Wireshark là một bộ phân tích mạng nguồn mở mạnh mẽ có thể được sử dụng để đánh cắp dữ liệu trên mạng, như một trợ lý để khắc phục sự cố phân tích lưu lượng mạng, nhưng cũng giống như một công cụ giáo dục giúp hiểu các nguyên tắc của mạng và giao thức truyền thông.

Nó sẵn sàng cho bất kỳ bản phân phối Linux nào và cho Ubuntu, nó có thể được cài đặt thông qua Trung tâm Phần mềm Ubuntu hoặc thiết bị đầu cuối:

 sudo apt-get cài đặt wireshark 

Trước khi sử dụng wireshark, tiện ích dumpcap cần được cho phép chạy dưới dạng root. Nếu không có điều này, Wireshark sẽ không thể nắm bắt được lưu lượng mạng khi bạn đăng nhập như một người dùng bình thường (mà luôn có trong các bản phân phối như Ubuntu). Để thêm bit " setuid " vào dumpcap, sử dụng lệnh sau:

 sudo chmod 4711 `mà dumpcap` 

Lưu ý rằng dấu ngoặc kép xung quanh “dấu kết xuất nào” không phải là dấu nháy đơn thông thường mà là ký tự dấu trọng âm. Trên các hệ thống giống Unix, điều này gọi lệnh thay thế khi đầu ra từ lệnh which trở thành một tham số cho chmod, tức là đường dẫn đầy đủ của dumpcap nhị phân dumpcap .

Bắt đầu Wireshark và sau đó nhấp vào giao diện mạng bạn muốn sử dụng để nắm bắt dữ liệu. Trên một mạng có dây, nó có thể sẽ là eth0 . Bây giờ hãy nhấp vào Bắt đầu.

Wireshark sẽ bắt đầu ghi lưu lượng truy cập và hiển thị nó dưới dạng danh sách mã hóa màu trong cửa sổ chính. Lưu lượng TCP là màu xanh lá cây, các gói UDP có màu xanh dương nhạt, các yêu cầu ARP có màu vàng và lưu lượng DNS được hiển thị bằng màu xanh đậm.

Ngay bên dưới thanh công cụ là hộp Lọc. Để chỉ xem một số loại gói mạng nhất định, hãy nhập tên giao thức vào hộp chỉnh sửa và nhấp vào Áp dụng. Ví dụ, để chỉ xem thông điệp ARP (Giao thức phân giải địa chỉ), hãy nhập arp vào hộp Bộ lọc và bấm Áp dụng. Danh sách sẽ thay đổi thành chỉ hiển thị các tin nhắn ARP. ARP được sử dụng trên mạng LAN để khám phá máy đang sử dụng một địa chỉ IP nhất định. Các bộ lọc mẫu khác là HTTP, ICMP, SMTP, SMB, v.v.

Wireshark có thể lọc bằng cách sử dụng các tiêu chí nâng cao hơn so với chỉ loại giao thức. Ví dụ: để xem tất cả lưu lượng truy cập liên quan đến DNS đến từ một máy chủ cụ thể, hãy sử dụng bộ lọc ip.src==192.168.1.101 and dns nơi 192.168.1.101 là địa chỉ nguồn bạn muốn lọc.

Nếu bạn phát hiện ra một tương tác thú vị giữa hai máy chủ mà bạn muốn xem toàn bộ, thì Wireshark có tùy chọn “theo dõi”. Nhấp chuột phải vào bất kỳ gói nào trong trao đổi và sau đó nhấp vào "Theo dõi luồng TCP" (hoặc Theo dõi luồng UDP, Theo dõi luồng SSL tùy thuộc vào loại giao thức). Wireshark sau đó sẽ hiển thị một bản sao hoàn chỉnh của cuộc trò chuyện.

Thử cái này

Sử dụng Wireshark có thể phức tạp hoặc đơn giản như bạn cần, có rất nhiều tính năng nâng cao cho các chuyên gia mạng nhưng những người muốn tìm hiểu về mạng cũng có thể hưởng lợi từ việc sử dụng nó. Đây là một cái gì đó để thử nếu bạn muốn tìm hiểu thêm về Wireshark. Bắt đầu chụp và đặt bộ lọc thành ICMP. Bây giờ ping máy Linux của bạn bằng cách sử dụng một lệnh như thế này từ một máy Linux khác hoặc thậm chí từ một trình bao lệnh Windows PC:

 ping 192.168.1.10 

Nơi 192.168.1.10 là địa chỉ IP của máy Linux. Bây giờ hãy xem danh sách gói và xem liệu bạn có phát hiện lưu lượng mạng cho ping hay không.