Cách sử dụng Wireshark trên Windows: Hướng dẫn đầy đủ, thiết thực và cập nhật

Bạn có bao giờ tự hỏi Điều gì thực sự đang xảy ra trên mạng của bạn khi bạn duyệt, chơi trực tuyến hoặc quản lý các thiết bị được kết nối? Nếu bạn chỉ tò mò về những điều bí ẩn đang lan truyền trên WiFi của mình hoặc nếu bạn chỉ cần một công cụ chuyên nghiệp để Phân tích lưu lượng mạng và phát hiện sự cố với kết nối của bạn, chắc chắn là tên của Wireshark đã thu hút sự chú ý của bạn.

Vâng, trong bài viết này bạn sẽ khám phá mà không cần phải đi vòng vo tất cả các chi tiết về Wireshark: Công cụ này là gì, được sử dụng để làm gì trong Windows, cách cài đặt và những mẹo hay nhất trước khi bạn bắt đầu thu thập dữ liệu. Chúng ta hãy cùng bắt đầu nhé.

Wireshark là gì? Phân tích sự vĩ đại của phân tích mạng

Wireshark là công cụ phân tích giao thức mạng phổ biến và được công nhận nhất trên toàn thế giới.. Công cụ miễn phí, mã nguồn mở và mạnh mẽ này cho phép bạn nắm bắt và kiểm tra tất cả lưu lượng mạng đi qua máy tính của bạn, cho dù đó là máy tính chạy Windows, Linux, macOS hay thậm chí các hệ thống như FreeBSD và Solaris. Với Wireshark, bạn có thể xem, theo thời gian thực hoặc sau khi ghi lại, chính xác các gói tin nào đang vào và ra khỏi máy tính của bạn, nguồn, đích, giao thức của chúng và thậm chí phân tích chúng để có được thông tin chi tiết về từng lớp theo mô hình OSI.

Không giống như nhiều máy phân tích, Wireshark nổi bật với giao diện đồ họa trực quan, nhưng cũng cung cấp phiên bản bảng điều khiển mạnh mẽ có tên TShark dành cho những người thích dòng lệnh hoặc cần thực hiện các tác vụ tự động. Tính linh hoạt của Wireshark Nó cho phép bạn phân tích kết nối trong khi duyệt, thực hiện kiểm tra bảo mật chuyên nghiệp, giải quyết tình trạng tắc nghẽn mạng hoặc tìm hiểu về cách thức hoạt động của giao thức Internet, tất cả ngay trên máy tính của bạn!

Tải xuống và cài đặt Wireshark trên Windows

Cài đặt Wireshark trên Windows là một quá trình đơn giản., nhưng bạn nên thực hiện từng bước để không bỏ sót bất kỳ điều gì, đặc biệt là liên quan đến quyền và trình điều khiển bổ sung cho việc chụp.

• Tải xuống chính thức: Truy cập vào trang web chính thức của Wireshark và chọn phiên bản Windows (32 hoặc 64 bit tùy thuộc vào hệ thống của bạn).
• Chạy trình cài đặt: Nhấp đúp vào tệp đã tải xuống và làm theo hướng dẫn. Chấp nhận các tùy chọn mặc định nếu bạn có bất kỳ câu hỏi nào.
• Các yếu tố cần thiết: Trong quá trình cài đặt, trình cài đặt sẽ hỏi bạn cài đặt Npcap. Thành phần này rất cần thiết vì nó cho phép card mạng của bạn bắt các gói tin ở chế độ “hỗn hợp”. Chấp nhận cài đặt.
• Kết thúc và khởi động lại: Khi quá trình hoàn tất, hãy khởi động lại máy tính để đảm bảo mọi thành phần đã sẵn sàng.

Sẵn sàng! Bây giờ bạn có thể bắt đầu sử dụng Wireshark từ menu Bắt đầu của Windows. Xin lưu ý rằng chương trình này được cập nhật thường xuyên, vì vậy bạn nên kiểm tra phiên bản mới thường xuyên.

Wireshark hoạt động như thế nào: Bắt và hiển thị gói tin

Khi bạn mở Wireshark, Điều đầu tiên bạn sẽ thấy là danh sách tất cả các giao diện mạng có sẵn trên hệ thống của bạn.:Card mạng có dây, WiFi và thậm chí cả bộ điều hợp ảo nếu bạn sử dụng máy ảo như VMware hoặc VirtualBox. Mỗi giao diện này đại diện cho một điểm vào hoặc ra của thông tin số.

Để bắt đầu thu thập dữ liệu, Bạn chỉ cần nhấp đúp vào giao diện mong muốn. Kể từ đó, Wireshark sẽ hiển thị theo thời gian thực tất cả các gói tin đang lưu thông bằng thẻ đó, sắp xếp chúng theo các cột như số gói tin, thời gian chụp, nguồn, đích, giao thức, kích thước và các chi tiết bổ sung.

Khi bạn muốn dừng chụp, hãy nhấn Nút dừng màu đỏ. Bạn có thể lưu các bản chụp ở định dạng .pcap để phân tích sau, chia sẻ hoặc thậm chí xuất chúng ở nhiều định dạng khác nhau (CSV, văn bản, nén, v.v.). Sự linh hoạt này là điều làm cho Wireshark là một công cụ không thể thiếu cho cả phân tích tại chỗ và kiểm tra toàn diện..

Bắt đầu: Mẹo trước khi chụp ảnh màn hình trong Windows

Để đảm bảo rằng các bản ghi Wireshark đầu tiên của bạn hữu ích và không chứa nhiều dữ liệu nhiễu không liên quan hoặc gây nhầm lẫn, bạn cần tuân theo một số khuyến nghị chính sau:

• Đóng các chương trình không cần thiết: Trước khi bắt đầu ghi, hãy thoát khỏi các ứng dụng tạo ra lưu lượng truy cập nền (cập nhật, trò chuyện, ứng dụng email, trò chơi, v.v.). Bằng cách này, bạn sẽ tránh được việc trộn lẫn các luồng giao thông không liên quan.
• Kiểm soát tường lửa: Tường lửa có thể chặn hoặc thay đổi lưu lượng truy cập. Hãy cân nhắc việc tạm thời vô hiệu hóa tính năng này nếu bạn muốn chụp toàn bộ.
• Chỉ ghi lại những gì có liên quanNếu bạn muốn phân tích một ứng dụng cụ thể, hãy đợi một hoặc hai giây sau khi bắt đầu ghi để khởi chạy ứng dụng và làm tương tự khi đóng ứng dụng trước khi dừng ghi.
• Biết giao diện hoạt động của bạn: Hãy đảm bảo bạn chọn đúng card mạng, đặc biệt nếu bạn có nhiều bộ điều hợp hoặc đang sử dụng mạng ảo.

Bằng cách làm theo các hướng dẫn này, ảnh chụp màn hình của bạn sẽ sạch hơn nhiều và hữu ích hơn cho bất kỳ phân tích nào sau này..

Bộ lọc trong Wireshark: Cách tập trung vào những gì thực sự quan trọng

Một trong những tính năng mạnh mẽ nhất của Wireshark là bộ lọc. Có hai loại cơ bản:

• Bộ lọc chụp:Chúng được áp dụng trước khi bắt đầu thu thập, cho phép bạn chỉ thu thập lưu lượng truy cập mà bạn quan tâm ngay từ đầu.
• Bộ lọc hiển thị: Những điều này áp dụng cho danh sách các gói tin đã được thu thập, cho phép bạn chỉ hiển thị những gói tin đáp ứng tiêu chí của mình.

Trong số các bộ lọc phổ biến nhất là:

• Theo giao thức: Chỉ lọc các gói tin HTTP, TCP, DNS, v.v.
• Theo địa chỉ IP: Ví dụ, chỉ hiển thị các gói tin từ hoặc đến một IP cụ thể bằng cách sử dụng ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Bằng cảng: Giới hạn kết quả cho một cổng cụ thể (tcp. cổng == 80).
• Theo chuỗi văn bản: Xác định vị trí các gói có chứa từ khóa trong nội dung của chúng.
• Theo địa chỉ MAC, độ dài gói tin hoặc phạm vi IP.

Ngoài ra, bộ lọc có thể được kết hợp với các toán tử logic (và, or, không) cho các tìm kiếm rất chính xác, chẳng hạn như tcp.port == 80 và ip.src == 192.168.1.1.

Bạn có thể nắm bắt và phân tích những gì bằng Wireshark trên Windows?

Wireshark là có khả năng diễn giải hơn 480 giao thức khác nhau, từ những giao thức cơ bản như TCP, UDP, IP, đến các giao thức dành riêng cho ứng dụng, IoT, VoIP và nhiều giao thức khác. Điều này có nghĩa là bạn có thể kiểm tra mọi loại lưu lượng mạng, từ các truy vấn DNS đơn giản đến các phiên SSH được mã hóa, kết nối HTTPS, truyền FTP hoặc lưu lượng SIP từ điện thoại Internet.

Bên cạnh đó, Wireshark hỗ trợ các định dạng chụp chuẩn như tcpdump (libpcap), pcapng và các định dạng khácvà cho phép bạn nén và giải nén ảnh chụp màn hình nhanh chóng bằng GZIP để tiết kiệm dung lượng. Đối với lưu lượng được mã hóa (TLS/SSL, IPsec, WPA2, v.v.), nếu bạn có đúng khóa, bạn thậm chí có thể giải mã dữ liệu và xem nội dung gốc của nó.

Ghi lại lưu lượng truy cập chi tiết: các khuyến nghị bổ sung

Trước khi bắt đầu bất kỳ hoạt động thu thập dữ liệu quan trọng nào, hãy làm theo giao thức này để tối đa hóa tính hữu ích của thông tin thu thập được.:

• Chọn giao diện phù hợp: Thông thường bộ điều hợp hoạt động của bạn sẽ là bộ điều hợp dành cho kết nối bạn đang sử dụng. Nếu bạn có bất kỳ thắc mắc nào, hãy kiểm tra xem thiết bị nào được kết nối từ phần cài đặt mạng của Windows.
• Thiết lập bối cảnh: Chỉ mở các chương trình hoặc ứng dụng tạo ra lưu lượng truy cập mà bạn muốn phân tích.
• Cô lập hiện tượngNếu bạn muốn phân tích lưu lượng truy cập ứng dụng, hãy làm theo trình tự này: khởi chạy ứng dụng sau khi bắt đầu ghi, thực hiện hành động bạn muốn phân tích và đóng ứng dụng trước khi dừng ghi.
• Lưu ảnh chụp màn hình: Dừng ghi, vào File > Save và chọn .pcap hoặc định dạng bạn thích.

Đây là cách bạn sẽ nhận được tập tin sạch sẽ và dễ phân tích, không có bất kỳ luồng giao thông rác nào lẫn vào.

Ví dụ minh họa: phân tích lưu lượng truy cập với Wireshark

Giả sử bạn có hai máy tính trong mạng cục bộ và một trong số chúng ngừng truy cập Internet. Bạn có thể sử dụng Wireshark để thu thập lưu lượng truy cập từ máy đó. và xem có lỗi nào trong việc giải quyết địa chỉ DNS không, nếu các gói tin không đến được bộ định tuyến hoặc nếu tường lửa đang chặn thông tin liên lạc.

Một trường hợp điển hình khác: phát hiện nếu một trang web không mã hóa đúng thông tin đăng nhập của bạn. Nếu bạn đăng nhập vào một trang web không có HTTPS và áp dụng bộ lọc HTTP kết hợp với tên người dùng, bạn thậm chí có thể thấy mật khẩu của mình được truyền đi khắp mạng, một minh chứng thực tế về rủi ro của các trang web không an toàn.

Wireshark và Bảo mật: Rủi ro, Tấn công và Biện pháp Bảo vệ

Sức mạnh của Wireshark cũng chính là rủi ro lớn nhất của nó: Trong tay kẻ xấu, nó có thể tạo điều kiện cho việc đánh cắp thông tin xác thực, do thám hoặc tiết lộ thông tin nhạy cảm.. Sau đây là một số mối đe dọa và khuyến nghị:

• Nhồi thông tin xác thực (tấn công bằng cách dùng vũ lực để lấy thông tin xác thực):Nếu bạn bắt được lưu lượng SSH, Telnet hoặc dịch vụ khác, bạn có thể quan sát thấy các nỗ lực đăng nhập tự động. Hãy chú ý đến các phiên dài hơn (thường thành công), kích thước gói tin và số lần thử phát hiện các mẫu đáng ngờ.
• Rủi ro giao thông bên ngoài: Lọc tất cả lưu lượng SSH không đến từ mạng nội bộ của bạn: nếu bạn thấy kết nối từ bên ngoài, hãy cảnh giác!
• Mật khẩu dạng văn bản thuần túy:Nếu một trang web truyền tên người dùng và mật khẩu không được mã hóa, bạn sẽ thấy điều đó trong ảnh chụp màn hình. Không bao giờ sử dụng Wireshark để lấy dữ liệu này trên các mạng nước ngoài. Hãy nhớ rằng làm như vậy mà không được phép là bất hợp pháp.
• Sự đồng ý và tính hợp pháp: Chỉ phân tích lưu lượng truy cập từ mạng riêng hoặc có sự cho phép rõ ràng. Luật pháp rất rõ ràng về vấn đề này và việc sử dụng sai có thể gây ra hậu quả nghiêm trọng.
• Minh bạch và đạo đức:Nếu bạn làm việc trong môi trường doanh nghiệp, hãy thông báo cho người dùng về phân tích và mục đích của nó. Tôn trọng quyền riêng tư cũng quan trọng như bảo mật kỹ thuật.

Các lựa chọn thay thế cho Wireshark: Các lựa chọn khác để phân tích mạng

Wireshark là tài liệu tham khảo không thể tranh cãi, nhưng có những công cụ khác có thể bổ sung hoặc thay thế nó trong những tình huống cụ thể:

• tcpdump: Thích hợp cho môi trường Unix/Linux, hoạt động trên dòng lệnh. Nhẹ, nhanh và linh hoạt để chụp nhanh hoặc thực hiện các tác vụ tự động.
• Cá mập mây: Nền tảng web để tải lên, phân tích và chia sẻ các gói tin thu được từ trình duyệt. Rất hữu ích cho môi trường cộng tác.
• SmartSniff: Tập trung vào Windows, dễ sử dụng để chụp ảnh tại chỗ và xem các cuộc hội thoại giữa máy khách và máy chủ.
• ColaSoft Capsa: Trình phân tích mạng đồ họa nổi bật với giao diện đơn giản và các tùy chọn cụ thể để quét cổng, xuất và trực quan hóa nhỏ gọn.

Việc lựa chọn giải pháp thay thế tốt nhất phụ thuộc vào nhu cầu cụ thể của bạn.: tốc độ, giao diện đồ họa, cộng tác trực tuyến hoặc khả năng tương thích với phần cứng cụ thể.

Cài đặt nâng cao: Chế độ hỗn tạp, Giám sát và Giải quyết tên

Chế độ hỗn tạp cho phép card mạng chụp không chỉ những gói hàng dành cho cô ấy, mà tất cả lưu lượng lưu thông qua mạng mà nó được kết nối. Điều này rất quan trọng khi phân tích mạng công ty, trung tâm chia sẻ hoặc các tình huống kiểm tra thâm nhập.

Trên Windows, hãy đi tới Chụp > Tùy chọn, chọn giao diện và đánh dấu vào ô chế độ hỗn tạp. Hãy nhớ rằng trên mạng Wi-Fi, ngoại trừ một số phần cứng rất cụ thể, bạn sẽ chỉ thấy lưu lượng truy cập từ thiết bị của mình.

Hơn nữa, Giải quyết tên chuyển đổi địa chỉ IP thành tên miền có thể đọc được (ví dụ: 8.8.8.8 trong google-public-dns-a.google.com). Bạn có thể bật hoặc tắt tùy chọn này từ Chỉnh sửa > Tùy chọn > Giải quyết tên. Việc xác định thiết bị trong quá trình quét sẽ rất hữu ích, mặc dù nó có thể làm chậm quá trình nếu có nhiều địa chỉ được giải quyết.