Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng

[WhiteHat Support #ID:723]

Wireshark, hay còn gọi là Ethereal, công cụ này có lẽ không quá xa lạ với phần lớn người sử dụng chúng ta, vốn được xem là 1 trong những ứng dụng phân tích dữ liệu hệ thống mạng, với khả năng theo dõi, giám sát các gói tin theo thời gian thực, hiển thị chính xác báo cáo cho người dùng qua giao diện khá đơn giản và thân thiện. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số đặc điểm cơ bản cũng như cách dùng, phân tích và kiểm tra hệ thống mạng bằng Wireshark.

Các bạn có thể tải Wireshark phiên bản mới nhất tại đây hoặc trực tiếp tại trang chủ. Nếu dùng Linux hoặc các hệ thống UNIX khác thì có thể tìm thấy Wireshark trong phần Package Repositories. Ví dụ, với Ubuntu thì Wireshark sẽ có ở trong Ubuntu Software Center. Tuy nhiên, các bạn cần lưu ý rằng không nên tự tiện sử dụng, vì có công ty, tổ chức hoặc doanh nghiệp không cho phép dùng Wireshark trong hệ thống mạng của họ.

Capturing Packets:

Sau khi cài đặt, các bạn hãy khởi động chương trình và chọn thành phần trong Interface List để bắt đầu hoạt động. Ví dụ, nếu muốn giám sát lưu lượng mạng qua mạng Wireless thì chọn card mạng Wifi tương ứng. Nhấn nút Capture Options để hiển thị thêm nhiều tùy chọn khác:

​

Ngay sau đó, chúng ta sẽ thấy các gói dữ liệu bất đầu xuất hiện, Wireshark sẽ “bắt” từng gói – package ra và vào hệ thống mạng. Nếu đang giám sát thông tin trên Wireless trong chế độ Promiscuous thì sẽ nhìn thấy các gói dữ liệu khác trong toàn bộ hệ thống:

​

Nếu muốn tạm ngừng quá trình này thì các bạn nhấn nút Stop ở phía trên:

​

Tại đây, chúng ta sẽ thấy có nhiều màu sắc khác nhau, bao gồm: xanh lá cây, xanh da trời và đen. Wireshark dựa vào cơ chế này để giúp người dùng phân biệt được các loại traffic khác nhau. Ở chế độ mặc định, màu xanh lá cây là traffic TCP, xanh da trời đậm là traffic DNS, xanh da trời nhạt là traffic UDP và màu đen là gói TCP đang có vấn đề.

​

Bên cạnh đó, bạn có thể tham khảo phần hướng dẫn và ví dụ cơ bản của Wiki Wireshark tại đây. Mở 1 file capture khá dễ dàng, nhấn nút Open và trỏ tới file gốc, người dùng còn có thể tự lưu dữ liệu capture trong Wireshark và sử dụng sau đó:

​

Nguồn: QTM

 

Re: Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng

Như mình ra quán cafe kết nối wifi và quét bằng Wireshark, xong mình muốn xem hộ đã chi cập vào địa chỉ web nào thì phải xem như thế nào, mình mới cài phần mềm này cũng không rành gì mấy.... mong người giúp đở chi tiết hơn... thanks

 

Re: Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng

Như mình ra quán cafe kết nối wifi và quét bằng Wireshark, xong mình muốn xem hộ đã chi cập vào địa chỉ web nào thì phải xem như thế nào, mình mới cài phần mềm này cũng không rành gì mấy.... mong người giúp đở chi tiết hơn... thanks

bạn có thể lọc theo ip hoặc http, rồi gõ vào phần filter

 

Mình sử dụng wireshark để bắt các gói tin trong mạng nhưng wireshark chỉ hiện thị những gói tin từ máy của mình. Ai hướng dẫn cách config giúp mình được không ạ?

 

Mình sử dụng wireshark để bắt các gói tin trong mạng nhưng wireshark chỉ hiện thị những gói tin từ máy của mình. Ai hướng dẫn cách config giúp mình được không ạ?

Wireshark sẽ bắt các gói tin mà card mạng của bạn đã chọn (ví dụ như ở hình 1 là card mạng NIVIA nForce) chứ không giám sát được toàn bộ mạng của bạn.Vì vậy bạn chỉ giám sát được thông tin trao đổi trên card mạng mà bạn đã chọn.

Mình cũng đang ở mức độ nghiên cứu về giám sát mạng, bạn có thể tham khảo thêm tools ở trang github này để giám sát mạng nội bộ https://github.com/firehol/netdata.

 

"Mình sử dụng wireshark để bắt các gói tin trong mạng nhưng wireshark chỉ hiện thị những gói tin từ máy của mình. Ai hướng dẫn cách config giúp mình được không ạ?"

Nếu bạn muốn dùng wireshark để bắt các gói tin trong mạng thì máy của bạn phải là gateway - nơi các gói tin từ các máy tính trong mạng đi qua (giống trạm thu vé trên đường đó), khi đó bạn có thể bắt và xem các gói tin. Ví dụ về Gateway: Firewall phần mềm, NAT Server,..
Còn nếu bạn muốn làm Lab thì sử dụng các máy ảo, trong đó có một máy làm Gateway (2 card mạng). Một card cắm vào mạng LAN, một card cắm ra mạng bên ngoài. Bạn cấu hình định tuyến trên 2 card mạng (NAT/Routing). Sau đó bạn cài wireshark trên máy này và có thể bắt được các gói tin từ các máy của mạng LAN đi ra bên ngoài.

Chúc thành công

 

để có thể giám sát tất cả mọi người trong mạng bạn có thể dùng wireshark kết hợp với cain&abel để đầu độc bảng arp thì bạn sẽ xem được các máy trong mạng hoặc dùng ettercap sẽ hỗ trợ bạn luôn !

 

để có thể giám sát tất cả mọi người trong mạng bạn có thể dùng wireshark kết hợp với cain&abel để đầu độc bảng arp thì bạn sẽ xem được các máy trong mạng hoặc dùng ettercap sẽ hỗ trợ bạn luôn !

Cám ơn các góp ý của các bạn.

Mình có thử qua cain&abel và ettercap nhưng khi sử dụng các chương trình này đều làm cả hệ thống mạng lan (15 máy) của mình rớt mạng. Mong được các bạn chỉ dẫn thêm!

 

Cám ơn các góp ý của các bạn.

Mình có thử qua cain&abel và ettercap nhưng khi sử dụng các chương trình này đều làm cả hệ thống mạng lan (15 máy) của mình rớt mạng. Mong được các bạn chỉ dẫn thêm!

Do các phần mềm này gửi đi các gói ARP giả mạo để bắt được traffic của các máy trong mạng nên xài lâu sẽ xảy ra hiện tượng mất mạng do các thiết bị không tìm thấy gateway ra ngoài internet. Để khác phục bạn nên chạy các công cụ này trong thời gian ngắn.

 

Mình có thể dùng kĩ thuật ARP Poisoning để có thể intercerp toàn bộ traffic đi vào dãy mạng mà . Còn việc giám sát mạng nội bộ thì có lẽ phải gateway mới được !!! .

 

Tiện đây gửi các bạn một bài tập, nhờ các bạn giải giúp nhé:

Một hacker mũ trắng tên là A chạy Wireshark để bắt tất cả các gói tin ra/vào máy tính của mình qua card mạng. Sau đó ông A đã ghi tất cả các gói tin Wireshark bắt được vào file “Capture.libpcap” (Link Đính kèm ).
Ông A đã “ping” đến nhiều site khác nhau, trong đó có các site được liệt kê bên dưới.
Cho biết:
1. Ông A truy cập Internet qua kết nối ADSL.
2. ADSL Ethernet Router của ông A có địa chỉ MAC là 00:22:6b:ff:02:f8.
3. Máy của ông A có địa chỉ IP là 192.168.1.100
-------------------------------------------------------------------------------------------------------------------------
Hãy dùng wireshark để mở file “Capture.libpcap”, phân tích và trả lời các câu hỏi sau đây:

1. Địa chỉ MAC máy của ông A là gì?
2. Site số 1 có trả lời gói tin ICMP “Echo (ping) request” không? (trả lời có hoặc không):
3. Site số 2 có các địa chỉ IP sau (liệt kê tối đa 3 địa chỉ đầu tiên):
4. Nếu site 1 có trả lời, hãy cho biết số thứ tự các gói tin ICMP “Echo (ping) request” tới site 1 .
5. Nếu có trả lời, hãy cho biết số thứ tự các gói tin ICMP “Echo (ping) reply” tương ứng:
6. Có bao nhiêu site không trả lời lệnh ping của ông A: Có ... sites là (tên hoặc địa chỉ IP):
7. Có bao nhiêu site có trả lời lệnh ping của ông A, nhưng không trả lời 100% số gói tin ICMP “Echo (ping) request”:
8. Máy tính của ông A sử dụng card mạng (NIC) có dây hay không dây ? (trả lời có hoặc không):
9. Site 18 có (các) địa chỉ IP thuộc quốc gia nào?:
10. Ông A đã ping đến bao nhiêu sites khác nhau?
11. Trong số các site mà Ông A đã ping đến, site có nhiều địa chỉ IP nhất là .... địa chỉ IP; tên site đó là: ...

1.	annonymous.online.fr	27.	www.baomoi.com[/URL]	53.	www.pclehoan.com[/URL]
2.	axn.jumboplay.com	28.	www.bbc.com[/URL]	54.	www.qdnd.vn[/URL]
3.	basao.com	29.	www.bigbigsale.vn[/URL]	55.	www.techdictionary.com[/URL]
4.	common-lisp.net[/URL]	30.	www.cable-modems.org[/URL]	56.	www.uwtv.org[/URL]
5.	freevideolectures.com	31.	www.cramster.com[/URL]	57.	www.vatgia.com.vn[/URL]
6.	games.yahoo.com	32.	www.cse.iitd.ernet.in	58.	www.vietnamairline.com.vn[/URL]
7.	home.vnn.vn	33.	www.cse.usf.edu[/URL]	59.	www.vnexpress.net[/URL]
8.	maps.google.com	34.	www.cut-the-knot.org[/URL]	60.	www.vnu.edu.vn[/URL]
9.	navigators.com	35.	www.dantri.com.vn[/URL]	61.	www.voa.com[/URL]
10.	new.music.yahoo.com	36.	www.diadiem.com[/URL]	62.	www.vtc.com.vn[/URL]
11.	pcguide.com	37.	www.diendantinhoc.com[/URL]	63.	www.vuongquocgames.com[/URL]
12.	smallbusiness.yahoo.com	38.	www.dulichkhachsan.com[/URL]	64.	www1.vtc.com.vn[/URL]
13.	sports.yahoo.com	39.	www.educypedia.be[/URL]	65.	v.v.
14.	support.mozilla.com	40.	www.flashget.com[/URL]
15.	vietnamnet.net	41.	www.google.com[/URL]
16.	wikimapia.org	42.	www.google.com.vn[/URL]
17.	wikipedia.org	43.	www.gsmworld.com[/URL]
18.	williamstallings.com	44.	www.hut.edu.vn[/URL]
19.	windowsvn.net[/URL]	45.	www.i-today.com.vn[/URL]
20.	www.24h.com.vn[/URL]	46.	www.icir.org[/URL]
21.	www.aa.com[/URL]	47.	www.isi.edu[/URL]
22.	www.acm.com[/URL]	48.	www.laodong.com.vn[/URL]
23.	www.acm.org[/URL]	49.	www.laynetworks.com[/URL]
24.	www.ams.org[/URL]	50.	www.lingoes.net[/URL]
25.	www.auto-nomos.de[/URL]	51.	www.mathpropress.com[/URL]
26.	www.baodatviet.vn[/URL]	52.	www.nhantaidatviet.vnn.vn[/URL]

 

Do các phần mềm này gửi đi các gói ARP giả mạo để bắt được traffic của các máy trong mạng nên xài lâu sẽ xảy ra hiện tượng mất mạng do các thiết bị không tìm thấy gateway ra ngoài internet. Để khác phục bạn nên chạy các công cụ này trong thời gian ngắn.

Giờ mình hiểu rồi, tks các bạn rất nhiều