CHƯƠNG 4 PHÂN TÍCH DỮ LIỆU
4.1.5 Phân tích NSM với Wireshark
Phân tích gói tin bằng dòng lệnh hữu ích khi tương tác với gói tin ở mức cơ bản nhưng thiếu các tính năng phân tích cao cấp như các ứng dụng phân tích gói tin có môi trường đồ họa kiểu như Wireshark. Tên trước đó của Wireshark là Ethereal. Wireshark được cài sẵn trong Security Onion.
4.1.5.1 Bắt gói tin
Để bắt gói tin từ đường truyền, chọn Capture -> Interfaces từ menu để hiển thị tất cả các giao diện mạng (Hình 4.22). Có thể chọn bắt gói tin từ một giao diện cảm biến hay giao diện khác bằng cách nhấn nút Start bên cạnh. Chú ý là Wireshark đọc tất cả các gói tin vào bộ nhớ, do đó
khi làm việc với lượng dữ liệu mạng lớn, nên bắt với các công cụ chạy trên dòng lệnh, ghi vào tệp và làm việc với Wireshark sau đó qua tệp.
Hình 4.22 Bắt gói tin với Wireshark
Kết thúc việc bắt gói tin bằng cách nhấn nút Stop dưới menu Capture. Các gói tin đã bắt hiển thị trong chương trình giống như Hình 4.23.
Hình 4.23 Xem gói tin trong Wireshark
Xem hình trên thấy rằng màn hình Wireshark chia ra làm 3 phần. Phần trên là danh sách các gói tin, được dùng để hiển thị tóm lược về thông tin gói tin, mỗi dòng một gói. Phần giữa hiển thị chi tiết về gói tin với từng trường dữ liệu trong gói. Phần cuối hiển thị chi tiết đến từng byte trong gói tin, dưới hệ cơ số 16 và định dạng ASCII, tương tự tham số -X trong tcpdump.
Wireshark có rất nhiều tính năng hữu ích cho phân tích gói tin. Tài liệu này chỉ mô tả các tính năng cơ bản và cần thiết nhất. Để biết đầy đủ các tính năng, có thể tham khảo trong một số tài liệu tiếng Anh như “Practical Packet Analysis” hay “Wireshark Network Analysis”.