WIRESHARK WIRESHARK WIRESHARK MỤC LỤC 1 Giới thiệu 1 1 Wireshark là gì? 1 2 Mục đích sử dụng 1 3 Tính năng 1 4 Nó không thể làm những việc gì? 2 Cài đặt Wireshark 2 1 Các thành phần 2 2 Các công cụ 2 3 Các chức năng khác 2 4 Về chương trình WinPCap 3 Giao diện người dùng 3 1 Giới thiệu 3 2 Cửa sổ chính 4 Thu thập động dữ liệu trong mạng (Capturing Live Network Data) 4 1 Giới thiệu 4 2 Các tùy chọn (Menu Capture Options) 4 3 Bộ lọc 5 Làm việc với các gói tin bắt được 5 1 Xem các gói tin đã bắt 5.
Trang 15 Làm việc với các gói tin bắt được
5.1 Xem các gói tin đã bắt
5.2 Lọc các gói tin khi đang xem
5.3 Tạo các biểu thức lọc hiển thị
5.4 Hộp thoại các biểu thức lọc (Filter Expression Dialog box)
5.5 Tìm kiếm các gói tin
1
Trang 21 Giới thiệu
1.1 Wireshark là gì ?
Ethereal là một chương trình phân tích giao thức mã nguồn mở ban đầu được viết bởi Gerald Combs Sau đó nó được đổi tên thành Wireshark năm 2006 Hiện nay Wireshark được quản lý và phát triển bởi hàng trăm người trên khắp thế giới
Wireshark là công cụ dùng để phân tích các giao thức của mạng Wireshark cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích VoIP Dữ liệu có thể bắt được thông qua giao diện đồ hoạ hoặc qua TTY-mode của tiện ích TShark
Wireshark có thể đọc/ghi nhiều dạng file như tcpdump (libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer®, … Dữ liệu nén dạng gzip bắt được có thể giải nén ngay lập tức, ngoài ra Wireshark cũng cung cấp nhiều phương thức giải nén cho nhiều phương thức khác như IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, …
Wireshark có hỗ trợ nhiều quy tắc tô màu cho các phương thức khác nhau, giúp bạn phân tích chúng trực quan hơn.Wireshark làm việc với nhiều loại kết nối mạng, bao gồm Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, …
1.2 Mục đích sử dụng
• Người quản trị mạng khắc phục lỗi mạng
• Kĩ sư an ninh mạng xem xét các vấn đề bảo mật
• Người phát triển phân tích và gỡ rối hoạt động của các giao thức
• Người dùng nghiên cứu bản chất giao thức mạng
• …
1.3.Tính năng
• Được cài đặt trên hai HĐH phổ biến là UNIX và Windows
• Thu thập ngay lập tức các gói tin lan tỏa đến card mạng
• Hiển thị các gói tin với những thông tin về giao thức chi tiết
• Có thể lưu giữ dữ liệu thu thập được vào file để sau này sử dụng lại
• Lọc gói tin theo nhiều tiêu chuẩn
• Tìm kiếm gói tin theo nhiều tiêu chuẩn
• Hiển thị màu sắc các gói tin dựa trên cơ chế lọc (để nhìn rõ hơn)
• Tạo nhiều thống kê khác nhau
1.4 Nó không thể làm những việc gì ?
Như bất kì một công cụ nào khác, Wireshark có thể được dùng cho một số việc và không cho một
số việc khác Ở đây là danh sách của một số việc mà Wireshark không thể làm:
• Nó không thể dùng để vạch ra một mạng Thay vào đó công cụ Nmap có thể đảm nhiệm chức năng này
• Nó không sinh ra ra các dữ liệu mạng - nó là một công cụ bị động Những công cụ như nmap, ping và traceroute là ví dụ về các công cụ có khả năng sinh ra các dữ liệu mạng Những công cụ này
là công cụ chủ động
2
Trang 3• Nó chỉ có thể chỉ ra thông tin chi tiết về các giao thức mà nó thật sự hiểu Nó hiểu được rất nhiềucác giao thức và có thể mở rộng ra, vì vậy bạn có thể thêm vào các giao thức hỗ trợ cho nó nếu nó không hiểu Tuy nhiên bạn sẽ chỉ có thể xem được các dữ liệu mà nó bắt được dưới dạng hexdump.
• Nó chỉ có thể bắt được dữ liệu tốt khi giao diện driver của hệ điều hành hỗ trợ Vd của việc này
là việc bắt dữ liệu thông qua mạng không dây Nó không làm việc tốt với một số phần mềm và phần cứng kết hợp
2 Cài đặt Wireshark
2.1 Các thành phần
Wireshark là một ứng dụng mã nguồn mở và có thể download miễn phí tại trang
www.wireshark.org Cách cài đặt nó khá dễ dàng và được hướng dẫn như dưới đây
1 Nhấn kép vào file cài đặt
2 Nhấn nút "Next" ở màn hình Welcome.
3 Nhấn nút "I Agree" để chấp nhận các điều kiện đăng kí.
3
Trang 44 Nhấn nút "Next" để chấp nhận các thiết đặt mặc định tại hộp thoại Choose Components.
5 Nhấn nút "Next" tại hộp thoại Select Additional Tasks.
4
Trang 56 Nhấn nút "Next" tại hộp thoại Choose Install Location.
5
Trang 67 Tại thời điểm này, trình cài đặt sẽ yêu cầu nếu bạn muốn cài đặ WinPcap Hãy chắc chắn rằng
ô Instal WinPcap được chọn và nhấn nút "Next".
8 Việc cài đặt Wireshark sẽ bắt đầu sao chép file vào hệ thống của bạn.
6
Trang 79 Trình cài đặt WinPcap sẽ được giới thiệu trong suốt quá trình cài Wireshark Nhấn nút "Next" tại màn hình Welcome.
10 Nhấn nút "Next" tại màn hình WinPcap Setup Wizard.
7
Trang 811 Nhấn nút "I Agree" tại màn hình License Agreement.
12 Nhấn nút "Finish" để đón trình cài đặt WinPcap.
8
Trang 913 Nhấn nút "Next" tại hộp thoại Wireshark Installtion Complete.
14 Nhấn nút "Finish" để đóng trình cài đặt Wireshark.
9
Trang 102.2 Các công cụ
• Editcap: chương trình đọc file dữ liệu đã thu thập và ghi một số chọn lọc (hoặc tất cả)các gói tin sang một file dữ liệu khác
• Text2Pcap: chương trình đọc mã ASCII và ghi dữ liệu vào một file
• Mergecap: chương trình kết hợp nhiều file dữ liệu thành một file duy nhất
• Capinfos: chương trình cung cấp thông tin về các file dữ liệu
2.3 Các chức năng khác
• Start Menu ShortCuts: thêm shortcuts vào Start Menu
• Desktop Icon: thêm biểu tượng wireshark vào màn hình Desktop
• Quick Launch Icon: thêm biểu tượng wireshark vào thanh Explorer Quick launch
2.4 Chương trình WinPCap
WinPCap là chương trình dùng để thu thập tức thì các luồng dữ liệu trong mạng Nếu chưa càiđặt WinPcap, bạn chỉ có thể sử dụng wireshark để mở các file thu thập dữ liệu có sẵn Vì vậy,wireshark và WinPcap thường được cài đặt cùng nhau
Tuy nhiên, kể từ phiên bản wireshark 0.10.12, bộ cài WinPcap đã được tích hợp vào bộcài
wireshark nên không cần phải tải về và cài đặt hai gói phần mềm riêng biệt nữa
Thông tin thêm về WinPcap:
Trang 113.2 Cửa sổ chính
1 Title bar - Thanh này sẽ chứa những thông tin khác nhau phụ thuộc vào những gì Wireshark đang làm Nếu nó đang bắt dữ liệu mạng, nó sẽ hiểu thị giao điện đang sử dụng Nếu nó đang hiển thị dữ liệu từ lần bắt dữ liệu trước đó, tên của file chứa trong dữ liệu bắt được đó sẽ được hiển thị (untitled sẽ được hiển thị nếu lần bắt đó được trình diễn, dừng lại và không được lưu lại) Ngược
lại nó sẽ hiển thị tên của ứng dụng: Wireshark network Protocol Analyzer
2 Menu bar - Thanh này cung cấp khả năng truy cập đến các tính năng của ứng dụng.
11
Trang 12a File - Chức năng làm với việc với dữ liệu bắt được như lưu lại và export đến các định
dạng file khác nhau
b Edit - Chức năng tìm kiểm packets, thiết đặt thay đổi thời gian, và tham khảo các thiết
đặt
c View - Chức năng thay đổi cách hiển thị thông tin của Wireshark
d Go - Chức năng tìm vị trí của một packet chỉ rõ
e Capture - Chức năng bắt đầu và dừng lại các lần bắt, lưu lại các filter và làm việc với
các giao diện mạng
f Analyze - Chức năng giải thích và lọc dữ liệu bắt được
g Statistics - Chức năng thống kê phân tích dữ liệu bắt được
h Help - Chức năng trợ giúp.
3 Main tool bar - Lối tắt để sử dụng các chức năng thường dùng trong thanh menu
4 Filter tool bar - Truy cập nhanh đến chức năng filter
5 Packet list pane - Hiển thị tất cả các packet trong file bắt hiện tại
Ô liệt kê gói tin hiển thị tóm tắt về mỗi gói tin bắt được
Mỗi dòng trong danh sách ứng với một gói tin trong file dữ liệu thu thập Nếu chọn một dòng trong
ô này, ô Packet Details và Packet Bytes sẽ hiển thị thông tin chi tiết về gói tin tương ứng Khi phân tích một gói tin, Ethereal sẽ lấy thông tin từ bộ phân tích giao thức và ñặt vào các cột Vì thông tin
về giao thức ở tầng cao sẽ ghi ñè lên thông tin của giao thức ở tầng thấp nên bạn sẽ chỉ nhìn thấy thông tin giao thức tầng cao nhất có thể
Ví dụ, giả sử một gói tin TCP nằm bên trong gói tin IP, gói tin IP lại nằm bên trong frame
Ethernet Bộ phân tích Ethernet ghi dữ liệu của mình (chẳng hạn ñịa chỉ card mạng), sau đó bộ
phân tích IP ghi đè bằng dữ liệu IP (ví dụ địa chỉ IP), và cuối cùng bộ phân tích TCP sẽ ghi đè lên thông tin về IP
Có rất nhiều cột thông tin khác nhau và có thể chọn hiển thị cột nào bằng cách thiết lập tùy chọn (Preference settings)
The default columns will show:
• No The number of the packet in the capture file This number won't change, even if a display filter i s u s e d
• Time The timestamp of the packet The presentation format of this timestamp can be changed,
see S e ct i on 6 9 , “ Ti m e di s pl a y f or m a ts a n d ti m e
12
Trang 13r e f e renc e s”.
• Source The address where this packet is coming from
• Destination The address where this packet is going to
• Protocol The protocol name in a short (perhaps abbreviated) version
• Info Additional information about the packet content
6 Packet details pane - Chỉ rõ các chi tiết của packet được chọn hiện tại trong khung Packet List.
Ô chi tiết gói tin hiển thị chi tiết gói tin ñược chọn ở ô liệt kê gói tin
Giao thức và các trường của gói tin được biểu diễn dưới dạng cây, có thể dễ dàng mở rộng hoặc thu gọn lại
Some protocol fields are specially displayed
• Generated fields Ethereal itself will generate additional protocol fields which are surrounded by brackets The information in these fields is derived from the known context to other packets in the capture file For example, Ethereal is doing a sequence/acknowledge analysis of each TCP stream, which is displayed in the [SEQ/ACK analysis] fields of the TCP protocol
• Links If Ethereal detected a relationship to another packet in the capture file, it will generate a link to that packet Links are underlined and displayed in blue If double-clicked, Ethereal jumps to the corresponding packet
7 Packet bytes pane - Chế độ xem hexdum của packet hiện tại trong Packet List.
Ô mã nhị phân hiển thị dữ liệu biểu diễn dưới dạng cơ số 16 của gói tin ñược chọn (là gói tin được chọn trong ô gói tin chi tiết)
Cột bên trái ghi vị trí tương đối (offset) của dữ liệu trong gói tin, cột ở giữa là dữ liệu ñược biểudiễn dưới dạng cơ số 16 và cột bên phải là kí tự ASCII tương ứng (hoặc dấu chấm (‘.’) nếu kí tựkhông hiển thị được)
Tùy thuộc vào dữ liệu gói tin, đôi khi ô này chứa nhiều trang, chẳng hạn như khi Ethereal ráp nhiềugói tin lại thành một khối dữ liệu duy nhất Trong trường hợp này, một vài tab sẽ xuất hiện ở đáycủa ô để có thể lựa chọn các trang cần xem
8 Status bar - Cung cấp các thông điệp và thông tin phản hồi đến người dùng.
13
Trang 14Thanh trạng thái biểu diễn một số thông tin thêm về trạng thái hiện tại của chương trình và các dữ liệu thu thập được Thông thường phần bên trái sẽ hiển thị thông tin liên quan đến ngữ cảnh (tên, kích thước của file dữ liệu thu thập, thời gian thực hiện thu thập), trong khi phần bên phải hiển thị số lượng gói tin hiện đã thu thập được.
Các chú thích viết
tắt:
• P: số gói tin bắt ñược
• D: số gói tin đang được hiển thị
• M: số gói tin được đánh dấu
4 Thu thập tức thì dữ liệu trong mạng
Trang 15thu thập, thời gian thu thập hay tổng số gói tin bắt được.
• Hiển thị các gói tin đã được phân tích trong khi vẫn tiếp tục thu thập thông tin
• Lọc gói tin, giảm độ lớn của dữ liệu
• Ghi ra nhiều file khác nhau Có thể lựa chọn để ghi dữ liệu thu được lần lượt và theo thứ tựxoay tròn vào các file và giữ lại x file cuối cùng Điều này cực kỳ có ích khi cần thu thập dữliệu trong thời gian dài
Start Capturing
Để thu thập gói tin trong wireshark, chúng ta có thể sử dụng một trong các phương thức sau:
• Nhấn vào biểu tượng trên thanh công cụ Quá trình thu thập có thể ñược khởi tạo sau khi bấm vào nút "Capture" trong hộp hội thoại
• Nhấn vào biểu tượng trên thanh công cụ để đặt các tham số tùy chọn
• Nếu đã đặt hết các tham số, có thể ấn vào nút trên thanh công cụ để bắt đầu quátrình thu thập
Hộp hội thoại "Capture Interfaces"
Khi chọn "Interfaces " từ menu Capture, xuất hiện hộp hội thoại "Capture Interfaces" như minh họa trên hình
Description HĐH sẽ cung cấp các tham số chi tiết cho card mạng này
IP Là địa chỉ IP ứng với card mạng Nếu không xác định được địa chỉ IP (chẳng hạn do không cóDHCP server) thì sẽ là unknown Nếu máy tính có hai địa chỉ IP, thì chỉ một trong hai địa chỉ được hiểnthị (nhưng không xác định được là địa chỉ nào
Packets : Số lượng các packet bắt được kể từ khi mở Hộp hội thoại
Packets/s : Số lượng packet bắt được trong giây cuối cùng
Stop : Dừng quá trình thu thập
Capture: Bắt ñầu quá trình thu thập với cấu hình từ lần thu thập
trước Prepare : Mở hộp hội thoại Capture Options trên card mạng
được lựa chọn
Close : Đóng hộp hội thoại
4.2 Các tùy chọn (Menu Capture/ Options).
15
Trang 16Khi khởi động việc bắt dữ liệu, Wireshark có thể sẽ hiển thị một hộp thoại tùy chọn(Capture Options) Nếu không chắc về một tuỳ chọn nào đó, hãy để chế độ mặc định Trong nhiềutrường hợp điều đó sẽ không ảnh hưởng nhiều đến kết quả hiển thị.
1 Capture frame - Chọn loại card mạng trong phần interface
IP address: địa chỉ IP của giao diện được lựa chọn Nếu không rõ địa chỉ IP thì sẽ hiển thị là
“unknown”
Link-layer header type: nên để mặc định
Buffer size: Đây là kích thước của bộ đệm hạt nhân mà sẽ giữ các gói tin bị bắt,đến khi chúng được ghi vào đĩa
Capture packets in promiscuous mode: đánh dấu tick nếu muốn bắt tất cả các gói tin trong mạng LAN của bạn, nếu không chỉ bắt được các gói tin đi và đến máy tính của bạn
Limit each packet to n bytes: giới hạn kích thước của gói tin Nên để mặc đĩnh giá sẽ là 65535
2 Capture File(s) frame
Use multiple files: Thay vì sử dụng một tập tin duy nhất, Wireshark sẽ tự động chuyển sang một hình mới,nếu một điều kiện gây ra cụ thể đạt được
Next file every n megabyte: Chuyển sang các file tiếp theo sau khi số các byte
(s)/kilobyte(s)/megabyte(s)/GB(s)đã bị bắt
Next file every n minute(s): Chuyển sang các file tiếp theo sau khi số lượng nhất định thứ hai (s) /
16
Trang 17phút(s)/giờ(s)/ngày(s)đã trôi qua
Ring buffer with n files: Tạo thành một vòng đệm của các tập tin chụp, với số lượng nhất định cáctập tin
Stop capture after n file(s): Dừng thu sau khi chuyển đến tập tin tiếp theo số lần nhất định
3 Stop Capture frame
After n packet(s): Dừng chụp sau khi số các gói tin đã bị bắt
After n megabytes(s): Dừng chụp sau khi số các
byte(s)/kilobyte(s)/megabyte(s)/GB(s)đãđượcbắt.Tùy chọn này chuyển sang màu xám,nếu "Sử dụng nhiều file" được chọn
After n minute(s): Dừng chụp sau khi số lượng nhất định thứ hai (s)/phút(s)/giờ(s)/ngày(s) đã trôi qua
4 Display Options frame
Update list of packets in real time: cập nhật danh sách gói tin theo thời gian thực,
Automatic scrolling in live capture: tự động di chuyển trực tiếp để bắt
Hide capture info dialog: ẩn hộp thoại
5 Name Resolution frame :
Enable MAC name resolution: tính năng dịch địa chỉ MAC thành tên
Enable network name resolution: tính năng dịch địa chỉ mạng thành tên
Enable transport name resolution: tính năng dịch địa chỉ giao vận thành giao thức
4.3 Bộ lọc
Có thể điền biểu thức lọc vào trường Filter của hộp thoại Capture Options Biểu thức có thểđược xem là tổ hợp của các biểu thức nguyên thủy (primitive) kết nối với nhau theo các phép toánAND OR hoặc NOT
Khuôn dạng tổng quát của biểu thức: [not] primitive [and|or [not] primitive …]
Ví dụ 1: Bắt thông tin ứng dụng telnet đến hoặc đi từ một host cụ thể nào đó:
tcp port 23 and host 10.0.0.5
Ví dụ 2: Bắt thông tin telnet không xuất phát từ ñịa chỉ IP 10.0.05:
tcp port 23 and not host 10.0.0.5
Dưới đây là các biểu thức nguyên thủy thường được sử dụng:
• [src|dst] host <host>: lọc dựa trên tên hoặc ñịa chỉ IP của máy tính Nếu có thêm từ khóasrc (hoặc dst) thì chúng ta chỉ lấy những gói tin có địa chỉ gửi (hoặc địa chỉ nhận) là host.Nếu không có hai từ khóa này, hệ thống sẽ thu giữ tất cả gói tin có địa chỉ gửi hoặc nhận làhost
• ether [src|dst] host <ehost>: lọc dựa trên địa chỉ của Ethernet host Từ khóa src và dstgiống như trên
• gateway host <host>: lọc các gói tin sử dụng host như một gateway (router) Có nghĩa là địachỉ Ethernet là địa chỉ của host nhưng ñịa chỉ IP không phải là địa chỉ của host
• [src|dst] net <net> [{mask <mask>}|{len <len>}] Lọc theo địa chỉ subnet của mạng
Từ khóa src hoặc dst chỉ ra rằng chỉ cần lấy gói tin gửi từ (hoặc ñến) một mạng cụ thể nào
đó Có thể bạn phải chỉ ra mặt nạ mạng hoặc tiền tố CIDR trong trường hợp bạn địa chỉ subnetkhác subnet trên máy tính cài Ethereal
17
