Wireshark là một Phần mềm Nguồn mở và Miễn phí (FOSS) và được phát triển bởi một cộng đồng các nhà phát triển nhiệt tình. Wireshark (trước đây là Ethereal) được sử dụng để thu thập và điều tra lưu lượng truy cập trên mạng. Đây là một trình phân tích giao thức mạng rất phổ biến trong số các chuyên gia mạng, nhà phân tích bảo mật và học giả nghiên cứu trên toàn thế giới. Điểm tốt là nó là mã nguồn mở và được cung cấp miễn phí theo Giấy phép Công cộng GNU phiên bản 2. Nó có sẵn cho các hệ điều hành chính như Windows, macOS, Linux và UNIX.
Wireshark có nhiều tính năng như kiểm tra sâu lưu lượng mạng, chụp theo thời gian thực, phân tích ngoại tuyến, hỗ trợ R/W cho các loại tệp chụp khác nhau, v.v. Công ty cũng tổ chức SharkFest, một hội nghị giáo dục thường niên trên toàn thế giới để truyền bá kiến thức về sản phẩm của mình. Các hội nghị này tập trung vào các phương pháp hay nhất khi sử dụng Wireshark.
Chúng ta hãy chia toàn bộ giao diện thành bốn phần:
Thanh Menu chính nằm ở đầu cửa sổ chính và có 11 mục. Chúng tôi sẽ không mô tả chi tiết từng mục mà chỉ mô tả các khía cạnh quan trọng của một số mục.
1. Menu Tệp
Menu tệp chứa bộ thao tác IO cơ bản. Bạn có thể mở và đóng tệp, nhập và xuất các thao tác và tất nhiên bạn có thể thoát Wireshark từ đây.
2. Menu Chỉnh sửa
Đánh dấu/Bỏ đánh dấu: Sử dụng tùy chọn này hoặc ‘Ctrl + M’ để đánh dấu/bỏ đánh dấu một gói tin. Thực sự hữu ích khi sau này bạn muốn kiểm tra một gói tin.
Bình luận về gói tin: Bạn có thể thêm bình luận vào một gói tin đã chọn bằng tùy chọn này hoặc sử dụng phím tắt ‘Ctrl + Alt+C’ để thực hiện tương tự. Bình luận giúp cộng tác với người khác hoặc tự ghi nhớ mọi thứ khi chúng ta tiếp cận công việc sau này.
Hồ sơ cấu hình: Thực sự là một công cụ tuyệt vời để tùy chỉnh Wireshark theo yêu cầu của chúng ta. Ví dụ: chúng ta có thể sắp xếp các cột bằng cách thêm cột mới hoặc sắp xếp lại chúng. Có thể thêm hồ sơ và cũng có thể tải xuống rồi nhập vào Wireshark. Hồ sơ cũng có thể được thay đổi từ bảng điều khiển bên phải phía dưới.
Tùy chọn: Tại đây, khi bạn nhấp vào, một cửa sổ nhắc sẽ mở ra, từ đó bạn có thể kiểm soát giao diện của GUI, đặt tùy chọn chụp và các tính năng nâng cao khác như thêm khóa RSA, sửa đổi cài đặt giao thức, v.v. Menu phụ này cũng có thể được sử dụng để tùy chỉnh hồ sơ cấu hình của chúng tôi.
3. Xem Menu
Menu này xử lý việc hiển thị các công cụ trên màn hình chính, định dạng thời gian để sử dụng, tùy chọn tô màu gói tin, tùy chọn thu phóng, v.v. Ví dụ: thay vì hiển thị thời gian tính bằng giây, bạn có thể hiển thị theo UTC. Chúng ta có thể tô màu và khử màu các gói tin và thậm chí thay đổi các quy tắc tô màu.
4. Go Menu
Đây thực ra là menu quản lý gói tin. Bạn có thể sử dụng menu này để duyệt qua các gói tin đã chụp. Các nút "Next Packet" và "Previous Packet" có thể được sử dụng để điều hướng dữ liệu hiển thị trên màn hình. Tất nhiên, bạn có thể chỉ cần sử dụng các nút 'Ctrl + lên/xuống' hoặc cuộn chuột để duyệt qua dễ dàng hơn.
5. Capture Menu
Sử dụng menu này để kiểm soát vị trí bắt đầu và dừng của Capture và để chỉnh sửa và thêm các bộ lọc capture.
6. Analyze Menu
Tại đây, bạn có thể thêm và chỉnh sửa các bộ lọc hiển thị cũng như hiển thị các macro bộ lọc, giải mã các gói tin thành các giao thức cụ thể, theo dõi luồng TCP hoặc UDP, v.v. Bạn có thể chọn một gói tin rồi từ ngăn chi tiết gói tin áp dụng bộ lọc bằng cách sử dụng 'Analyze -> Áp dụng như bộ lọc’.
7. Menu Thống kê
Nó giống như một công cụ báo cáo. Chúng ta có thể phân tích toàn bộ quá trình thu thập gói tin theo thống kê. Ví dụ, chúng ta có thể xem phần nào của quá trình thu thập là IPv6 hay UDP. Vì vậy, điều này sẽ hiển thị nhiều số liệu thống kê khác nhau như thuộc tính của tệp Thu thập, biểu đồ luồng, phân cấp giao thức, số liệu thống kê IPv4 và IPv6, v.v.
8. Menu Điện thoại
Tại đây, bạn sẽ tìm thấy các tùy chọn để hiển thị một số cửa sổ thống kê liên quan đến điện thoại như sơ đồ luồng, hiển thị số liệu thống kê phân cấp giao thức, v.v.
9. Menu Không dây
Điều này liên quan đến việc hiển thị số liệu thống kê liên quan đến Bluetooth và tiêu chuẩn IEEE 802.11.
10. Menu Công cụ
Nó chứa một số công cụ của Wireshark như tạo các quy tắc ACL Tường lửa.
11. Menu Trợ giúp
Về cơ bản, nó cung cấp các khía cạnh liên quan đến trợ giúp như liên kết đến nội dung trợ giúp, trang hướng dẫn, Câu hỏi thường gặp, Wiki của Wireshark và cả liên kết đến bản chụp mẫu, v.v.
Nói một cách đơn giản, Thanh công cụ thực sự là một tập hợp các phím tắt của các mục Menu chính được sử dụng nhiều nhất. Khi bạn đã quen với Wireshark, bạn sẽ nhanh chóng nhớ biểu tượng nào được sử dụng cho mục đích gì.
Có hai thanh công cụ bộ lọc: Bộ lọc hiển thị và Bộ lọc chụp. Có sự khác biệt giữa hai cái này, tuy nhiên cả hai đều được sử dụng để đơn giản hóa tìm kiếm gói tin của bạn.
Trang bắt đầu của Wireshark liệt kê tất cả các giao diện có sẵn trên thiết bị của bạn để chụp. Nếu bạn không thấy giao diện của mình ở đây, hãy vào ‘Capture > Refresh Interfaces’ hoặc nhấn phím ‘F5’ để làm mới danh sách giao diện. Bạn cũng có thể quản lý danh sách giao diện trên trang bắt đầu. Để làm như vậy, hãy chọn menu thả xuống ở bên phải hộp tìm kiếm bộ lọc chụp.
Wireshark có nhiều tính năng như kiểm tra sâu lưu lượng mạng, chụp theo thời gian thực, phân tích ngoại tuyến, hỗ trợ R/W cho các loại tệp chụp khác nhau, v.v. Công ty cũng tổ chức SharkFest, một hội nghị giáo dục thường niên trên toàn thế giới để truyền bá kiến thức về sản phẩm của mình. Các hội nghị này tập trung vào các phương pháp hay nhất khi sử dụng Wireshark.
Chúng ta sẽ đề cập đến những gì?
Trong hướng dẫn này, chúng ta sẽ xem tổng quan về giao diện người dùng của Wireshark. Bây giờ chúng ta hãy cùng khám phá GUI của Wireshark.Màn hình khởi động của Wireshark
Khi bạn khởi chạy Wireshark, màn hình khởi động sau sẽ xuất hiện:Chúng ta hãy chia toàn bộ giao diện thành bốn phần:
- Menu chính
- Thanh công cụ Menu chính
- Công cụ lọc
- Danh sách giao diện
Thanh Menu chính
Thanh Menu chính nằm ở đầu cửa sổ chính và có 11 mục. Chúng tôi sẽ không mô tả chi tiết từng mục mà chỉ mô tả các khía cạnh quan trọng của một số mục.
1. Menu Tệp
Menu tệp chứa bộ thao tác IO cơ bản. Bạn có thể mở và đóng tệp, nhập và xuất các thao tác và tất nhiên bạn có thể thoát Wireshark từ đây.
2. Menu Chỉnh sửa
Đánh dấu/Bỏ đánh dấu: Sử dụng tùy chọn này hoặc ‘Ctrl + M’ để đánh dấu/bỏ đánh dấu một gói tin. Thực sự hữu ích khi sau này bạn muốn kiểm tra một gói tin.
Bình luận về gói tin: Bạn có thể thêm bình luận vào một gói tin đã chọn bằng tùy chọn này hoặc sử dụng phím tắt ‘Ctrl + Alt+C’ để thực hiện tương tự. Bình luận giúp cộng tác với người khác hoặc tự ghi nhớ mọi thứ khi chúng ta tiếp cận công việc sau này.
Hồ sơ cấu hình: Thực sự là một công cụ tuyệt vời để tùy chỉnh Wireshark theo yêu cầu của chúng ta. Ví dụ: chúng ta có thể sắp xếp các cột bằng cách thêm cột mới hoặc sắp xếp lại chúng. Có thể thêm hồ sơ và cũng có thể tải xuống rồi nhập vào Wireshark. Hồ sơ cũng có thể được thay đổi từ bảng điều khiển bên phải phía dưới.
Tùy chọn: Tại đây, khi bạn nhấp vào, một cửa sổ nhắc sẽ mở ra, từ đó bạn có thể kiểm soát giao diện của GUI, đặt tùy chọn chụp và các tính năng nâng cao khác như thêm khóa RSA, sửa đổi cài đặt giao thức, v.v. Menu phụ này cũng có thể được sử dụng để tùy chỉnh hồ sơ cấu hình của chúng tôi.
3. Xem Menu
Menu này xử lý việc hiển thị các công cụ trên màn hình chính, định dạng thời gian để sử dụng, tùy chọn tô màu gói tin, tùy chọn thu phóng, v.v. Ví dụ: thay vì hiển thị thời gian tính bằng giây, bạn có thể hiển thị theo UTC. Chúng ta có thể tô màu và khử màu các gói tin và thậm chí thay đổi các quy tắc tô màu.
4. Go Menu
Đây thực ra là menu quản lý gói tin. Bạn có thể sử dụng menu này để duyệt qua các gói tin đã chụp. Các nút "Next Packet" và "Previous Packet" có thể được sử dụng để điều hướng dữ liệu hiển thị trên màn hình. Tất nhiên, bạn có thể chỉ cần sử dụng các nút 'Ctrl + lên/xuống' hoặc cuộn chuột để duyệt qua dễ dàng hơn.
5. Capture Menu
Sử dụng menu này để kiểm soát vị trí bắt đầu và dừng của Capture và để chỉnh sửa và thêm các bộ lọc capture.
6. Analyze Menu
Tại đây, bạn có thể thêm và chỉnh sửa các bộ lọc hiển thị cũng như hiển thị các macro bộ lọc, giải mã các gói tin thành các giao thức cụ thể, theo dõi luồng TCP hoặc UDP, v.v. Bạn có thể chọn một gói tin rồi từ ngăn chi tiết gói tin áp dụng bộ lọc bằng cách sử dụng 'Analyze -> Áp dụng như bộ lọc’.
7. Menu Thống kê
Nó giống như một công cụ báo cáo. Chúng ta có thể phân tích toàn bộ quá trình thu thập gói tin theo thống kê. Ví dụ, chúng ta có thể xem phần nào của quá trình thu thập là IPv6 hay UDP. Vì vậy, điều này sẽ hiển thị nhiều số liệu thống kê khác nhau như thuộc tính của tệp Thu thập, biểu đồ luồng, phân cấp giao thức, số liệu thống kê IPv4 và IPv6, v.v.
8. Menu Điện thoại
Tại đây, bạn sẽ tìm thấy các tùy chọn để hiển thị một số cửa sổ thống kê liên quan đến điện thoại như sơ đồ luồng, hiển thị số liệu thống kê phân cấp giao thức, v.v.
9. Menu Không dây
Điều này liên quan đến việc hiển thị số liệu thống kê liên quan đến Bluetooth và tiêu chuẩn IEEE 802.11.
10. Menu Công cụ
Nó chứa một số công cụ của Wireshark như tạo các quy tắc ACL Tường lửa.
11. Menu Trợ giúp
Về cơ bản, nó cung cấp các khía cạnh liên quan đến trợ giúp như liên kết đến nội dung trợ giúp, trang hướng dẫn, Câu hỏi thường gặp, Wiki của Wireshark và cả liên kết đến bản chụp mẫu, v.v.
Thanh công cụ chính
Nói một cách đơn giản, Thanh công cụ thực sự là một tập hợp các phím tắt của các mục Menu chính được sử dụng nhiều nhất. Khi bạn đã quen với Wireshark, bạn sẽ nhanh chóng nhớ biểu tượng nào được sử dụng cho mục đích gì.
Thanh công cụ Bộ lọc
Có hai thanh công cụ bộ lọc: Bộ lọc hiển thị và Bộ lọc chụp. Có sự khác biệt giữa hai cái này, tuy nhiên cả hai đều được sử dụng để đơn giản hóa tìm kiếm gói tin của bạn.
Danh sách giao diện
Trang bắt đầu của Wireshark liệt kê tất cả các giao diện có sẵn trên thiết bị của bạn để chụp. Nếu bạn không thấy giao diện của mình ở đây, hãy vào ‘Capture > Refresh Interfaces’ hoặc nhấn phím ‘F5’ để làm mới danh sách giao diện. Bạn cũng có thể quản lý danh sách giao diện trên trang bắt đầu. Để làm như vậy, hãy chọn menu thả xuống ở bên phải hộp tìm kiếm bộ lọc chụp.
