Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng

WhiteHat Support #ID:723

WhiteHat Support
10/10/2014
0
2 bài viết
Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng
Wireshark, hay còn gọi là Ethereal, công cụ này có lẽ không quá xa lạ với phần lớn người sử dụng chúng ta, vốn được xem là 1 trong những ứng dụng phân tích dữ liệu hệ thống mạng, với khả năng theo dõi, giám sát các gói tin theo thời gian thực, hiển thị chính xác báo cáo cho người dùng qua giao diện khá đơn giản và thân thiện. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số đặc điểm cơ bản cũng như cách dùng, phân tích và kiểm tra hệ thống mạng bằng Wireshark.

Các bạn có thể tải Wireshark phiên bản mới nhất tại đây hoặc trực tiếp tại trang chủ. Nếu dùng Linux hoặc các hệ thống UNIX khác thì có thể tìm thấy Wireshark trong phần Package Repositories. Ví dụ, với Ubuntu thì Wireshark sẽ có ở trong Ubuntu Software Center. Tuy nhiên, các bạn cần lưu ý rằng không nên tự tiện sử dụng, vì có công ty, tổ chức hoặc doanh nghiệp không cho phép dùng Wireshark trong hệ thống mạng của họ.

Capturing Packets:

Sau khi cài đặt, các bạn hãy khởi động chương trình và chọn thành phần trong Interface List để bắt đầu hoạt động. Ví dụ, nếu muốn giám sát lưu lượng mạng qua mạng Wireless thì chọn card mạng Wifi tương ứng. Nhấn nút Capture Options để hiển thị thêm nhiều tùy chọn khác:

1490893092wireshark--02.jpg


Ngay sau đó, chúng ta sẽ thấy các gói dữ liệu bất đầu xuất hiện, Wireshark sẽ “bắt” từng gói – package ra và vào hệ thống mạng. Nếu đang giám sát thông tin trên Wireless trong chế độ Promiscuous thì sẽ nhìn thấy các gói dữ liệu khác trong toàn bộ hệ thống:

1490893092wireshark--03.jpg


Nếu muốn tạm ngừng quá trình này thì các bạn nhấn nút Stop ở phía trên:

1490893092wireshark--04.jpg


Tại đây, chúng ta sẽ thấy có nhiều màu sắc khác nhau, bao gồm: xanh lá cây, xanh da trời và đen. Wireshark dựa vào cơ chế này để giúp người dùng phân biệt được các loại traffic khác nhau. Ở chế độ mặc định, màu xanh lá cây là traffic TCP, xanh da trời đậm là traffic DNS, xanh da trời nhạt là traffic UDP và màu đen là gói TCP đang có vấn đề.

1490893092wireshark--05.jpg


Bên cạnh đó, bạn có thể tham khảo phần hướng dẫn và ví dụ cơ bản của Wiki Wireshark tại đây. Mở 1 file capture khá dễ dàng, nhấn nút Open và trỏ tới file gốc, người dùng còn có thể tự lưu dữ liệu capture trong Wireshark và sử dụng sau đó:

1490893092wireshark--06.jpg

Nguồn: QTM
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng

Như mình ra quán cafe kết nối wifi và quét bằng Wireshark, xong mình muốn xem hộ đã chi cập vào địa chỉ web nào thì phải xem như thế nào, mình mới cài phần mềm này cũng không rành gì mấy.... mong người giúp đở chi tiết hơn... thanks
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng

Mr_Long;16503 đã viết:
Như mình ra quán cafe kết nối wifi và quét bằng Wireshark, xong mình muốn xem hộ đã chi cập vào địa chỉ web nào thì phải xem như thế nào, mình mới cài phần mềm này cũng không rành gì mấy.... mong người giúp đở chi tiết hơn... thanks

bạn có thể lọc theo ip hoặc http, rồi gõ vào phần filter
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình sử dụng wireshark để bắt các gói tin trong mạng nhưng wireshark chỉ hiện thị những gói tin từ máy của mình. Ai hướng dẫn cách config giúp mình được không ạ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Tuck181;n59583 đã viết:
Mình sử dụng wireshark để bắt các gói tin trong mạng nhưng wireshark chỉ hiện thị những gói tin từ máy của mình. Ai hướng dẫn cách config giúp mình được không ạ?

Wireshark sẽ bắt các gói tin mà card mạng của bạn đã chọn (ví dụ như ở hình 1 là card mạng NIVIA nForce) chứ không giám sát được toàn bộ mạng của bạn.Vì vậy bạn chỉ giám sát được thông tin trao đổi trên card mạng mà bạn đã chọn.

Mình cũng đang ở mức độ nghiên cứu về giám sát mạng, bạn có thể tham khảo thêm tools ở trang github này để giám sát mạng nội bộ https://github.com/firehol/netdata.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
"Mình sử dụng wireshark để bắt các gói tin trong mạng nhưng wireshark chỉ hiện thị những gói tin từ máy của mình. Ai hướng dẫn cách config giúp mình được không ạ?"

Nếu bạn muốn dùng wireshark để bắt các gói tin trong mạng thì máy của bạn phải là gateway - nơi các gói tin từ các máy tính trong mạng đi qua (giống trạm thu vé trên đường đó), khi đó bạn có thể bắt và xem các gói tin. Ví dụ về Gateway: Firewall phần mềm, NAT Server,..
Còn nếu bạn muốn làm Lab thì sử dụng các máy ảo, trong đó có một máy làm Gateway (2 card mạng). Một card cắm vào mạng LAN, một card cắm ra mạng bên ngoài. Bạn cấu hình định tuyến trên 2 card mạng (NAT/Routing). Sau đó bạn cài wireshark trên máy này và có thể bắt được các gói tin từ các máy của mạng LAN đi ra bên ngoài.

Chúc thành công
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
để có thể giám sát tất cả mọi người trong mạng bạn có thể dùng wireshark kết hợp với cain&abel để đầu độc bảng arp thì bạn sẽ xem được các máy trong mạng hoặc dùng ettercap sẽ hỗ trợ bạn luôn !
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
nsc500;n59620 đã viết:
để có thể giám sát tất cả mọi người trong mạng bạn có thể dùng wireshark kết hợp với cain&abel để đầu độc bảng arp thì bạn sẽ xem được các máy trong mạng hoặc dùng ettercap sẽ hỗ trợ bạn luôn !

Cám ơn các góp ý của các bạn.

Mình có thử qua cain&abel và ettercap nhưng khi sử dụng các chương trình này đều làm cả hệ thống mạng lan (15 máy) của mình rớt mạng. Mong được các bạn chỉ dẫn thêm!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Tuck181;n59832 đã viết:
Cám ơn các góp ý của các bạn.

Mình có thử qua cain&abel và ettercap nhưng khi sử dụng các chương trình này đều làm cả hệ thống mạng lan (15 máy) của mình rớt mạng. Mong được các bạn chỉ dẫn thêm!

Do các phần mềm này gửi đi các gói ARP giả mạo để bắt được traffic của các máy trong mạng nên xài lâu sẽ xảy ra hiện tượng mất mạng do các thiết bị không tìm thấy gateway ra ngoài internet. Để khác phục bạn nên chạy các công cụ này trong thời gian ngắn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình có thể dùng kĩ thuật ARP Poisoning để có thể intercerp toàn bộ traffic đi vào dãy mạng mà :D. Còn việc giám sát mạng nội bộ thì có lẽ phải gateway mới được !!! :D.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Tiện đây gửi các bạn một bài tập, nhờ các bạn giải giúp nhé:

Một hacker mũ trắng tên là A chạy Wireshark để bắt tất cả các gói tin ra/vào máy tính của mình qua card mạng. Sau đó ông A đã ghi tất cả các gói tin Wireshark bắt được vào file “Capture.libpcap (Link Đính kèm ).
Ông A đã “ping” đến nhiều site khác nhau, trong đó có các site được liệt kê bên dưới.
Cho biết:
1. Ông A truy cập Internet qua kết nối ADSL.
2. ADSL Ethernet Router của ông A có địa chỉ MAC là 00:22:6b:ff:02:f8.
3. Máy của ông A có địa chỉ IP là 192.168.1.100
-------------------------------------------------------------------------------------------------------------------------
Hãy dùng wireshark để mở file “Capture.libpcap”, phân tích và trả lời các câu hỏi sau đây:

1. Địa chỉ MAC máy của ông A là gì?
2. Site số 1 có trả lời gói tin ICMP “Echo (ping) request” không? (trả lời có hoặc không):
3. Site số 2 có các địa chỉ IP sau (liệt kê tối đa 3 địa chỉ đầu tiên):
4. Nếu site 1 có trả lời, hãy cho biết số thứ tự các gói tin ICMP “Echo (ping) request” tới site 1 .
5. Nếu có trả lời, hãy cho biết số thứ tự các gói tin ICMP “Echo (ping) reply” tương ứng:
6. Có bao nhiêu site không trả lời lệnh ping của ông A: Có ... sites là (tên hoặc địa chỉ IP):
7. Có bao nhiêu site có trả lời lệnh ping của ông A, nhưng không trả lời 100% số gói tin ICMP “Echo (ping) request”:
8. Máy tính của ông A sử dụng card mạng (NIC) có dây hay không dây ? (trả lời có hoặc không):
9. Site 18 có (các) địa chỉ IP thuộc quốc gia nào?:
10. Ông A đã ping đến bao nhiêu sites khác nhau?
11. Trong số các site mà Ông A đã ping đến, site có nhiều địa chỉ IP nhất là .... địa chỉ IP; tên site đó là: ...
1.annonymous.online.fr27.www.baomoi.com[/URL]53.www.pclehoan.com[/URL]
2.axn.jumboplay.com28.www.bbc.com[/URL]54.www.qdnd.vn[/URL]
3.basao.com29.www.bigbigsale.vn[/URL]55.www.techdictionary.com[/URL]
4.common-lisp.net[/URL]30.www.cable-modems.org[/URL]56.www.uwtv.org[/URL]
5.freevideolectures.com31.www.cramster.com[/URL]57.www.vatgia.com.vn[/URL]
6.games.yahoo.com32.www.cse.iitd.ernet.in58.www.vietnamairline.com.vn[/URL]
7.home.vnn.vn33.www.cse.usf.edu[/URL]59.www.vnexpress.net[/URL]
8.maps.google.com34.www.cut-the-knot.org[/URL]60.www.vnu.edu.vn[/URL]
9.navigators.com35.www.dantri.com.vn[/URL]61.www.voa.com[/URL]
10.new.music.yahoo.com36.www.diadiem.com[/URL]62.www.vtc.com.vn[/URL]
11.pcguide.com37.www.diendantinhoc.com[/URL]63.www.vuongquocgames.com[/URL]
12.smallbusiness.yahoo.com38.www.dulichkhachsan.com[/URL]64.www1.vtc.com.vn[/URL]
13.sports.yahoo.com39.www.educypedia.be[/URL]65.v.v.
14.support.mozilla.com40.www.flashget.com[/URL]
15.vietnamnet.net41.www.google.com[/URL]
16.wikimapia.org42.www.google.com.vn[/URL]
17.wikipedia.org43.www.gsmworld.com[/URL]
18.williamstallings.com44.www.hut.edu.vn[/URL]
19.windowsvn.net[/URL]45.www.i-today.com.vn[/URL]
20.www.24h.com.vn[/URL]46.www.icir.org[/URL]
21.www.aa.com[/URL]47.www.isi.edu[/URL]
22.www.acm.com[/URL]48.www.laodong.com.vn[/URL]
23.www.acm.org[/URL]49.www.laynetworks.com[/URL]
24.www.ams.org[/URL]50.www.lingoes.net[/URL]
25.www.auto-nomos.de[/URL]51.www.mathpropress.com[/URL]
26.www.baodatviet.vn[/URL]52.www.nhantaidatviet.vnn.vn[/URL]
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
DiepNV88;n59835 đã viết:
Do các phần mềm này gửi đi các gói ARP giả mạo để bắt được traffic của các máy trong mạng nên xài lâu sẽ xảy ra hiện tượng mất mạng do các thiết bị không tìm thấy gateway ra ngoài internet. Để khác phục bạn nên chạy các công cụ này trong thời gian ngắn.

Giờ mình hiểu rồi, tks các bạn rất nhiều :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên