Wireshark là gì? Nếu bạn làm việc trong lĩnh vực công nghệ thông tin, Wireshark là một khái niệm không có gì lạ. Tuy nhiên, nếu là người trái ngành, không phải ai cũng biết về Wireshark. Vì vậy, nếu bạn muốn tìm hiểu thêm về Wireshark, hãy bắt đầu với bài viết dưới đây. 

Wireshark là gì?

Wireshark là một phần mềm phân tích gói mạng. Phần mềm này được sử dụng để phát hiện, phân tích và xác định các sự cố liên quan đến mạng như kết nối chậm, rớt gói tin và những truy cập bất thường. 

Quản trị viên có thể hiểu rõ hơn về các Network Packets đang chạy trên hệ thống bằng cách sử dụng phần mềm Wireshark. Điều này cũng sẽ làm cho việc xác định nguồn gốc của các lỗi dễ dàng hơn.

Bởi vì các công cụ phân tích gói mạng đã từng rất đắt đỏ nên chúng thường thuộc sở hữu độc quyền. Khi tìm hiểu Wireshark là gì, ta thấy thấy Wireshark đã được tạo ra để giải quyết thiếu sót này và hiện cung cấp giải pháp bắt gói tin mạnh mẽ. Theo giới công nghệ, Wireshark là một trong những phần mềm mã nguồn mở phân tích gói tốt nhất hiện nay.

>> Xem thêm: Mạng máy tính là gì & Các giao thức kết nối của mạng máy tính

Wireshark dùng để làm gì?

Trước hết, quản trị viên mạng có thể phát hiện tấn công bằng Wireshark hay sử dụng Wireshark để khắc phục sự cố mạng. Hơn nữa, các kỹ sư an ninh mạng sử dụng Wireshark để kiểm tra các vấn đề bảo mật. Trong khi đó, các kỹ sư QA sử dụng Wireshark để kiểm tra các ứng dụng mạng. 

Wireshark cũng được các nhà phát triển sử dụng để gỡ lỗi triển khai giao thức. Wireshark hỗ trợ người dùng mạng máy tính thông thường tìm hiểu nội dung bên trong của các giao thức mạng. 

Những tính năng nổi bật của Wireshark là gì?

• Wireshark có sẵn cho cả hệ điều hành Windows và UNIX.
• Người dùng có thể sử dụng ứng dụng này để capture dữ liệu gói trực tiếp từ giao diện mạng.
• Mở các tệp dữ liệu gói bằng tcpdump/ WinDump, Wireshark và các chương trình packet capture khác.
• Nhập các gói từ các tệp văn bản chứa các hex dumps của packet data.
• Hiển thị các gói tin rất chi tiết.
• Tiến hành lưu trữ tất cả dữ liệu gói đã capture.
• Định dạng capture file có thể được sử dụng để xuất một số hoặc tất cả các gói.
• Tìm hiểu về công dụng của Wireshark là gì, hãy nhớ lọc các gói dựa trên các tiêu chí khác nhau.
• Để tìm kiếm các gói, hãy dựa trên nhiều tiêu chí.
• Colorize là một gói hiển thị dựa vào bộ lọc.
• Wireshark cũng hỗ trợ tạo ra các số liệu thống kê khác nhau.

Cách tải Wireshark

Hệ điều hành Windows

Wireshark hoạt động với cả hệ điều hành Windows 32bit và 64bit. Để tải xuống, trước tiên bạn phải xác định chính xác phiên bản hệ điều hành của mình. Sau đó, xác định phiên bản mới nhất của phần mềm Wireshark và chọn bản tải xuống phù hợp. 

Hệ điều hành MacOS

Nếu thắc mắc với hệ điều hành MacOS, cách tải Wireshark là gì hãy xem phần dưới đây:

Điều duy nhất chúng ta cần làm đối với các thiết bị sử dụng macOS và đã được hỗ trợ sử dụng Wireshark trên trang chủ là tải phần mềm về rồi mở file.dmg để bắt đầu cài đặt. Sau khi hoàn thành, hãy kéo và thả biểu tượng Wireshark vào thư mục /Applications. Bây giờ, chỉ cần mở phần mềm và sử dụng nó.

Hệ điều hành Ubuntu

Tại terminal prompt, nhập tuần tự các lệnh sau:

sudo add-apt-repository ppa:wireshark-dev/stable

Cập nhật kho lưu trữ

sudo apt-get update

Cài đặt Wireshark

sudo apt-get install wireshark 

Chạy Wireshark

sudo wireshark

Nếu bạn gặp lỗi couldn’t run /usr/bin/dumpcap in child process: Permission Denied. Hãy nhập lệnh:

sudo dpkg-reconfigure Wireshark-common

Khi xuất hiện hộp thoại, hãy chọn Yes. Sau đó thêm người dùng vào nhóm

sudo adduser $USER wireshark

Hệ điều hành RedHat Fedora

Tại mục terminal prompt, bạn chạy các lệnh sau:

sudo dnf install Wireshark-qt

sudo usermod -a -G Wireshark username

Cách sử dụng Wireshark là gì?

Chụp các gói tin

Hãy khởi chạy Wireshark sau khi đã tải xuống và cài đặt nó trên máy tính. Tiếp theo, nhấp đúp vào tên của một giao diện mạng có trong Capture để kích hoạt ngay tính năng chụp gói tin trên giao diện đó.

Ví dụ: Nếu bạn muốn ghi lại lưu lượng truy cập trên mạng không dây của mình, chỉ cần nhấp vào giao diện không dây. Chúng ta sẽ tiến hành định cấu hình các tính năng nâng cao bằng cách vào Capture chọn Options.

Khi bạn đã nhấp vào tên của giao diện, bước tiếp theo sẽ là xem liệu các gói có xuất hiện trong thời gian thực hay không. Tại thời điểm này, ứng dụng Wireshark sẽ nắm bắt mọi gói được gửi đến hoặc nhận bởi hệ thống của bạn.

Tìm hiểu về cách dùng Wireshark là gì, hãy xem liệu bạn có thể thấy tất cả các gói khác trên mạng thay vì chỉ những gói được gửi đến bộ điều hợp mạng nếu chế độ hỗn tạp được bật theo mặc định.

Bằng cách vào Capture chọn Options, bạn có thể thấy chúng hiện đang ở chế độ promiscuous như thế nào. Hộp kiểm “Enable promiscuous mode on all interfaces” sẽ xuất hiện ở cuối cửa sổ. Nếu bạn muốn dừng lưu lượng truy cập, hãy nhấp vào nút Stop màu đỏ ở gần góc trên cùng bên trái của cửa sổ.

Lưu và mở gói tin

Để mở các gói trong Wireshark, hãy đi tới File chọn Open rồi tìm đến đường dẫn của tệp bạn muốn mở. Nếu bạn muốn lưu gói đã chụp, bạn có thể làm bằng cách đi tới File và chọn Save. Sau đó chọn đường dẫn lưu File, đặt tên File Capture và chọn định dạng lưu.

Lọc các gói tin 

Biết Wireshark là gì, nếu bạn muốn kiểm tra lưu lượng của chương trình gửi trong khi thực hiện cuộc gọi về nhà, Wireshark sẽ hỗ trợ đóng tất cả các ứng dụng khác đang chạy trên mạng này để người dùng có thể thu hẹp tối đa lưu lượng truy cập. 

Cách đơn giản nhất để lọc trong Wireshark là nhập nó vào hộp lọc ở đầu cửa sổ. Sau đó nhấn nút Apply hoặc Enter. Ngoài ra, người dùng có thể vào Analyze và chọn Display Filters để chọn bộ lọc tốt nhất từ bộ lọc mặc định do Wireshark cung cấp. Hơn nữa, bạn có thể thêm các bộ lọc của riêng mình và lưu chúng để truy cập nhanh khi cần.

Khi bạn nhấp chuột phải vào một tệp và chọn Follow và TCP Stream, cuộc hội thoại TCP giữa máy khách và máy chủ sẽ được hiển thị đầy đủ. Ngoài ra, bạn có thể sử dụng menu để chọn các giao thức khác và sau đó theo dõi tiến trình của các cuộc hội thoại này. 

Khi đóng cửa sổ, bạn sẽ nhận thấy rằng bộ lọc Wireshark đã được tự động áp dụng. Ứng dụng sẽ hiển thị các gói bao gồm cuộc trò chuyện.

Color Coding

Color Coding trong Wireshark là gì?

Các gói tin trong máy tính của chúng ta sẽ được tô màu khác nhau và Wireshark sẽ giúp người dùng xác định các loại lưu lượng khi truy cập nhanh.

Các màu mặc định trong Wireshark bao gồm:

• Lưu lượng TCP: màu tím nhạt.
• Lưu lượng UDP: màu xanh dương nhạt.
• Các gói có lỗi: màu đen.

Để tìm hiểu ý nghĩa của màu sắc, hãy vào View và chọn Coloring Rules. Ngoài ra, chúng ta cũng có thể hoàn toàn có thể tùy chỉnh màu sắc theo ý thích của mình một cách đơn giản nhất.

Kiểm tra gói tin

Bạn hãy nhấp vào một gói để xem nó có trên máy tính có Wireshark hay không. Sau đó, nhấp chuột phải vào một trong các chi tiết và chọn menu con Apply as Filter để tạo bộ lọc dựa trên bộ lọc đó.

Lời kết

Với những chia sẻ của Máy Chủ Sài Gòn, hy vọng bạn đã hiểu Wireshark là gì và những công dụng đặc biệt của nó. Wireshark được coi là một công cụ rất mạnh để giúp nhiều người trở thành một chuyên gia công nghệ. Nếu mục đích của bạn là như vậy, hãy bắt đầu tìm hiểu về Wireshark ngay bây giờ.