạn có thể đào xuống để xem chi tiết.

    Bạn cũng có thể tạo các bộ lọc từ đây - chỉ cần nhấp chuột phải vào một trong các chi tiết và sử dụng menu con Áp dụng làm Bộ lọc để tạo bộ lọc dựa trên nó.


    Wireshark là một công cụ cực kỳ mạnh mẽ và hướng dẫn này chỉ nói sơ qua về những gì bạn có thể làm với nó. Chuyên gia sử dụng nó để gỡ lỗi triển khai giao thức mạng, kiểm tra các vấn đề bảo mật và kiểm tra nội bộ giao thức mạng.

    Bạn có thể tìm thấy thông tin chi tiết hơn trong Hướng dẫn sử dụng chính thức của Wireshark và các trang tài liệu khác trên trang web của Wireshark.