[Linux Mint] Wireshark công cụ phân tích giao thức mạng hàng đầu | 85network-share
[Linux Mint] Wireshark công cụ phân tích giao thức mạng hàng đầu
Bài trướt 85network-share đã giới thiệu đến các bạn công cụ Nmap và cách sử dụng, nay chúng tôi sẽ giới thiệu thêm một phần mềm cực kỳ độc đáo và quen thuộc đó là wireshark. Vậy wireshark là gì? nó hoạt động thế nào? tại sao các kỹ sư hệ thống lại cần wireshark? 85network-share sẽ giới thiệu đến các bạn các tính năng của wireshark, cách wireshark bắt gói tin trong hệ thống cũng như cách cài đặt wireshark trên linux mint và các bản phân phối khác của linux.
Wireshark là gì?
Wireshark là phần mềm dùng để bắt gói tin (capture) phân tích theo dõi lưu lượng theo thời gian thực và các vấn đề liên quan đến hệ thống mạng, phân tích các truy cập bất thường...Wireshark trước còn được gọi với cái tên là Ethereal, là công cụ hay phần mềm rất cần thiết đối với các chuyên gia mạng.
Wireshark là công cụ phân tích giao thức mạng hàng đầu và được sử dụng rộng rãi trên thế giới. Wireshark là công cụ hoàn toàn miễn phí mã nguồn mở và an toàn sử dụng, các tập đoàn công ty lớn thâm chí các cơ quan chính phủ tổ chức phi lợi nhuận đều sử dụng wireshark nhằm khắc phục các sự cố theo dõi các lưu lượng truy cập.
Mục đích ban đầu của Wireshark.
- Quản trị viên mạng sử dụng nó để khắc phục sự cố mạng
- Các kỹ sư an ninh mạng sử dụng nó để kiểm tra các vấn đề bảo mật
- Các kỹ sư QA sử dụng nó để xác minh các ứng dụng mạng
- Các nhà phát triển sử dụng nó để gỡ lỗi việc triển khai giao thức
- Mọi người sử dụng wireshark để tìm hiểu nội bộ giao thức mạng
11 tính năng của Wireshark.
- Có sẵn cho UNIX và Windows.
- Chụp dữ liệu gói trực tiếp từ giao diện mạng.
- Mở các tệp chứa dữ liệu gói được ghi lại bằng tcpdump / WinDump, Wireshark và nhiều chương trình bắt gói tin khác.
- Nhập các gói từ tệp văn bản có chứa dữ liệu gói hex.
- Hiển thị các gói với thông tin giao thức rất chi tiết
- Lưu dữ liệu gói đã chụp.
- Xuất một số hoặc tất cả các gói ở một số định dạng tệp chụp.
- Lọc các gói tin theo nhiều tiêu chí.
- Tìm kiếm các gói tin trên nhiều tiêu chí.
- Tô màu hiển thị gói dựa trên bộ lọc.
- Tạo các thống kê đa dạng.
2. Cách cài đặt Wireshark trên Linux mint và các bản phân phối khác của Linux.
Đối các bạn xài windows và macOS thì tải từ đây về cài đặt nhé.
3. Hướng dẫn dùng Wireshark bắt gói tin trên linux mint.
Khi bạn bắt đầu mở Wireshark thì trên màn hình chính của Wireshark sẽ liệt kê tất cả các card mạng có sẵn trên thiết bị.
3.1 Phân tích các gói dữ liệu trên Wireshark.
No.: Đây là thứ tự số của gói tin đã được bắt. Dấu ngoặc cho biết rằng gói tin này là một phần của một cuộc hội thoại.
Time.: Cột này hiển thị cho bạn biết bao lâu sau khi bạn bắt đầu chụp, gói tin này đã được ghi lại. Bạn có thể thay đổi giá trị này trong menu Cài đặt nếu bạn cần một thứ gì đó khác được hiển thị.
Source: Đây là địa chỉ của hệ thống đã gửi gói tin
Destination: Đây là địa chỉ đích của gói tin đó.
Protocol: là các loại giao thức mạng, ví dụ: TCP, DNS, DHCPv6 hoặc ARP.
Length: Cột này hiển thị cho bạn độ dài của gói tính bằng byte.
Info: Cột này hiển thị cho bạn thêm thông tin về nội dung gói và sẽ thay đổi tùy thuộc vào loại gói đó là gì.
3.2 Bộ lọc Wireshark Capture:
Bộ lọc chụp giới hạn các gói tin do Wireshark bắt được. Có nghĩa là nếu các gói không khớp với bộ lọc, Wireshark sẽ không lưu chúng. Dưới đây là một số ví dụ về bộ lọc chụp:
- Địa chỉ IP máy chủ: bộ lọc này giới hạn việc thu thập lưu lượng truy cập đến và đi từ địa chỉ IP
- Net 192.168.0.0/24: bộ lọc này nắm bắt tất cả lưu lượng trên mạng con.
- Dst host IP-address: bắt các gói được gửi đến máy chủ được chỉ định.
- Cổng 53: chỉ nắm bắt lưu lượng trên cổng 53.
- Cổng không phải 53 và không phải arp: nắm bắt tất cả lưu lượng ngoại trừ lưu lượng DNS và ARP
3.3 Bộ lọc hiển thị Wireshark:
Bộ lọc hiển thị Wireshark thay đổi chế độ xem ảnh chụp trong quá trình phân tích. Sau khi bạn đã dừng chụp gói, bạn sử dụng bộ lọc hiển thị để thu hẹp các gói trong Danh sách gói để bạn có thể khắc phục sự cố của mình.
ip.src==IP-address and ip.dst==IP-address (bộ lộc hữu ích nhất).
Bộ lọc này hiển thị cho bạn các gói từ máy tính này (ip.src) sang máy tính khác (ip.dst). Bạn cũng có thể sử dụng ip.addr để hiển thị các gói đến và đi từ IP đó.
tcp.port eq 25: Bộ lọc này sẽ hiển thị cho bạn tất cả lưu lượng trên cổng 25, thường là lưu lượng SMTP.
icmp: Bộ lọc này sẽ chỉ hiển thị cho bạn lưu lượng ICMP trong quá trình chụp, rất có thể chúng là ping.
ip.addr! = IP_address: Bộ lọc này hiển thị cho bạn tất cả lưu lượng truy cập ngoại trừ lưu lượng đến hoặc đi từ máy tính được chỉ định.
Các nhà phân tích thậm chí còn xây dựng các bộ lọc để phát hiện các cuộc tấn công cụ thể, như bộ lọc này để phát hiện sâu Sasser: ls_ads.opnum == 0x09
Công cụ Wireshark thực sự rất mạnh mẽ, nếu muốn khai thác hết sức mạnh của nó thì các bạn phải làm việc thường xuyên với nó. Nếu bạn nào muốn 85network-share chia sẻ tài liệu file .pdf trọn bộ wireshark thì cứ để lại thông tin ở bình luận nhé. 85network-share sẽ gửi đến bạn hoàn toàn free nhé. Cảm ơn các bạn đã ghé thăm blog!.
85network-share kiến thức như ngọn lửa càng chia sẻ càng bùng cháy.!
Bài viết có tham khảo: https://www.varonis.com/blog/how-to-use-wireshark/
![[Linux Mint] Wireshark công cụ phân tích giao thức mạng hàng đầu | 85network-share](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJ5xF-hIsbIzBKgZMBNMC9aYr-JbocU2_OCKtqdZOZ3iIQQJZz-TTZO9azf9DyqICXRwSZ_JRsEmh2rLLzTXVakLedtmpjgaT7tX_Av5WsE8_1NSwF2jcT-qK1JcW9zVqi9w7DD-2ahsE/s72-c/hqdefault.jpg)
Thanks ad bài viết khá hay.. cần bộ tài liệu.
Trả lờiXóađã gửi file pdf namp rồi nha bạn Doanh.bạn kiểm tra mail nhá!thanks bạn đã ghé thăm blogs!
XóaBài viết rất hay. Mong ad gửi tài liệu.
Trả lờiXóa