sử dụng wireshark để thực hiện chức năng giám sát
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.26 MB, 21 trang )
Sử dụng WireShark để thực hiện chức năng giám sát mạng-P1
Người viết bài: trungqn1 (bài này đã được mình đăng trên 1 diễn đàn khác!)
- WireShark và Packet Tracer là 2 phần mềm rất cần thiết cho những người đang theo học
khóa CCNA của Cisco, hầu như các bài lab trong CCNA đều sử dụng 2 phần mềm này. Ở
đây mình sẽ giới thiệu cách cài đặt và sử dụng phần mềm WireShark phục vụ cho việc
thực hành các bài lab đơn giản trong CCNA. Rất nhiều phần mềm có chức năng tương tự
WireShark như PRTG Network Monitor, Axence Net Tools Pro, Capsa, Snort. Và
WireShark đã được Cisco đưa vào chương trình giảng dạy CCNA.
Trong phần 1 này mình sẽ giới thiệu với các bạn một cách tổng quát về WireShark để các
bạn có thể hình dung về WireShark . Những chức năng chính sẽ được giới thiệu ở phần
tiếp theo.
1. Đôi điều về WireShark:
WireShark là một phần mềm chạy đa nền, có thể được cài đặt trên Windows, Linux, OS
X, Solaris, FreeBSD WireShark bao gồm hàng trăm chức năng hữu ích, cho phép người
sử dụng dễ dàng theo dõi, giám sát toàn bộ các nút trong hệ thống mạng của mình, từ
mạng có dây đến mạng không dây. WireShark có thể lắng nghe và chụp lại tất cả các gói
tin được truyền đi trong mạng có dây và không dây, hỗ trợ giải mã trên nhiều giao thức
phổ biến như: Ipsee, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP và WPA/WPA2.
2. Tải và cài đặt WireShark:
a. Tải WiresShark:
tại địa chỉ: www.wireshark.org\download.html . Có dung lượng khoảng 23MB.
b. Cài đặt WireShark:
- Sau khi tải về bạn kích đôi vào biểu tượng WireShark để tiến hành cài đặt chương trình
- Cửa sổ chào mừng tới chương trình xuất hiện. Bấm Next để tiếp tục
- Đọc trước thông tin bản quyền trước khi cài đặt. Kích I Agree để tiếp tục
- Chọn loại cài đặt. Khuyến cáo nên để mặc định. Kích Next để tiếp tục.
- Để mặc định rồi kích Next để tiếp tục.
- Chon đường dẫn cài đặt. Ở đây mình lưu ở ổ D. Kích Next để tiếp tục:
- Đánh dấu tick vào ô Install WinPcap 4.0.2 để cài đặt WinPcap – một công cụ hỗ trợ cho
WiresShark. Kích Install để cài đặt
- Quá trình cài đặt diễn ra
Chương trình sẽ tự động bật cửa sổ yêu cầu cài đặt WinPcap. Kích next để tiếp tục.
- Hộp thoại chào mừng tới chương trình. Kích Next để tiếp tục.
- Điều khoản người dùng phần mềm. Kích I agree để chấp nhận điều khoản.
- Quá trình cài đặt WinPcap diễn ra.
- Quá trình cài đặt WinPcap hoàn thành. Kích finish.
ture15copy.png
- Quá trình cài đặt WireShark cũng hoàn thành. Kich Next để tiếp tục.
Kích Finish để quá trình cài đặt hoàn thành và sử dụng chương trình.
3. Hướng dẫn sử dụng những tính năng cơ bản của WireShark:
3.1. Cửa sổ chính:
Sau khi cài đặt sau, chạy chương trình bạn sẽ thấy giao diện như hình vẽ:
trong đó:
1 : thanh menu của chương trình.
2 : thanh công cụ chính.
3 : thanh công cụ lọc.
4 : khung danh sách gói tin mà chương trình bắt được.
5: khung chi tiết gói tin, ở đây thể hiện đầy dủ thông tin chi tiết của các gói tin.
6: khung gói byte hiển thị dữ liệu của các gói (được lựa chọn trong danh sach gói) dưới
dạng cơ số hexa.
7: thanh trạng thái hiển thị thông điệp thông tin.
3.2. Chức năng bắt trực tiếp dữ liệu trên mạng:
Các công cụ bắt gói tin của Wireshark cung cấp các tính năng sau:
- Bắt từ các loại phần cứng khác nhau (Ethernet, Token Ring, ATM, …)
- giải mã các gói tin trong khi vẫn tiếp tục chụp.
- Bộ lọc gói tin, làm giảm số lượng dữ liệu được ghi lại.
Một trong những phương pháp sau đây có thể được sử dụng để bắt đầu chụp các gói tin
với Wireshark:
+ kích vào biểu tượng đầu tiên trên thanh công cụ chính sẽ xuất hiện hộp thoại:
> chọn loại card mạng rồi nhấn Start để bắt đầu
+ Kích vào biểu tượng thứ 2 trên thanh công cụ:
3.2.1 Capture frame
> chọn loại card mạng trong phần interface
> IP address: địa chỉ IP của giao diện được lựa chọn. Nếu không rõ địa chỉ IP thì sẽ hiển
thị là “unknown”
> Link-layer header type: nên để mặc định.
> Buffer size: Đây là kích thước của bộ đệm hạt nhân mà sẽ giữ các gói tin bị bắt,đến khi
chúng được ghi vào đĩa
> Capture packets in promiscuous mode: đánh dấu tick nếu muốn bắt tất cả các gói tin
trong mạng LAN của bạn, nếu không chỉ bắt được các gói tin đi và đến máy tính của bạn.
> Limit each packet to n bytes: giới hạn kích thước của gói tin. Nên để mặc đĩnh giá sẽ là
65535.
3.2.2 Capture File(s) frame
Use multiple files: Thay vì sử dụng một tập tin duy nhất, Wireshark sẽ tự động chuyển
sang một hình mới,nếu một điều kiện gây ra cụ thể đạt được.
Next file every n megabyte: Chuyển sang các file tiếp theo sau khi số các byte
(s)/kilobyte(s)/megabyte(s)/GB(s)đã bị bắt.
Next file every n minute(s): Chuyển sang các file tiếp theo sau khi số lượng nhất định thứ
hai (s) / phút(s)/giờ(s)/ngày(s)đã trôi qua.
Ring buffer with n files: Tạo thành một vòng đệm của các tập tin chụp, với số lượng nhất
định các tập tin.
Stop capture after n file(s): Dừng thu sau khi chuyển đến tập tin tiếp theo số lần nhất định
3.2.3 Stop Capture frame
after n packet(s): Dừng chụp sau khi số các gói tin đã bị bắt.
after n megabytes(s): Dừng chụp sau khi số các
byte(s)/kilobyte(s)/megabyte(s)/GB(s)đãđượcbắt.Tùy chọn này chuyển sang màu
xám,nếu "Sử dụng nhiều file" được chọn.
after n minute(s): Dừng chụp sau khi số lượng nhất định thứ hai (s)/phút(s)/giờ(s)/ngày(s)
đã trôi qua.
3.2.4 Display Options frame
Update list of packets in real time: cập nhật danh sách gói tin theo thời gian thực,
Automatic scrolling in live capture: tự động di chuyển trực tiếp để bắt.
Hide capture info dialog: ẩn hộp thoại
3.2.5 Name Resolution frame :
Enable MAC name resolution: tính năng dịch địa chỉ MAC thành tên
Enable network name resolution: tính năng dịch địa chỉ mạng thành tên.
Enable transport name resolution: tính năng dịch địa chỉ giao vận thành giao thức
3.3 Lưu thông tin:
+ kích vào biểu tượng ổ đĩa mềm hoặc nhấn tổ hợp phím Ctrl+S
3.4 Mở file đã lưu
+ kích vào biểu tượng Open trên thanh công cụ hoặc nhấn tổ hợp phím Ctrl+O
Chọn file cần mở và kích Open.
Trên đây mình đã trình bày khá tổng quát về chương trình WireShark, các bạn có thể sử
dụng những tính năng cơ bản nhất của nó. Với kiến thức còn hạn hẹp của mình thật sự bài
viết này chưa được hoàn chỉnh cho lắm, cần bổ sung và hoàn thiện hơn nữa, rất mong ý
kiến đóng góp của tất cả các bạn nhất là những tiền bối đi trước.
Chắc chắn mình vẫn sẽ tiếp bổ sung và hoàn thiện hơn đặc biệt là thực hiện các bài lab
trên wireShark. Hy vọng với bài viết này mọi người sẽ thành công.
