Làm việc với các gói đã bắt được

Một phần của tài liệu BÀI BÁO CÁO CUỐI KỲ ĐỀ TÀI: Wireshark (Trang 48 - 79)

III. Hướng dẫn sử dụng

2. Làm việc với các gói đã bắt được

Xem các gói bạn đã bắt được

Khi bạn đã bắt một số gói hoặc bạn đã mở tệp đã lưu trước đó, bạn có thể xem các gói được hiển thị trong ngăn danh sách gói bằng cách chỉ cần nhấp vào một gói trong ngăn danh sách gói, thao tác này sẽ hiển thị gói đã chọn trong khung xem dạng cây và

47 dạng byte.

Sau đó, bạn có thể mở rộng bất kỳ phần nào của cây để xem thông tin chi tiết về từng giao thức trong mỗi gói. Nhấp vào một mục trong cây sẽ làm nổi bật các byte tương ứng trong chế độ xem byte. Ví dụ về gói TCP được chọn được hiển thị trong Wireshark với gói TCP được chọn để xem. Nó cũng có số Acknowledgment trong tiêu đề TCP được chọn, hiển thị trong dạng xem byte dưới dạng các byte đã chọn.

Hình 2.34 Wireshark với gói TCP được chọn để xem

Bạn cũng có thể chọn và xem các gói theo cách tương tự trong khi Wireshark đang chụp nếu bạn đã chọn “Cập nhật danh sách các gói trong thời gian thực” trong hộp thoại “Tùy chọn bắt”.

Ngồi ra, bạn có thể xem các gói tin riêng lẻ trong một cửa sổ riêng biệt như trong Xem một gói tin trong một cửa sổ riêng biệt. Bạn có thể thực hiện việc này bằng cách bấm đúp vào một mục trong danh sách gói hoặc bằng cách chọn gói mà bạn quan tâm trong ngăn danh sách gói và chọn Xem ›Hiển thị Gói trong Cửa sổ Mới. Điều này cho phép bạn dễ dàng so sánh hai hoặc nhiều gói, thậm chí trên nhiều tệp.

48

Hình 2.35 Xem một gói tin trong một cửa sổ riêng biệt

Cùng với việc nhấp đúp vào danh sách gói và sử dụng menu chính, có một số cách khác để mở cửa sổ gói mới:

• Giữ phím shift và nhấp đúp vào liên kết khung trong chi tiết gói. • Từ Các mục menu của pop-up menu “Danh sách gói”.

• Từ Các mục menu của pop-up menu “Chi tiết gói”. Pop-up Menu

Bạn có thể mở pop-up menu trên “Danh sách gói”, tiêu đề cột của nó, “Chi tiết gói” hoặc “byte” bằng cách nhấp vào nút chuột phải của bạn vào mục tương ứng.

Pop-up Menu của tiêu đề cột trong "Danh sách gói"

49

Hình 2.36 Popup menu của tiêu đề cột trong “Danh sách gói”

Bảng sau đây cung cấp tổng quan về những chức năng nào có sẵn.

Tên chức năng Mô tả

Align Left Căn trái giá trị trong cột này. Align Center Căn giữa giá trị trong cột này. Align Right Căn phải giá trị trong cột này.

Column Preferences… Mở hộp thoại “Tùy chọn” trong cột này. Edit Column Mở thanh công cụ chỉnh sửa cột cho cột này.

Resize To Contents Thay đổi kích thước cột để phù hợp với các giá trị của nó. Resolve Names Nếu cột này chứa địa chỉ, hãy phân giải chúng.

No., Time, Source, et al.

Hiển thị hoặc ẩn một cột bằng cách chọn mục của nó.

Remove Column Xóa cột này, tương tự như xóa cột trong hộp thoại “Tùy chọn”.

50

Pop-up Menu của ngăn “Danh sách gói”

Hình 2.37 Pop-up Menu của ngăn “Danh sách gói”

Bảng sau đây cung cấp tổng quan về những chức năng nào có sẵn trong ngăn này, nơi tìm chức năng tương ứng trong menu chính và mơ tả ngắn gọn về từng mục.

Tên chức năng Nơi tìm chức năng tương ứng trong menu chính

Mơ tả

Mark Packet (toggle)

Edit Đánh dấu, hủy đánh dấu một gói. Ignore Packet

(toggle)

Edit Bỏ qua hoặc kiểm tra gói tin này trong khi phân tích tệp tin bắt được. Set Time

Reference (toggle)

Edit Đặt hoặc đặt lại tham chiếu thời gian.

Time Shift Edit Mở hộp thoại “Time Shift”, cho phép bạn điều chỉnh dấu thời gian của một

51 số hoặc tất cả các gói.

Packet Comment…

Edit Mở hộp thoại “Packet Comment”, cho phép bạn thêm nhận xét vào một gói. Lưu ý rằng khả năng lưu nhận xét gói phụ thuộc vào định dạng tệp của bạn. Ví dụ. pcapng hỗ trợ nhận xét, pcap thì khơng.

Edit Resolved Name

Cho phép bạn nhập tên để phân giải cho địa chỉ đã chọn.

Apply as Filter Analyze Ngay lập tức thay thế hoặc nối thêm bộ lọc hiển thị hiện tại dựa trên danh sách gói gần đây nhất hoặc mục chi tiết gói đã chọn. Mục menu con đầu tiên hiển thị bộ lọc và các mục tiếp theo hiển thị các cách khác nhau mà bộ lọc có thể được áp dụng.

Prepare as Filter

Analyze Thay đổi bộ lọc hiển thị hiện tại dựa trên danh sách gói gần đây nhất hoặc mục chi tiết gói đã chọn, nhưng khơng áp dụng nó. Mục menu con đầu tiên hiển thị bộ lọc và các mục tiếp theo hiển thị các cách khác nhau mà bộ lọc có thể được thay đổi. Conversation

Filter

Áp dụng bộ lọc hiển thị với thơng tin địa chỉ từ gói đã chọn. Ví dụ, mục menu IP sẽ thiết lập một bộ lọc để hiển thị lưu lượng giữa hai địa chỉ IP của gói tin hiện tại.

Colorize Conversation

Tạo quy tắc tô màu mới dựa trên thông tin địa chỉ từ gói đã chọn.

SCTP Cho phép bạn phân tích và chuẩn bị

bộ lọc cho liên kết SCTP. Follow › TCP

Stream

Analyze Mở một cửa sổ hiển thị tất cả các phân đoạn TCP được chụp trên cùng một kết nối TCP với một gói được chọn.

Follow › UDP Stream

Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với “luồng” UDP.

52 Follow › DCCP

Stream

Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với “luồng” DCCP..

Follow › TLS Stream

Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với “luồng” SSL hoặc TLS.

Follow › HTTP Stream

Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với “luồng” HTTP.

Copy › Summary as Text

Sao chép các trường tóm tắt như được hiển thị vào khay nhớ tạm dưới dạng văn bản được phân tách bằng tab.

Copy › …as CSV

Sao chép các trường tóm tắt như được hiển thị vào khay nhớ tạm dưới dạng văn bản được phân tách bằng dấu phẩy.

Copy › …as YAML

Sao chép các trường tóm tắt như được hiển thị vào khay nhớ tạm dưới dạng dữ liệu YAML.

Copy › As Filter

Chuẩn bị một bộ lọc hiển thị dựa trên mục hiện được chọn và sao chép bộ lọc đó vào khay nhớ tạm.

Copy › Bytes as Hex + ASCII Dump

Sao chép các byte vào khay nhớ tạm ở định dạng “hexdump” đầy đủ. Copy › …as

Hex Dump

Sao chép các byte vào khay nhớ tạm ở định dạng “hexdump” mà khơng có phần ASCII.

Copy › …as Printable Text

Sao chép các byte vào khay nhớ tạm dưới dạng văn bản ASCII, ngoại trừ các ký tự không in được.

Copy › …as a Hex Stream

Sao chép các byte vào khay nhớ tạm dưới dạng danh sách các chữ số hex không được đánh dấu.

Copy › …as Raw Binary

Sao chép các byte vào khay nhớ tạm dưới dạng tệp nhị phân thô. Dữ liệu được lưu trữ trong khay nhớ tạm bằng kiểu MIME “application / octet-

53 stream”.

Protocol Preferences

Điều chỉnh các tùy chọn cho giao thức đã chọn.

Decode As… Analyze Thay đổi hoặc áp dụng một mối quan hệ mới giữa hai phân đoạn.

Show Packet in New Window

View Hiển thị gói đã chọn trong một cửa sổ riêng biệt. Cửa sổ riêng biệt chỉ hiển thị chi tiết gói và byte.

Bảng 2.5 Các chức năng trong popup menu “Danh sách gói”

Pop-up Menu của ngăn “Chi tiết gói”

Hình 2.38 Popup Menu của ngăn “Chi tiết gói”

Bảng sau đây cung cấp tổng quan về các chức năng có sẵn trong ngăn này, nơi tìm chức năng tương ứng trong menu chính và mơ tả ngắn gọn về từng mục.

54

Tên chức năng Nơi tìm chức năng tương ứng trong menu chính

Mơ tả

Expand Subtrees

View Mở rộng cây con hiện được chọn.

Collapse Subtrees

View Thu gọn cây con hiện được chọn. Expand All View Mở rộng tất cả các cây con trong tất cả

các gói trong bản chụp.

Collapse All View Wireshark giữ một danh sách tất cả các giao thức con được mở rộng và sử dụng nó để đảm bảo rằng các cây con chính xác được mở rộng khi bạn hiển thị một gói. Mục menu này thu gọn chế độ xem dạng cây của tất cả các gói trong danh sách chụp.

Apply as Column

Sử dụng mục giao thức đã chọn để tạo một cột mới trong danh sách gói. Apply as Filter Analyze Ngay lập tức thay thế hoặc nối thêm bộ

lọc hiển thị hiện tại dựa trên danh sách gói gần đây nhất hoặc mục chi tiết gói đã chọn. Mục menu con đầu tiên hiển thị bộ lọc và các mục tiếp theo hiển thị các cách khác nhau mà bộ lọc có thể được áp dụng.

Prepare as Filter

Analyze Thay đổi bộ lọc hiển thị hiện tại dựa trên danh sách gói gần đây nhất hoặc mục chi tiết gói đã chọn, nhưng khơng áp dụng nó. Mục menu con đầu tiên hiển thị bộ lọc và các mục tiếp theo hiển thị các cách khác nhau mà bộ lọc có thể được thay đổi.

Colorize with Filter

Mục menu này sử dụng bộ lọc hiển thị với thông tin từ mục giao thức đã chọn để xây dựng quy tắc tô màu mới.

55 Follow › TCP

Stream

Analyze Mở một cửa sổ hiển thị tất cả các phân đoạn TCP được chụp trên cùng một kết nối TCP với một gói được chọn. Follow › UDP

Stream

Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với “luồng” UDP.

Follow › TLS Stream

Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với luồng TLS hoặc SSL.

Follow › HTTP Stream

Analyze Chức năng tương tự như “Theo dõi luồng TCP” nhưng đối với các luồng HTTP.

Copy › All Visible Items

Edit Sao chép chi tiết gói như được hiển thị. Copy › All

Visible Selected Tree Items

Edit Sao chép chi tiết gói đã chọn và phần con của nó như được hiển thị.

Copy › Description

Edit Sao chép văn bản được hiển thị của trường đã chọn vào khay nhớ tạm thời của hệ thống.

Copy › Fieldname

Edit Sao chép tên của trường đã chọn vào khay nhớ tạm thời của hệ thống.

Copy › Value Edit Sao chép giá trị của trường đã chọn vào khay nhớ tạm thời của hệ thống.

Copy › As Filter

Edit Chuẩn bị một bộ lọc hiển thị dựa trên mục hiện được chọn và sao chép nó vào khay nhớ tạm.

Copy › Bytes as Hex + ASCII Dump

Sao chép các byte gói vào khay nhớ tạm ở định dạng “hexdump” đầy đủ. Copy › …as

Hex Dump

Sao chép các byte gói vào khay nhớ tạm ở định dạng “hexdump” mà khơng có phần ASCII.

Copy › …as Printable Text

Sao chép các byte gói vào khay nhớ tạm dưới dạng văn bản ASCII, ngoại trừ các ký tự không in được.

56 Copy › …as a

Hex Stream

Sao chép các byte gói vào khay nhớ tạm dưới dạng danh sách các chữ số hex không được đánh dấu.

Copy › …as Raw Binary

Sao chép các byte gói vào khay nhớ tạm dưới dạng tệp nhị phân thô. Dữ liệu được lưu trữ trong khay nhớ tạm bằng kiểu MIME “application / octet-

stream”. Copy › …as

Escaped String

Sao chép các byte gói vào khay nhớ tạm dưới dạng chuỗi thoát kiểu C. Export Packet

Bytes…

File Mục menu này giống với mục menu Tệp cùng tên. Nó cho phép bạn xuất các byte gói thơ sang một tệp nhị phân. Wiki Protocol

Page

Hiển thị trang wiki tương ứng với giao thức hiện được chọn trong trình duyệt web của bạn.

Filter Field Reference

Hiển thị trang web tham chiếu trường bộ lọc tương ứng với giao thức hiện được chọn trong trình duyệt web của bạn.

Protocol Preferences

Điều chỉnh các tùy chọn cho giao thức đã chọn.

Decode As… Analyze Thay đổi hoặc áp dụng một mối quan hệ mới giữa hai phân đoạn.

Go to Linked Packet

Go Nếu trường đã chọn có một gói tương ứng, chẳng hạn như yêu cầu phù hợp cho phản hồi DNS, hãy chuyển đến trường đó.

Show Linked Packet in New Window

Go Nếu trường được chọn có một gói

tương ứng, chẳng hạn như yêu cầu phù hợp cho phản hồi DNS, hãy hiển thị gói đã chọn trong một cửa sổ riêng biệt.

57

Pop-up Menu của ngăn “Packet bytes”

Hình 2. 39 Popup Menu của ngăn “Packet Bytes”

Bảng sau đây cung cấp tổng quan về các chức năng có sẵn trong ngăn này cùng với mơ tả ngắn về từng mục. Chức năng Mô tả Copy Bytes as Hex + ASCII Dump

Sao chép các byte gói vào khay nhớ tạm ở định dạng “hexdump” đầy đủ.

…as Hex Dump

Sao chép các byte gói vào khay nhớ tạm ở định dạng “hexdump” mà khơng có phần ASCII.

58 …as

Printable Text

Sao chép các byte gói vào khay nhớ tạm dưới dạng văn bản ASCII, ngoại trừ các ký tự không in được.

…as a Hex Stream

Sao chép các byte gói vào khay nhớ tạm dưới dạng danh sách các chữ số hex không được đánh dấu.

…as Raw Binary

Sao chép các byte gói vào khay nhớ tạm dưới dạng tệp nhị phân thô. Dữ liệu được lưu trữ trong khay nhớ tạm bằng kiểu MIME

“application / octet- stream”.

Chức năng Mô tả

…as Escaped String

Sao chép các byte gói vào khay nhớ tạm dưới dạng chuỗi thốt kiểu C.

Show bytes as

hexadecimal

Hiển thị dữ liệu byte dưới dạng chữ số thập lục phân.

Show bytes as bits

Hiển thị dữ liệu byte dưới dạng chữ số nhị phân.

Show text based on packet

Hiển thị dữ liệu "hexdump" với văn bản.

…as ASCII Sử dụng mã hóa ASCII khi hiển thị văn bản “hexdump”. …as

EBCDIC

Sử dụng mã hóa EBCDIC khi hiển thị văn bản “hexdump”.

Bảng 2.7 Các chức năng có trong popup menu “Packet Bytes”

Lọc các gói trong khi xem

Wireshark có hai ngơn ngữ lọc: bộ lọc bắt và bộ lọc hiển thị. Bộ lọc bắt được sử dụng để lọc khi bắt các gói tin. Bộ lọc hiển thị được sử dụng để lọc gói nào được hiển thị.

Bộ lọc hiển thị cho phép bạn tập trung vào các gói bạn quan tâm trong khi ẩn những gói hiện khơng quan tâm. Chúng cho phép bạn chỉ hiển thị các gói dựa trên:

• Giao thức

• Sự hiện diện của một trường • Giá trị của các trường

• So sánh giữa các trường

Để chỉ hiển thị các gói chứa một giao thức cụ thể, hãy nhập tên giao thức vào thanh công cụ bộ lọc hiển thị của cửa sổ Wireshark và nhấn enter để áp dụng bộ lọc.

59 Lọc trên giao thức TCP cho thấy một ví dụ về những gì sẽ xảy ra khi bạn nhập tcp vào thanh công cụ bộ lọc hiển thị.

Hình 2.40 Lọc theo giao thức TCP

Như bạn có thể đã nhận thấy, bây giờ chỉ có các gói chứa giao thức TCP mới được hiển thị, vì vậy các gói 1- 10 bị ẩn và gói số 11 là gói đầu tiên được hiển thị.

LƯU Ý Khi sử dụng bộ lọc hiển thị, tất cả các gói vẫn cịn trong tệp bắt. Bộ lọc hiển thị chỉ thay đổi hiển thị của tệp bắt nhưng khơng thay đổi nội dung của nó!

Để xóa bộ lọc, hãy nhấp vào nút [Xóa] ở bên phải của trường bộ lọc hiển thị. Tất cả các gói sẽ hiển thị trở lại.

Bộ lọc hiển thị có thể rất mạnh.

Cũng có thể tạo bộ lọc hiển thị bằng hộp thoại Biểu thức bộ lọc hiển thị.

Xây dựng biểu thức cho bộ lọc hiển thị

Wireshark cung cấp ngôn ngữ bộ lọc hiển thị cho phép bạn kiểm sốt chính xác gói nào được hiển thị. Chúng có thể được sử dụng để kiểm tra sự hiện diện của một giao thức hoặc trường, giá trị của trường hoặc thậm chí so sánh hai trường với nhau. Các

60 phép so sánh này có thể được kết hợp với các tốn tử logic, như "AND" và "OR", và dấu ngoặc đơn thành các biểu thức phức tạp.

Các phần sau sẽ đi sâu hơn vào chức năng bộ lọc hiển thị.

Các trường cho bộ lọc hiển thị

Bộ lọc hiển thị đơn giản nhất là bộ lọc hiển thị một giao thức duy nhất. Để chỉ hiển thị các gói chứa một giao thức cụ thể, hãy nhập giao thức vào thanh công cụ bộ lọc

Một phần của tài liệu BÀI BÁO CÁO CUỐI KỲ ĐỀ TÀI: Wireshark (Trang 48 - 79)

Tải bản đầy đủ (PDF)

(87 trang)