Wireshark (trước đây là Ethereal) là một phần mềm nguồn mở được sử dụng để thu thập và điều tra lưu lượng mạng. Đây là một công cụ phân tích gói tin rất phổ biến trong số các chuyên gia mạng, nhà phân tích bảo mật và học giả nghiên cứu trên toàn thế giới. Điểm tốt là nó là mã nguồn mở và được cung cấp miễn phí theo Giấy phép Công cộng GNU phiên bản 2. Nó có thể kiểm tra dữ liệu từ nhiều giao diện mạng khác nhau như: Ethernet (IEEE 802.3), FDDI, Token ring, LAN không dây IEEE 802.11, v.v. Nó có sẵn cho các hệ điều hành chính như Windows, macOS, Linux và UNIX.
Wireshark có nhiều tính năng như kiểm tra sâu lưu lượng mạng, thu thập thời gian thực, phân tích ngoại tuyến, hỗ trợ R/W cho các loại tệp thu thập khác nhau, v.v. Nó cũng tổ chức SharkFest, một hội nghị giáo dục thường niên trên toàn thế giới để truyền đạt kiến thức về sản phẩm của họ. Các hội nghị này tập trung vào phương pháp hay nhất để sử dụng Wireshark.
$ sudo apt update
Bước 1. Bây giờ, chúng ta đã sẵn sàng để cài đặt Wireshark, chỉ cần chạy lệnh sau:
$ sudo apt install wireshark
Bước 2. Trong quá trình cài đặt, một cửa sổ sẽ xuất hiện yêu cầu bạn cấu hình Wireshark cho những người dùng không phải siêu cấp để bắt các gói tin. Trong phiên bản cũ của Wireshark, chúng ta cần chạy nó với tư cách là người dùng root hoặc có quyền root để có thể bắt được lưu lượng truy cập. Bây giờ chúng ta cũng có thể cho phép những người dùng không phải siêu cấp bắt các gói tin. Mặc dù đây là một rủi ro về bảo mật. Chúng tôi cũng khuyên bạn nên sử dụng cách mặc định và chọn tùy chọn tắt bằng cách nhấn ‘Không’:
Về cơ bản, chúng ta đã từ chối những người dùng không phải siêu cấp nắm bắt các gói tin. Bây giờ hãy để quá trình cài đặt hoàn tất.
$ wireshark
Trên cửa sổ đầu tiên của Wireshark, bạn sẽ thấy danh sách các thiết bị để bắt lưu lượng như hiển thị bên dưới:
Khi chúng ta nhấp đúp vào giao diện ‘enp0s3’, màn hình bên dưới sẽ nhắc:
Như bạn thấy, nó đã đưa ra lỗi “Không thể bắt đầu phiên bắt……………..đủ quyền” và cũng cung cấp các bước để thêm người dùng hiện tại vào nhóm ‘wireshark’ để có thể bắt các gói tin. Điều này là do chúng ta đã từ chối những người dùng không phải siêu cấp chạy wireshark. Bây giờ chúng ta hãy chạy lại Wireshark với quyền sudo:
$ sudo wireshark
Lần này khi bạn gửi yêu cầu ping (ví dụ như sử dụng thiết bị đầu cuối) đến một số trang web, bạn sẽ thấy các giao diện ở trên đang hiển thị các đợt lưu lượng truy cập tăng đột biến ngẫu nhiên:
Tốt, vì vậy chúng ta đã cài đặt Wireshark trên Ubuntu 20.04 của mình, nhưng đây có thể không phải là phiên bản mới nhất. Để kiểm tra phiên bản Wireshark, hãy sử dụng lệnh:
$ wireshark -v
Vì vậy, phiên bản Wireshark này là 3.2.3. Để cài đặt phiên bản mới nhất, chúng ta sẽ cần thêm một kho lưu trữ. Hãy thực hiện ngay bây giờ.
$ sudo add-apt-repository ppa:wireshark-dev/stable
Điều này sẽ giúp chúng ta có được bản phát hành Wireshark mới nhất và ổn định được đưa ngược từ các phiên bản gói Debian. Bây giờ hãy chạy lệnh bên dưới để cập nhật danh sách kho lưu trữ trên bản phân phối Ubuntu của bạn:
$ sudo apt update
Chúng ta chỉ cần nhập lệnh ‘apt install’ để cài đặt wireshark:
$ sudo apt install wireshark
Lệnh này sẽ nâng cấp cài đặt wireshark hiện tại của chúng ta. Xem hình ảnh tham chiếu bên dưới:
Nhưng thật bất ngờ, nó sẽ không hoạt động nếu chúng ta bắt đầu từ đây. Điều này là do chúng tôi chưa bật chức năng bắt gói tin cho những người dùng không phải siêu cấp. Vì vậy, để khởi động Wireshark, chúng ta cần chạy lệnh sau từ một thiết bị đầu cuối:
$ sudo wireshark
Wireshark sẽ khởi động ngay như minh họa ở đây:
Bây giờ hãy kiểm tra lại phiên bản Wireshark. Lần này, nó được thay đổi thành phiên bản 3.4.8.
Kết luận
Wireshark là một công cụ rất quan trọng để phân tích những gì đang diễn ra trong mạng của bạn. Nó đã được chấp nhận rộng rãi trong nhiều lĩnh vực CNTT khác nhau như các cơ quan chính phủ, tổ chức thương mại và các tổ chức giáo dục. Trong hướng dẫn này, chúng ta đã thấy cách cài đặt Wireshark trên Ubuntu 20.04 dễ dàng như thế nào. Nếu bạn quan tâm, bạn có thể tìm hiểu thêm về Wireshark bằng cách truy cập trang web chính thức của Wireshark tại https://www.wireshark.org.
Wireshark có nhiều tính năng như kiểm tra sâu lưu lượng mạng, thu thập thời gian thực, phân tích ngoại tuyến, hỗ trợ R/W cho các loại tệp thu thập khác nhau, v.v. Nó cũng tổ chức SharkFest, một hội nghị giáo dục thường niên trên toàn thế giới để truyền đạt kiến thức về sản phẩm của họ. Các hội nghị này tập trung vào phương pháp hay nhất để sử dụng Wireshark.
Chúng ta sẽ đề cập đến những nội dung nào?
Trong hướng dẫn này, tôi sẽ chỉ cho bạn cách cài đặt trình phân tích mạng Wireshark trên Ubuntu 20.04.Cài đặt Wireshark
Trong phương pháp đầu tiên, chúng ta sẽ cài đặt Wireshark bằng kho lưu trữ mặc định của Ubuntu 20.04 và trong phương pháp thứ hai, chúng ta sẽ thêm một Kho lưu trữ gói cá nhân (PPA) hoặc kho lưu trữ phần mềm mới.Phương pháp 1: Cài đặt Wireshark bằng kho lưu trữ mặc định của Ubuntu.
Wireshark được cung cấp cùng với kho lưu trữ gói chính thức của hầu hết mọi bản phân phối Linux chính và Ubuntu 20.04 LTS cũng không phải là ngoại lệ. Luôn là một thói quen tốt để cập nhật danh sách kho lưu trữ gói APT:$ sudo apt update
Bước 1. Bây giờ, chúng ta đã sẵn sàng để cài đặt Wireshark, chỉ cần chạy lệnh sau:
$ sudo apt install wireshark
Bước 2. Trong quá trình cài đặt, một cửa sổ sẽ xuất hiện yêu cầu bạn cấu hình Wireshark cho những người dùng không phải siêu cấp để bắt các gói tin. Trong phiên bản cũ của Wireshark, chúng ta cần chạy nó với tư cách là người dùng root hoặc có quyền root để có thể bắt được lưu lượng truy cập. Bây giờ chúng ta cũng có thể cho phép những người dùng không phải siêu cấp bắt các gói tin. Mặc dù đây là một rủi ro về bảo mật. Chúng tôi cũng khuyên bạn nên sử dụng cách mặc định và chọn tùy chọn tắt bằng cách nhấn ‘Không’:
Về cơ bản, chúng ta đã từ chối những người dùng không phải siêu cấp nắm bắt các gói tin. Bây giờ hãy để quá trình cài đặt hoàn tất.
Khởi chạy Wireshark
Wireshark hiện đã được cài đặt trên hệ thống của chúng ta, nhưng hãy đợi xem điều gì xảy ra khi chúng ta chạy nó mà không có ‘sudo’.$ wireshark
Trên cửa sổ đầu tiên của Wireshark, bạn sẽ thấy danh sách các thiết bị để bắt lưu lượng như hiển thị bên dưới:
Khi chúng ta nhấp đúp vào giao diện ‘enp0s3’, màn hình bên dưới sẽ nhắc:
Như bạn thấy, nó đã đưa ra lỗi “Không thể bắt đầu phiên bắt……………..đủ quyền” và cũng cung cấp các bước để thêm người dùng hiện tại vào nhóm ‘wireshark’ để có thể bắt các gói tin. Điều này là do chúng ta đã từ chối những người dùng không phải siêu cấp chạy wireshark. Bây giờ chúng ta hãy chạy lại Wireshark với quyền sudo:
$ sudo wireshark
Lần này khi bạn gửi yêu cầu ping (ví dụ như sử dụng thiết bị đầu cuối) đến một số trang web, bạn sẽ thấy các giao diện ở trên đang hiển thị các đợt lưu lượng truy cập tăng đột biến ngẫu nhiên:
Tốt, vì vậy chúng ta đã cài đặt Wireshark trên Ubuntu 20.04 của mình, nhưng đây có thể không phải là phiên bản mới nhất. Để kiểm tra phiên bản Wireshark, hãy sử dụng lệnh:
$ wireshark -v
Vì vậy, phiên bản Wireshark này là 3.2.3. Để cài đặt phiên bản mới nhất, chúng ta sẽ cần thêm một kho lưu trữ. Hãy thực hiện ngay bây giờ.
Phương pháp 2: Cài đặt Wireshark bằng cách thêm một PPA hoặc kho lưu trữ phần mềm mới.
Canonical cung cấp PPA trên trang web chính thức của họ để cài đặt Wireshark. Mở terminal trên Ubuntu 20.04 của bạn và chạy lệnh bên dưới để thêm PPA mới này:$ sudo add-apt-repository ppa:wireshark-dev/stable
Điều này sẽ giúp chúng ta có được bản phát hành Wireshark mới nhất và ổn định được đưa ngược từ các phiên bản gói Debian. Bây giờ hãy chạy lệnh bên dưới để cập nhật danh sách kho lưu trữ trên bản phân phối Ubuntu của bạn:
$ sudo apt update
Chúng ta chỉ cần nhập lệnh ‘apt install’ để cài đặt wireshark:
$ sudo apt install wireshark
Lệnh này sẽ nâng cấp cài đặt wireshark hiện tại của chúng ta. Xem hình ảnh tham chiếu bên dưới:
Đang khởi chạy Wireshark
Xin chúc mừng, Wireshark hiện đã được cài đặt/nâng cấp và chúng ta có thể thấy nó trong Menu ứng dụng như hiển thị bên dưới:Nhưng thật bất ngờ, nó sẽ không hoạt động nếu chúng ta bắt đầu từ đây. Điều này là do chúng tôi chưa bật chức năng bắt gói tin cho những người dùng không phải siêu cấp. Vì vậy, để khởi động Wireshark, chúng ta cần chạy lệnh sau từ một thiết bị đầu cuối:
$ sudo wireshark
Wireshark sẽ khởi động ngay như minh họa ở đây:
Bây giờ hãy kiểm tra lại phiên bản Wireshark. Lần này, nó được thay đổi thành phiên bản 3.4.8.
