Tìm hiểu phần mềm WireShark
Tìm hiểu phần mềm WireShark Mạng nâng cao Phân tích gói tin với WIRESHARK 1.Giới thiệu qua một chút về Wireshark WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark. WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm. Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau. Các giao thực được hỗ trợ bởi WireShark: WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Và cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được thêm vào. Và có thể nói rằng không có giao thức nào mà Wireshark không thể hỗ trợ. • Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu. Không như một SV:Nguyễn Thị Chuyên Lớp: TK6LC1 1 Tìm hiểu phần mềm WireShark Mạng nâng cao số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thật tuyệt vời cho những ai đã từng nghiên cứu thế giới của phân tích giao thức. • Giá rẻ: Wireshark là một sản phẩm miễn phí GPL. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại. • Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở. • Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay. 1.1. Vài tác dụng của phần mềm Ethereal: - Nhà quản trị mạng có thể sử dụng phần mềm này cho việc giải quyết vấn đề mạng (Network Troubleshoot) - Những chuyên gia về bảo mật có thể thử các vấn đề bảo mật thông qua sản phẩm này. - Chúng ta có thể dùng phần này để thấy được sự thực thi của các protocol. - Có thể dùng để học các giao thức mạng ở bên trong. 1.2. Các đặc điểm của phần mềm. - Có thể chạy trên môi trường UNIX hay Windown - Capture các packet với những thông tin cực kỳ chi tiết - Có thể mở ra và lưu dữ những dữ liệu capture - Có thể import và export những packet đến và từ nhiều chương trình capture SV:Nguyễn Thị Chuyên Lớp: TK6LC1 2 Tìm hiểu phần mềm WireShark Mạng nâng cao - Lọc các gói tin packet trên nhiều tiêu chuẩn - Tìm các gói tin trên nhiều tiêu chuẩn - Có thể bôi màu những gói tin dựa vào những tiêu chuẩn filter Phần mềm này không thể làm những việc. Như bất kỳ một công cụ nào khác, wireshark có thể được dùng cho một số việc và không cho một số việc khác. Ở đây là một số việc mà wireshark không thể làm - Nó không thể dùng để vạch ra một mạng. Thay vào đó cong cụ Nmap có thể đảm nhiệm chức năng này. - Nó không sinh ra các dữ liệu mạng, nó là một công cụ bị động. Những công cụ như Nmap, ping và traceroute là ví dụ về các công cụ có khả năng sinh ra các dữ liệu mạng. Những công cụ này là công cụ chủ động. - Nó chỉ có thể chỉ ra thông tin chi tiết về các giao thức mà nó thật sự hiểu. Nó hiểu được rrats nhiều các giao thức và có thể mở rộng ra, vig vậy bạn có thể thêm vào các giao thức hỗ trợ cho nó nếu không hiểu. Tuy nhiên bạn sẽ chỉ có thể xem được các dữ liệu mà nó bắt được dưới dạng hexdump - Nó chỉ có thể bắt được dữ liệu tốt khi giao diện driver của hệ điều hành hỗ trợ. Ví dụ của việc này là việc bắt dữ liêu thông qua mạng không dây. Nó không làm việc tốt với môt số phần mềm và phần cứng kết hợp 1.3. Cài đặt WireShark. Wireshark là một ứng dụng mã nguồn mở và có thể download miễn phí tại trang http://www.wireshark.org. Sau khi download Wireshark về, tập tin lưu trên máy có dạng wireshark-setup-x.y.z.exe. Để khởi động tiến trình cài đặt, bạn thực thi file trên. SV:Nguyễn Thị Chuyên Lớp: TK6LC1 3 Tìm hiểu phần mềm WireShark Mạng nâng cao Các bước cài đặt như sau: Nhấn kép vào file cài đặt Hình 1: Bắt đầu cài đặt Ấn Next để tiếp tục. Hình 2: Thông tin bản quyền. Nhấn “I Agree” để tiếp tục. SV:Nguyễn Thị Chuyên Lớp: TK6LC1 4 Tìm hiểu phần mềm WireShark Mạng nâng cao Hình 3: Trang Components của Wireshark GTK1 và GTK2 là 2 bộ giao diện đồ họa của WireShark. Chỉ nên chọn GTK1 khi bạn đang ở chế độ đồ họa 256 màu (thường ở chế độ này GTK2 hoạt động không được tốt), hoặc khi GTK2 hoạt động không được tốt vì một lý do nào đó. ngoài ra, bạn nên chọn GTK2 với nhiều tính năng nâng cao hơn so với GTK. TShark là giao diện dòng lệnh của WireShark. Phần Plugin/Extensions và Tools bạn để ở chế độ mặc định. Hình 4: Cửa sổ Additional Tasks Nhấn “Next” để tiếp tục. SV:Nguyễn Thị Chuyên Lớp: TK6LC1 5 Tìm hiểu phần mềm WireShark Mạng nâng cao Hình 5: Chọn đường dẫn đến thư mục bạn định cài Wireshark Mặc định, wireshark sẽ được cài đặt trong thư mục C:\Program Files\Wireshark. Bạn có thể chọn đường dẫn khác bằng cách nhấn vào “Browse…” Sau cùng, Nhấn “Next” để tiếp tục. Hình 6: Bạn có cài winpcap không? Để Wireshark có thể hoạt động được, bạn phải cài đặt driver Winpcap trên máy tính của bạn. Trình cài đặt wireshark sẽ kiểm tra xem bạn đã cài đặt winpcap chưa. Nếu chưa cài đặt winpcap hoặc bạn đã cài rồi nhưng phiên bản cũ hơn, chương trình sẽ hỏi bạn có cài winpcap không? SV:Nguyễn Thị Chuyên Lớp: TK6LC1 6 Tìm hiểu phần mềm WireShark Mạng nâng cao Start WinPcap service "NPF" at startup: Cho phép user không có quyền admin có thể bắt gói tin bằng wireshark. Hình 7: Đang trong tiến trình cài đặt Hình 8: Cửa số cài đặt Winpcap SV:Nguyễn Thị Chuyên Lớp: TK6LC1 7 Tìm hiểu phần mềm WireShark Mạng nâng cao Hình 9: Cửa số cài đặt Winpcap Nhấn “Next” để tiếp tục. Hình 10: Thông tin bản quyền của Winpcap Nhấn “I Agree” để tiếp tục. SV:Nguyễn Thị Chuyên Lớp: TK6LC1 8 Tìm hiểu phần mềm WireShark Mạng nâng cao Hình 11: Bạn đã cài đặt xong Winpcap Nhấn “Finish” để hoàn thành cài đặt Winpcap và tiếp tục cài đặt Wireshark. Hình 12: Tiếp tục tiến trình cài đặt Wireshark Nhấn “Next” để tiếp tục. SV:Nguyễn Thị Chuyên Lớp: TK6LC1 9 Tìm hiểu phần mềm WireShark Mạng nâng cao Hình 13: Hoàn thành việc cài đặt Wireshark trên Windows 1.4. Giao diện và một số hướng dẫn sử dụng. Khởi động Wireshark trên windows đơn giản bằng cách nhấn kép vào shortcut trên menu Start. Điều này sẽ giúp mở ra màn hình chính của Wireshark. Hình 14: Giao diện của Wireshark SV:Nguyễn Thị Chuyên Lớp: TK6LC1 10 [...]... Tìm hiểu phần mềm WireShark Mạng nâng cao Lỗi kết nối FTP Tình huống : có tài khoản FTP trên Windows Server 2003 đã update service packs vừa cài đặt xong, phần mềm FTP Server hoàn toàn bình thường, khoản đúng nhưng không truy nhập được Thông tin chúng ta có • FTP làm việc trên cổng 21 Tiến hành Cài đặt Wireshark trên cả 2 máy Phân tích Client: SV:Nguyễn Thị Chuyên 26 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark. .. HTTP download dữ liệu về nên chiếm băng thông của mạng SV:Nguyễn Thị Chuyên 29 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark Mạng nâng cao Hình 3.2-1: We need to filter out all of this HTTP and TCP traffic Mở cửa sổ Alalyze->Expert Infos để thấy thêm thông tin SV:Nguyễn Thị Chuyên 30 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark Mạng nâng cao Hình 3.2-2: The Expert Infos window shows us chats, warnings, errors,... thông của mạng và làm giảm tốc độ download SV:Nguyễn Thị Chuyên 31 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark Mạng nâng cao Khảo sát tiếp các thông tin theo hướng này ta nhận được các thông tin ở các hình phía dưới Hình 3.2-4: Previous segment lost packets indicate a problem SV:Nguyễn Thị Chuyên 32 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark Mạng nâng cao Hình 3.2-5: A fast retransmission is seen after a packet.. .Tìm hiểu phần mềm WireShark Mạng nâng cao Giao diện của Wireshark rất đơn giản 1 Title bar: Thanh này sẽ chứa những thông tin khác nhau phụ thuộc vào những gì Wireshark đang làm Nếu nó đang bắt dữ liệu mạng, nó sẽ hiểu thị giao điện đang sử dụng Nếu nó đang hiển thị dữ liệu từ lần bắt dữ liệu trước đó, tên... mất gói tin Như vậy cần tắt bớt các chương trình Windows update Did That Server Flash Me? SV:Nguyễn Thị Chuyên 33 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark Mạng nâng cao Tình huống : anh Thanh phàn nàn rằng không thể truy cập vào một phần website Novell để download một số phần mềm cần thiết Mỗi lần truy cập vào site đó trình duyệt đều tải vài tải nhưng có gì hơn thế nữa Mạng có vấn đề gì không ? Thông... cả để làm với vấn đề bảo mật kết hợp với SSL và TLS Tất cả dữ liệu của ứng dụng này đã bị mã hóa SV:Nguyễn Thị Chuyên 14 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark Mạng nâng cao 1.4 một số tình huống cơ bản Trong phần này chúng ta sẽ đề cập đến vấn đề cụ thể hơn Sử dụng Wireshark và phân tích gói tin để giải quyết một vấn đề cụ thể của mạng Chúng tôi xin đưa ra một số tình huống điển hình A Lost TCP Connection... chỉ như trên hình Hình 3.1-18: A DNS query to the weatherbug.com domain gives a clue to the culprit Gói tin trả lại bắt đầu có vấn đề : thứ tự các phần bị thay đổi Một số gói tiếp theo có sự lặp ACK SV:Nguyễn Thị Chuyên 24 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark Mạng nâng cao Sau một loạt các thay đổi trên thì có truy vấn DNS đến deskwx.weatherbug.com Đây là địa chỉ A không hề biết và không có ý định... adapter trong danh sach Nhấn nút "Start" Tiến trình bắt dữ liệu sẽ được bắt đầu Sau một thời gian ngắn, bạn sẽ thấy cửa sổ chính của Wireshark (danh sách packet, chi tiết và khung byte) được điền đầy với các dữ liệu SV:Nguyễn Thị Chuyên 12 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark Mạng nâng cao 4 Bây giờ sẽ khởi động Thunderbird và đăng nhập vào cả hai tài khoản Gmail và Comcast Tại thời điểm này sẽ chờ... Chuyên 28 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark Mạng nâng cao Kết luận Đôi khi bắt gói tin không cho ta biết trực tiếp vấn đề nhưng nó đã hạn chế được rất nhiều trường hợp và giúp ta đưa ra suy đoán chính xác vấn đề là gì 2 Xử lý các tình huống về băng thông mạng Anatomy of a Slow Download (cốt lõi của việc download chậm) Tình huống: cả mạng download rất chậm Tiến hành : đặt wireshark lắng nghe toàn... máy nguồn sẽ tăng gấp đôi thời gian đợi cho lần gửi lại tiếp theo SV:Nguyễn Thị Chuyên 16 Lớp: TK6LC1 Tìm hiểu phần mềm WireShark Mạng nâng cao Như ta thấy ở hình trên, TCP sẽ gửi lại 5 lần, nếu 5 lần liên tiếp không nhận được phản hồi thì kết nối được coi là kết thúc Hiện tượng này ta có thể thấy trong Wireshark như sau: Hình 3.1-4: Windows will retransmit up to five times by default Khả năng xác định . Tìm hiểu phần mềm WireShark Mạng nâng cao Phân tích gói tin với WIRESHARK 1.Giới thiệu qua một chút về Wireshark WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần. bố trí dễ hiểu. Không như một SV:Nguyễn Thị Chuyên Lớp: TK6LC1 1 Tìm hiểu phần mềm WireShark Mạng nâng cao số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thật. với môt số phần mềm và phần cứng kết hợp 1.3. Cài đặt WireShark. Wireshark là một ứng dụng mã nguồn mở và có thể download miễn phí tại trang http://www .wireshark. org. Sau khi download Wireshark