Tải bản đầy đủ (.doc) (25 trang)

Quản trị hệ thống mạng Bai Bao Cao Quan Tri He Thong Mang

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.32 MB, 25 trang )

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN TPHCM
KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG

------

BÀI BÁO CÁO MÔN
QUẢN TRỊ HỆ THỐNG MẠNG
ĐỀ TÀI:

Tìm hiểu về công cụ WireShark

Giáo viên hướng dẫn : Vũ Trí Dũng
Sinh viên :
Trần Minh Hiếu

07520122

Phạm Trương Hoàng Tuấn 07520386
Phạm Nguyên Huy

TPHCM Tháng 10/2010

07520472


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

LỜI NÓI ĐẦU



Ngày nay, vai trò của Công Nghệ Thông Tin (CNTT) và Internet là vô cùng quan trọng. Và sự
phụ thuộc của các ngành kinh tế vào nền CNTT ngày càng lớn, vì thế mà vấn đề bảo mật hệ
thống mạng cho các doanh nghiệp được coi là vấn đề bức bách và quan trọng . Càng có nhiều ý
đồ phá hoại, mà đích đến là những thông tin tối quan trọng của doanh nghiệp, nhu cầu này đòi
hỏi kỹ năng quản lý và bảo mật hệ thống của 1 chuyên viên mạng.
Khi “Thông tin quý hơn vàng”, bất kỳ 1 doanh nghiệp nào khi bước vào cuộc chiến tranh lợi
nhuận luôn đặt vấn đề xây dựng nguồn tài nguyên dữ liệu lên hàng đầu . Vì thế vai trò của bộ
phận IT (Information Technology), đặc biệt là chuyên viên mạng ngày càng quan trọng. Tại
Việt Nam, 1 doanh nghiệp ứng dụng CNTT quy mô lớn cần khoảng 10 chuyên viên mạng, quy
mô vừa cần khoảng 4 – 5 chuyên viên mạng, quy mô nhỏ cũng cần tối thiểu 1 chuyên viên
mạng để đảm trách vai trò quản trị và bảo mật hệ thống mạng của doanh nghiệp mình.
Trong thời ký nền kinh tế bị suy thoái, ngân sách bị cắt giảm, lượng tiền đầu tư vào những
chuyên viên mạng và những công cụ quản lý với độ bảo mật cao cũng được liệt vào 1 trong
những nguồn đầu tư “xa xỉ” tại Việt Nam – 1 đất nước với nền kinh tế đang phát triển, trình độ
kỹ thuật công nghiệp còn chưa bắt kịp đà phát triển của khu vực và Thế giới. Chính vì vậy, tại
Việt Nam, những nhà quản trị mạng cần tìm cho mình 1 lối đi mới, 1 công cụ hỗ trợ cho việc
quản trị có thể tương xứng với tình hình kinh tế của nước nhà.

2


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

1. Giới thiệu tổng quan
Với một quản trị viên hệ thống mạng ( LAN ) quản lí hàng chục máy PC , việc sử dụng các
công cụ quản trị mạng rất cần thiết . Kiểm tra các lỗi của các máy PC có rất nhiều công cụ ,

nhiều cách thức khác nhau , với cách capture các gói tin của các máy PC từ đó bạn có thể phần
nào xác định được nguyên gây ra lỗi của máy tính đó hoặc của các một hệ thống mạng LAN .
Có khá nhiều công cụ để giải quyết vấn đề trên , WIRESHARK là một trong những công cụ
có chức năng như thế , có rất ít sản phẩm có được những tính năng đặc biệt như Wireshark và
điều này rất dễ nhận thấy tại sao. Giả sử bạn muốn biết những gì đang thực sự xảy ra trên mạng
của mình. Wireshark sẽ capture các gói dữ liệu, sau đó hiển thị chúng theo cách để bạn có thể dễ
dàng dõi theo các “cuộc trò chuyện” và truy cập giữa các máy tính. Nó có các tùy chọn phân loại
và lọc hầu như vô tận, cho phép bạn có thể tìm chính xác những thông đang cần tìm.
Bài báo cáo này sẽ đi tìm hiểu các chức năng , các ưu nhược điểm cơ bản và các tình huống
xử lý với WIRESHARK .

3


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

MỤC LỤC
1. Giới Thiệu Tổng Quan Về Bài Viết…………..................................................3
2. Mục Lục…………...............................................................................................4
3. Công cụ quản lý – WireShark…………...........................................................5
3.1.Giới thiệu về WireShark…………………………………………………..5
3.2.Giao diện của WireShark…………………………………………………6
4. Phân tích gói tin với WireShark …………………………………………….11
4.1.Phân tích gói tin là gì ?...............................................................................11
4.2.Xử lý tình huống với WireShark………………………………………..13
5. So sánh WireShark với một vài tool khác…………………………………..21
5.1 WireShark & LANView……………………………………………….....21

5.2 WireShark & Etherscan Analyze…………………………………………23
6. Các ưu nhược điểm và một vài lời khuyên khi sử dụng WireShark……...24
7. Kết Luận………………………………………………………………………27
8. Tài Liệu Tham Khảo…………………………………………………………28

4


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

3. Công cụ quản lý – WireShark
3.1 Giới thiệu về Wireshark
WireShark có một bề dày lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này.
Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998
Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông
về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội
phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án
tên là WireShark.
Wireshark là một bộ phân tích giao thức mạng, có thể capture, thanh tra và hiển thị lưu
lượng cho nhiều giao thức mạng.
Chương trình có thể chạy trên bất cứ nền tảng nào: Windows, Linux, Mac OS X và các nền
tảng khác. Nó có một giao diện GUI dễ sử dụng .
Nếu không hiểu sâu về các giao thức, công cụ này sẽ cung cấp cho chúng ta những kiến thức
cần bổ sung.
Wireshark cũng có thể lưu các dấu vết của các gói dữ liệu để kiểm tra về sau; mở các định
dạng chuẩn từ các bộ phân tích khác; có thể được export thành các file XML, PostScript,
CSV, hoặc plain text.

Nếu muốn sử dụng các kiểu mã hóa, chẳng hạn như WEP, WPA, WPA2, Ipsec, hoặc
SSL/TLS, chúng ta có thể cấu hình Wireshark với các khóa để nó có thể giải mã và hiển thị
dữ liệu thực nếu cần.

5


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

3.2 Một vài chức năng của Wireshark
Giao diện của Wireshark

Phần menu



File : chứa các menu dùng để mở , gộp, lưu , in ,trích xuất (các file đã bắt được ) hoặc



kết thúc chương trình Wireshark
Edit : menu này chứa các phần có chức năng tìm kiếm gói tin , đánh dấu hay bỏ qua



gói tin đã bắt được
View : Menu này dùng để chỉnh sửa việc hiển thị các mục trong phần dữ liệu các gói

tin đã được bắt , như là : chỉnh sửa màu sắc các gói tin , chỉnh kích thước font ,hiển
thị hay ẩn các toolbar …
6


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông



Go : mục này dùng để di chuyển đến một gói tin cụ thể được nhập vào bởi người sử



dụng .
Capture : Menu này cho phép người dùng dừng hay bắt đầu việc bắt các gói tin và



chỉnh sửa các gói tin đã được lọc .
Analyze : menu này chứa các thao tác chức năng để hiện thị các gói tin được lọc theo



một qui tắc đã được đặt , kích hoạt hay khóa các giao thức không cần thiết ..
Statistics : xem thông tin tổng quan về các gói tin ,các cổng gói tin , các điểm đầu và




cuối ,chiều dài gói tín ……
Telephony : hiển thị các số liệu thống kê liên quan đến telephony , như là phân tích




các media ,hiện thị các hệ thống phân cấp các giao thức
Tool : chứa các tool có liên quan đến wireshark như là “Firewall ACL Rules” .
Help : chứa các thành phần hỗ trợ cho người sử dụng như là : các hướng dẫn cơ bản ,
danh sách các giao thức được hỗ trợ , một vài trang chủ liên quan và thông tin về
chương trình đang sử dụng

Phần Main Toolbar

Cung cấp các chức năng thường được sử dụng để tạo sự dễ dàng cho người sử dụng .
Người sử dụng không thể tùy chỉnh các chức năng trên toolbar này , nhưng các thể ẩn
hiện chúng ở menu View phù hợp với độ rộng của màn hình
Phần Filters Toolbar

Dùng để hiển thị các gói tin dựa vào điều kiện lọc gói tin được nhập vào ô trên
Filter Input : nơi nhập công thức để lọc kết quả các gói tin

7


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông


Expression : là nơi để chỉnh sửa kết quả hiển thị các gói tin theo cách lọc gói tin được
gán trong hộp thoại đó.
Clear : xóa các công thức vừa nhập
Apply : hiển thị kết quả với công thức đã nhập trong ô
Một vài công thức , phép toán
Phép Toán
Phép Bằng
Phép Khác
Phép Lớn Hơn
Phép Bé Hơn
Phép Lớn Hơn Hoặc Bằng
Phép Bé Hơn Hoặc Bằng

Công Thức Nhập Vào
==
!=
>
<
>=
<=

Ví Dụ
ip.scr == 192.168.1.1
ip.dst == 10.10.1.1
frame.len > 10
frame.len < 10
frame.len >= 10
frame.len <=10


Phần Packet List Pannel

Hiển thị tất cả các gói tin bắt được
Các cột cơ bản của phần trên :
• No : Hiển thị số thứ tự của gói tin
• Time : Thời gian kể từ khi bắt đầu thực hiện bắt gói tin
• Source : Địa chỉ nguồn của gói tin
• Destination : Địa chỉ đích của gói tin
• Protocol : giao thức của gói tin
• Info : Thông tin nội dung gói tin
8


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

Màu của các gói tin : mỗi màu tượng trưng cho một giao thức , để xem “coloring rule”
vào View -> Coloring Rules .
Ví dụ :
Nền đen chữ đỏ : gói tin TCP bị lỗi
Nền xanh nhạt : gói tin ARP
Nền xanh lá cây : gói tin HTTP

Phần Packet Details

Hiển thị các giao thức , các miền giao thức , địa chỉ đích nguồn của gói tin được chọn
Phần Packet Bytes


Hiển thị nội dung gói tin ở dạng byte
Phần StatusBar
9


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

Hiển thị thông tin tổng quan của phần được chọn như là phần “Packet List Pannel” ,
“Packet Details”, “Packet Bytes”

4. Phân tích gói tin với Wireshark
4.1 Phân tích gói tin ?
Phân tích gói tin hay còn gọi là nghe các gói tin và phân tích giao thức, mô tả quá trình
bắt và phiên dịch các dữ liệu sống như là các luồng đang lưu chuyển trong mạng với mục
tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng. Phân tích gói tin có thể giúp chung ta
hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băng
thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng
tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật.
Các bước nghe (phân tích) gói tin


Thu thập dữ liệu : Chế độ này cho phép card mạng có thể nghe tất cả các gói tin
đang lưu chuyển trên phân mạng của nó.



Chuyển đổi dữ liệu : trong bước này, các gói tin nhị phân trên được chuyển đổi

thành các khuôn dạng có thể đọc được.



Phân tích : phân tích các gói tin đã được chuyển đổi.

Các bước để nghe gói tin
4.1.1

Living Promiscuously (chế độ bắt tất cả các gói tin đi qua)

10


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

Cần một card mạng có hỗ trợ chế độ Promiscuous .Chế độ Promiscuous cho phép card
mạng nhìn thấy tất cả các gói tin đi qua hệ thống dây mạng. Khi nó ở chế độ
Promiscuous, nó bắt tất cả các gói tin và gửi toàn bộ tới CPU.
4.1.2 “Nghe” trong mạng hub
Cơ chế hoạt động của Hub cho phép gói tin được gửi tất cả các cổng của hub . Để
phân tích một máy tính trên một hub, tất cả các công việc cần làm là cắm máy nghe
vào một cổng còn trống trên hub.
4.1.3 “Nghe” trong mạng switch
Môi trường switch là kiểu mạng phổ biến mà bạn làm việc. Switch cung cấp một
phương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast, multicast.
Switch cho phép kết nối song công (full-duplex), có nghĩa là máy trạm có thể truyền

và nhận dữ liệu đồng thời từ switch. Khi cắm một máy nghe vào một cổng của
switch, chúng ta chỉ có thể nhìn thấy các broadcast traffic và những gói tin gửi và
nhận của máy tính mà mình đang sử dụng.

Có 3 cách bắt gói tin trong mạng switch
Port mirroring : lắng nghe lưu lượng đi qua cổng này (cổng được cắm để lắng
nghe ) sang một cổng khác

11


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

Hubbing Out : kỹ thuật mà trong đó chúng ta đặt thiết bị mục tiêu và máy nghe
vào cùng một phân mạng bằng cách đặt chúng trực tiếp vào một hub
ARP Cache Poisoning : là quá trình gửi một thông điệp ARP với địa chỉ MAC
giả mạo tới switch hoặc router nhằm mục đích nghe lưu lượng của thiết bị mục tiêu.
4.1.4 “Nghe” trong mạng sử dụng Router
Tất cả các kỹ thuật nghe trong mạng switch đều có thể được sử dụng trong mạng
router , chỉ có một việc cần quan tâm khi mà thực hiện với mạng router là sự quan
trọng của việc đặt máy nghe khi mà thực hiện xử lý một vấn đề liên quan đến nhiều
phân mạng .

4.2 Xử lý các tính huống với wireshark
4.2.1. Phát hiện vấn đề mất kết nối TCP
Một trong các vấn đề phổ biến nhất là mất kết nối mạng. Mục này sẽ đề cập đến vấn đề
phát hiện mất kết nối TCP bằng Wireshark

Ví dụ:
Một ví dụ truyền file bị mất kết nối:
Bắt đầu bằng việc gửi 4 gói TCP ACK từ 10 . 3 . 71 . 7 đến 10 . 3 . 30 . 1.

Lỗi bắt đầu từ gói thứ 5, chúng ta nhìn thấy xuất hiện việc gửi lại gói của TCP.

12


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

TCP gửi một gói tin đến đích, nếu không nhận được trả lời sau một khoảng thời gian nó
sẽ gửi lại gói tin ban đầu. Nếu vẫn tiếp tục không nhận được phản hồi, máy nguồn sẽ
tăng gấp đôi thời gian đợi cho lần gửi lại tiếp theo.

Như ta thấy ở hình trên, TCP sẽ gửi lại 5 lần, nếu 5 lần liên tiếp không nhận được phản
hồi thì kết nối được coi là kết thúc.
Hiện tượng này ta có thể thấy trong Wireshark như sau:

Khả năng xác định gói tin bị lỗi đôi khi sẽ giúp chúng ta có thể phát hiện ra mấu chốt
mạng bị mất là do đâu.
4.2.2. Xác định máy tính nhiễm virus

13


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng

Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

Hiện tượng : máy tính của A có hiện tượng như sau, khi sử dụng trình duyệt IE, trình duyệt tự
động trỏ đến rất nhiều trang quảng cáo. Khi A thay đổi bằng tay thì vẫn bị hiện tượng đó thậm
chí khởi động lại máy cũng vẫn bị như thế.
Thông tin chúng ta có :


A không thạo về máy tính lắm



Máy tính của A dùng Widows XP, IE

Tiến hành:
Vì hiện tượng này chỉ xảy ra trên máy của A nên chúng ta sẽ tiếp hành bắt gói tin từ máy của
A.
Phân tích:

Chi tiết gói tin thứ 5:

14


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông


Từ máy tính gửi yêu cầu GET của HTTP đến địa chỉ như trên hình:
Một số gói tiếp theo có sự lặp ACK.

Sau một loạt các thay đổi trên thì có truy vấn DNS đến deskwx.weatherbug.com
Đây là địa chỉ A không hề biết và không có ý định truy cập.

15


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

Như vậy có thể là có một process nào đó đã làm thay đổi địa chỉ trang chủ mỗi khi IE
được bật lên. Dùng một công cụ kiểm tra process ẩn ví dụ như Process Explore và thấy
rằng có tiến trình weatherbug.exe đang chạy. Sau khi tắt tiến trình này đi không còn
hiện tượng trên nữa.
Thông thường các tiến trình như weatherbug có thể là virus, spyware
4.2.3 Hệ thống download chậm
Tình huống: cả mạng download rất chậm
Tiến hành : đặt wireshark lắng nghe toàn bộ đầu ra của mạng
Phân thích : hình ảnh dưới đây cho thấy có rất nhiều kết nối TCP,HTTP điều này có
nghĩa là có rất nhiều kết nối HTTP download dữ liệu về nên chiếm băng thông của
mạng.

16



Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

Mở cửa sổ Analyze->Expert Infos để thấy thêm thông tin.

Mặc định Expert Infos hiển thị tất cả các thông tin. Nếu chỉ hiện thị
Error+Warn+Note thì ta sẽ có các thông tin sau.

17


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

Hình trên cho thấy:


có rất nhiều kết nối TCP do chương trình Window update mở



có hiện tượng TCP Previous segment lost packets và các gói tin TCP gửi đi bị lặp

ACK và bị drop, khiến TCP phải gửi lại gói tin.
Kết luận : nguyên nhân do download chậm là có nhiều chương trình Windows update
(có thể các máy để auto update) và hiện tượng mất gói tin. Như vậy cần tắt bớt các

chương trình Windows update.

18


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

5. So sánh wireshark với một vài công cụ khác
5.1 Wireshark & LANView

Giao diện sử dụng của LANView
LANView là phần mềm thương mại có kích thước nhỏ gọn, chỉ với 2.8 MB. Giao diện
chính của chương trình gồm 3 phần:


Phần trên là menu



Bên trái là thanh slidebar chứa các công cụ mà ta muốn làm việc.



Bên phải là của sổ hiện thông tin chi tiết.

19



Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

So với wireshark thì LANView mạnh về quản trị mạng LAN, với nhiều công cụ khác
nhau như scan port và host, network connection để hiện các kết nối của từng máy tính
trong mạng LAN, broadcast message, remote shutdown, lookup host (tìm kiếm host),
hiện biểu đồ giao thông mạng.
Giao diện cực kỳ đơn giản, rất thích hợp cho những người quản trị không chuyên về IT
vẫn sử dụng dễ dàng.
LANView cho ta biết thông tin tất cả các máy tính trong mạng LAN như là địa chỉ IP,
MAC, tên host, users and groups, tài nguyên chia sẻ trên mạng.
Việc bắt gói tin, lọc và tìm kiếm gói trên mạng rất thuận lợi (như hình dưới).

Cửa sổ tùy chọn bắt gói tin trong LANView
 Kết luận : ta có thể sử dụng kết hợp công cụ này với Wireshark để việc quản lý chính
xác , đầy đủ hơn.

20


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

5.2 Wireshark & Etherscan Analyzer





Giao diện của Ethernetscan
Etherscan là phần mềm phân tích gói tin hoạt động trên nền window.
Etherscan đọc được nhiều giao thức như là Ethernet, NetBEUI, TCP/IP, và nhiều giao
thức khác. Nó có khả năng xây dựng lại các phiên TCP/IP, với tính năng này ta có thể
thấy dữ liệu ở dạng nguyên bản ví dụ như ta có thể đọc nội dung của một email, bất



kỳ attachment chính xác như khi nó được gửi.
Tính năng lọc gói nâng cao, gồm các tab Protocol, IP address, Ports, Words,



Advanced.
Ngoài việc bắt và phân tích gói tin trên giao tiếp mạng của máy tính, Etherscan có thể
lưu lại (save) và tải (load) những gói tin trong file, có thể gửi 1 gói tin do mình tự tạo
lên mạng -> chức năng này Wireshark không có

 Kết luận : so với công cụ wireshark thì etherscan cũng có các chức năng tương đồng
nhau , tuy nhiên hỗ trợ giao thức dường như chưa bằng wireshark . Bên cạnh đó ,
etherscan có các chức năng wireshark không có như là gửi một gói tin do mình tự tạo
( wireshark chỉ bắt và đọc gói tin ).

6. Các ưu nhược điểm và lời khuyên khi sử dụng Wireshark
21



Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

6.1 Ưu điểm


Là một phần mềm mã nguồn mở , dùng để bắt và phần tích các gói tin một cách chính



xác .
Giao diện đơn giản , dễ sử dụng , kết quả trình bày cũng rất rõ ràng , màu sắc phân
biệt giữa các giao thức của các gói tin , dòng lệnh đơn giản không phức tạp như các




công cụ khác .
Hỗ trợ cả hệ điều hành Window lẫn Linux
WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những
loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent.
Và cũng bởi vì Wireshark là phần mềm mã nguồn mở nên chắc chắn những giao thức



mới sẽ được thêm vào.
Hỗ trợ rất nhiều định dạng tập tin của các chương trình bắt gói tin khác nhau .




Bắt được các gói tin ở của nhiều giao tiếp mạng khác nhau

22


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

6.2 Nhược điểm
Như bất kì một công cụ nào khác, Wireshark có thể được dùng cho một số việc và không
cho một số việc khác. Ở đây là danh sách của một số việc mà Wireshark không thể làm:
• Nó không thể dùng để vạch ra một mạng như công cụ Nmap
• Nó không sinh ra ra các dữ liệu mạng - nó là một công cụ bị động. Những công cụ
như nmap, ping và traceroute là ví dụ về các công cụ có khả năng sinh ra các dữ


liệu mạng .
Nó chỉ có thể bắt được dữ liệu tốt khi giao diện driver của hệ điều hành hỗ trợ. Ví
dụ của việc bắt dữ liệu thông qua mạng không dây.



Wireshark đơn thuần chỉ dừng lại ở việc bắt gói để cho quản trị viên biết được
tình trạng mạng mà không có cơ chế báo động khi có lỗi trong hệ thống mạng.




Không có cơ chế bảo mật khi có người lạ muốn xâm nhập vào mạng nội bộ

6.3 Lời khuyên khi sử dụng công cụ Wireshark


Thích hợp cho những quản trị viên sử dụng để xem xét các vấn đề bảo mật , các sai
sót trong giao thức mạng hay dành cho những sinh viên muốn tìm hiểu, nghiên cứu về



giao thức mạng.
Để sử dụng tốt cho việc bắt các gói tin trong mạng Lan có switch ta có thể sử dụng
kết hợp với tool Cain & Abel hoặc một chương trình MAC Flooding nào đó làm cho
23


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

Switch tràn bộ đệm, khi đó nó sẽ trở thành Hub , khi đó việc bắt gói tin trở nên dễ


dàng và thuận tiện hơn
Ngoài tool Cain & Abel trên , tùy theo từng yêu cầu ta có thể sử dụng các tool khác đi
kèm với wireshark để tận dụng hết chức năng của Wireshark , ví dụ như : để xem mô
hình mạng LAN ta có thể sử dụng kèm với nMap ,LANView , để gửi 1 gói tin đi có
thể sử dụng kèm với Etherscan …


KẾT LUẬN
Bài viết đã tóm tắt các thông tin , các chức năng cơ bản của công cụ wireshark với chức
năng chính là bắt và phân tích gói tin qua mạng rất có ích trong việc kiểm tra các lỗi của
hệ thống mạng đang quản lý .
Qua bài viết tìm hiểu về wireshark , ta có thể thấy wireshark hỗ trợ đầy đủ các yêu cầu
của một công cụ bắt và phân tích gói tin qua mạng . Với một giao diện GUI , hệ thống
menu rõ ràng trực quan cho những người tìm hiểu phân tích về giao thức mạng .
Với một vài ví dụ cơ bản sử dụng wireshark nêu trên , ta có thể thấy công cụ này thật sự
rất hữu ích và cần thiết cho một quản trị viên bên cạnh nhiều chức năng có ích, cộng với
việc là một phần mềm mã nguồn mở hoàn toàn miễn phí rất thích hợp cho các doanh
nghiệp vừa và nhỏ .

TÀI LIỆU THAM KHẢO

24


Bài Báo Cáo Môn Quản Trị Hệ Thống Mạng
Đề Tài : Tìm hiểu về Wireshark

Khoa Mạng Máy Tính Và Truyền Thông

1. Wireshark User's Guide Copyright © 2004-2008 Ulf Lamping , Richard Sharpe ,
Ed Warnicke
2. Chris Sanders, PRACTICAL PACKET ANALYSIS, Using Wireshark to Solve
Real-World Network Problems- No Startch Press,2007
3. Angela Orebaugh,Gilbert Ramirez,Josh Burke,Larry Pesce,Joshua Wright,Greg
Morris, Wireshark & Ethereal Network Protocol Analyzer Toolkit- Syngress
Publishing,2007

4. , Homepage ‘s Wireshark software .
5. , Bách khoa toàn thư mở .
6. , Trang tìm kiếm thông tin .

25


×