Sử dụng Wireshark để bắt, lọc, kiểm tra gói tin.

Wireshark là một công cụ phân tích , nó bắt gói tin ở thời gian thực và hiển thị ở dạng con người có thể đọc được.Wireshark bao gồm các bộ lọc, mã màu và các tính năng khác cho phép bạn đào sâu vào lưu lượng mạng và kiểm tra các gói riêng lẻ Bạn có thể sử dụng Wireshark để kiểm tra lưu lượng truy cập mạng của chương trình đáng ngờ, phân tích lưu lượng truy cập trên mạng của bạn hoặc khắc phục sự cố mạng.

Cài đặt Wireshark.

1. Gỡ bản cài đặt wireshark cũ nếu có:

   sudo apt-get remove --autoremove wireshark
   

2. Chạy lệnh để thêm PPA chứa wireshark:

   sudo add-apt-repository ppa:wireshark-dev/stable
   

3. update apt và cài đặt wireshark. ``` sudo apt-get update

sudo apt-get install wireshark ```

Bắt gói tin.

Bật phần mềm và click đúp vào card mạng mà muốn bắt gói tin để bắt đầu bắt gói tin trên card mạng đó. Ví dụ muốn bắt gói tin trên mạng wifi, click đúp vào card wifi. bạn có thể cấu hình những tính năng nâng cao hơn ở trong mục Capture > Option.

Ngay sau khi bạn chọn một card mạng, bạn sẽ thấy wireshark bắt đầu bắt từng gói tin theo thời gian thực. Nếu bật chế độ promiscuous (nó được bật mặc định), bạn sẽ thấy tất cả những gói tin khác trong mạng thay vì chỉ gói tin đến card mạng của bạn. Để kiểm tra tính năng này có đang bật hay không: click Capture > Options Click vào nút STOP màu đỏ ở trên góc bên trái để dừng bắt gói tin.

Color Coding

Các gói tin khác nhau có thể sẽ có màu khác nhau. Wireshark sử dụng màu để giúp người dùng xác định traffic dễ hơn. Để xem chính ý nghĩa của từng màu, click View > Coloring rule. Bạn cũng có thể chỉnh sửa màu theo ý của mình.

Lọc gói tin

Chức năng Filter của Wireshark giúp bạn có thể thu hẹp lưu lượng mạng mà bạn muốn theo dõi. Cách dễ nhất để áp dụng bộ lọc là gõ và ô lọc ở góc trên và click Apply. Ví dụ gõ “dns” và click apply thì nó sẽ thực hiện lọc và chỉ hiển thị bản tin dns. Khi bạn bắt đầu gõ, Wireshark sẽ giúp tự động hoàn thành.

Bạn cũng có thể click Analyze > Display Filters để chọn một bộ lọc từ những bộ lọc mặc định trong Wireshark. Bạn cũng có thể tùy chỉnh bộ lọc của bạn để sử dụng trong lần sau.

Bạn cũng có thể click chuột phải vào gói tin và chọn Follow > TCP Stream để xem toàn bộ cuộc hội thoại TCP giữa client và server. Bạn cũng có thể Follow một số giao thức khác nếu có thể.

Đóng cửa sổ và bạn sẽ thấy một bộ lọc được áp dụng tự động. Wireshark đang hiển thị cho bạn các gói tạo nên cuộc trò chuyện.

Kiểm tra gói tin.

Click vào một gói tin để xem chi tiết về gói tin.

Bạn cũng có thể tạo các bộ lọc từ đây - chỉ cần nhấp chuột phải vào một trong các chi tiết và sử dụng Apply as Filter để tạo bộ lọc dựa trên nó.