4. Thanh công cụ "Bộ lọc"
Thanh công cụ bộ lọc cho phép bạn nhanh chóng chỉnh sửa và áp dụng các bộ lọc hiển thị. Thơng tin thêm về bộ lọc hiển thị có sẵn trong Lọc gói khi xem.
Hình 2.15 Thanh cơng cụ “Bộ lọc”
Sau đây là các mục trên thanh công cụ “Bộ lọc”
Biểu tượng trên thanh công cụ
Tên Mô tả
Bookmarks Quản lý hoặc chọn các bộ lọc đã lưu.
Filter Input Khu vực để nhập hoặc chỉnh sửa chuỗi bộ lọc hiển thị. Kiểm tra cú pháp của chuỗi bộ
28 lọc của bạn được thực hiện trong khi bạn đang nhập. Nền sẽ chuyển sang màu đỏ nếu bạn nhập một chuỗi không đầy đủ hoặc không hợp lệ và sẽ chuyển sang màu xanh lục khi bạn nhập một chuỗi hợp lệ.
Sau khi bạn đã thay đổi điều gì đó trong trường này, đừng qn nhấn nút Áp dụng (hoặc phím Enter / Return), để áp dụng chuỗi bộ lọc này vào màn hình.
Trường này cũng là nơi hiển thị bộ lọc được áp dụng hiện tại.
Clear Đặt lại bộ lọc hiển thị hiện tại và xóa vùng chỉnh sửa.
Apply Áp dụng giá trị hiện tại trong vùng chỉnh sửa làm bộ lọc hiển thị mới.
Việc áp dụng bộ lọc hiển thị trên các tệp lớn có thể mất nhiều thời gian.
Recent Chọn từ danh sách các bộ lọc được áp dụng gần đây.
Add Button Thêm một nút bộ lọc mới.
[ Squirre ls ] Filter Button Các nút bộ lọc là các phím tắt tiện dụng áp dụng bộ lọc hiển thị ngay khi bạn nhấn chúng. Bạn có thể tạo các nút bộ lọc bằng cách nhấn nút [+], nhấp chuột phải vào vùng nút bộ lọc hoặc mở phần Nút Bộ lọc của Hộp thoại Tùy chọn. Ví dụ cho thấy một nút bộ lọc có nhãn "Squirrels". Nếu bạn có nhiều nút, bạn có thể sắp xếp chúng thành các nhóm bằng cách sử dụng “//” làm dấu phân tách nhãn. Ví dụ: nếu bạn tạo các nút có tên “Not Squirrels // Rabbits” và “Not Squirrels // Capybaras”, chúng sẽ hiển thị trên thanh công cụ dưới một nút duy nhất có tên “Not Squirrels”.
29
5. Ngăn “Packet List”
Ngăn “Packet List” hiển thị tất cả các gói trong tệp chụp hiện tại.
Hình 2.16 Ngăn “Packet List”
Mỗi dịng trong danh sách gói tương ứng với một gói trong tệp chụp. Nếu bạn chọn một dòng trong ngăn này, các chi tiết khác sẽ được hiển thị trong ngăn “Packet Details” và “Packet Bytes”.
Trong khi phân tích một gói, Wireshark sẽ đặt thơng tin từ các bộ phân chia giao thức vào các cột. Vì các giao thức cấp cao hơn có thể ghi đè thơng tin từ các cấp thấp hơn, nên bạn thường sẽ chỉ thấy thơng tin từ cấp cao nhất có thể.
Ví dụ: hãy xem một gói chứa TCP bên trong IP bên trong gói Ethernet. Bộ tách Ethernet sẽ ghi dữ liệu của nó (chẳng hạn như địa chỉ Ethernet), bộ tách IP sẽ tự ghi đè dữ liệu này (chẳng hạn như địa chỉ IP), bộ tách TCP sẽ ghi đè thông tin IP, v.v.
Có rất nhiều cột khác nhau có sẵn. Những cột nào được hiển thị có thể được chọn bằng cài đặt tùy chọn.
Các cột mặc định sẽ hiển thị:
• [No.] Số lượng gói tin trong tập tin chụp. Con số này sẽ không thay đổi, ngay cả khi sử dụng bộ lọc hiển thị.
• [Time] Dấu thời gian của gói tin. Định dạng trình bày của dấu thời gian này có thể được thay đổi.
• [Source] Địa chỉ nơi gói tin này đến.
• [Destination] Địa chỉ mà gói tin này sẽ đến.
• [Protocol] Tên giao thức trong một phiên bản ngắn (có thể viết tắt). • [Length] Độ dài của mỗi gói.
• [Info] Thơng tin bổ sung về nội dung gói tin.
Cột đầu tiên cho biết mỗi gói có quan hệ như thế nào với gói đã chọn. Ví dụ, trong hình trên, gói đầu tiên được chọn, đó là một yêu cầu DNS. Wireshark hiển thị một mũi tên sang phải cho chính yêu cầu, theo sau là một mũi tên sang trái cho phản hồi trong gói 2. Tại sao lại có một đường đứt nét? Có nhiều gói DNS hơn nữa sử dụng cùng số cổng. Wireshark coi chúng như thuộc về cùng một cuộc trò chuyện và vẽ một đường kết nối chúng.
30 Các ký hiệu gói liên quan
Gói đầu tiên trong một cuộc trị chuyện.
Một phần của cuộc trị chuyện đã chọn.
Khơng phải là một phần của cuộc trị chuyện đã chọn.
Gói cuối cùng trong một cuộc trị chuyện.
u cầu.
Phản hồi.
Gói được chọn xác nhận gói này.
Gói được chọn là một xác nhận trùng lặp của gói này.
Gói được chọn có liên quan đến gói này theo một số cách khác, ví dụ: như một phần của việc lắp ráp lại.
Danh sách gói có Thanh cuộn thơng minh hiển thị bản đồ thu nhỏ của các gói gần đó. Mỗi dịng raster của thanh cuộn tương ứng với một gói duy nhất, vì vậy số lượng gói được hiển thị trong bản đồ phụ thuộc vào màn hình thực của bạn và chiều cao của danh sách gói. Một danh sách gói cao trên màn hình có độ phân giải cao (“Retina”) sẽ hiển thị cho bạn khá nhiều gói. Trong hình trên, thanh cuộn hiển thị trạng thái của hơn 500 gói cùng với 15 được hiển thị trong danh sách gói.
Nhấp chuột phải sẽ hiển thị menu ngữ cảnh, được mô tả trong menu Bật lên của ngăn “Packet List”.
31
6. Ngăn "Packet Details"
Ngăn Packet Details hiển thị gói hiện tại (được chọn trong ngăn “Packet List”) ở dạng chi tiết hơn.
Hình 2.17 Ngăn “Packet Details”
Ngăn này hiển thị các giao thức và trường giao thức của gói được chọn trong ngăn “Packet List”. Các giao thức và trường của gói được hiển thị trong một cây có thể được mở rộng và thu gọn.
Có sẵn một menu ngữ cảnh (nhấp chuột phải). Một số trường giao thức có ý nghĩa đặc biệt.
• Các trường đã tạo. Bản thân Wireshark sẽ tạo ra thông tin giao thức bổ sung khơng có trong dữ liệu đã thu thập. Thơng tin này được đặt trong dấu ngoặc vuông (“[” và “]”). Thông tin đã tạo bao gồm thời gian phản hồi, phân tích TCP, thơng tin vị trí địa lý IP và xác thực tổng kiểm tra.
• Liên kết. Nếu Wireshark phát hiện mối quan hệ với một gói khác trong tệp chụp, nó sẽ tạo ra một liên kết đến gói đó. Các liên kết được gạch chân và hiển thị bằng màu xanh lam. Nếu bạn nhấp đúp vào một liên kết, Wireshark sẽ chuyển đến gói tin tương ứng.
7. Ngăn "Packet Bytes"
Ngăn Packet Bytes hiển thị dữ liệu của gói hiện tại (được chọn trong ngăn “Packet List”) theo kiểu hexdump.
32 Ngăn “Packet Bytes” hiển thị kết xuất hex chuẩn của dữ liệu gói. Mỗi dịng chứa phần bù dữ liệu, mười sáu byte thập lục phân và mười sáu byte ASCII. Các byte không in được được thay thế bằng dấu chấm (“.”).
Tùy thuộc vào dữ liệu gói, đơi khi có nhiều trang, ví dụ: khi Wireshark có tập hợp lại một số gói thành một đoạn dữ liệu. Trong trường hợp này, bạn có thể xem từng nguồn dữ liệu bằng cách nhấp vào tab tương ứng của nó ở cuối ngăn.
Chế độ mặc định để xem sẽ đánh dấu các byte cho một trường mà con trỏ chuột đang di chuột ở trên. Điểm đánh dấu sẽ đi theo con trỏ chuột khi nó di chuyển. Nếu khơng bắt buộc hoặc khơng muốn đánh dấu này, có hai phương pháp để hủy kích hoạt chức năng:
• Tạm thời: Bằng cách giữ nút Ctrl trong khi di chuyển chuột, trường được đánh dấu sẽ khơng thay đổi.
• Vĩnh viễn: sử dụng menu ngữ cảnh (nhấp chuột phải), lựa chọn di chuột có thể được kích hoạt / hủy kích hoạt. Cài đặt này được lưu trữ trong tệp hồ sơ đã chọn gần đây.
Hình 2.19 Ngăn “Packet Bytes” với các tab
Các trang bổ sung thường chứa dữ liệu được tập hợp lại từ nhiều gói hoặc dữ liệu được giải mã.
Trình đơn ngữ cảnh (nhấp chuột phải) của các nhãn tab sẽ hiển thị danh sách tất cả các trang có sẵn. Điều này có thể hữu ích nếu kích thước trong ngăn q nhỏ đối với tất cả các nhãn tab.
8. Thanh trạng thái
Thanh trạng thái hiển thị các thông báo thơng tin.
Nói chung, phía bên trái sẽ hiển thị thông tin liên quan đến ngữ cảnh, phần giữa sẽ hiển thị thông tin về tệp chụp hiện tại và phía bên phải sẽ hiển thị hồ sơ cấu hình đã chọn. Kéo các chốt giữa các vùng văn bản để thay đổi kích thước.
33 Thanh trạng thái này được hiển thị trong khi khơng có tệp nào được tải, ví dụ: khi Wireshark được khởi động.
Hình 2.21 Thanh trạng thái với tệp đã tải
The colorized bullet…
ở bên trái hiển thị mức thông tin chuyên gia cao nhất được tìm thấy trong tệp chụp hiện được tải. Di chuột qua biểu tượng này sẽ hiển thị mô tả về cấp độ thông tin chuyên gia và nhấp vào biểu tượng sẽ xuất hiện hộp thoại Thông tin chuyên gia. Biểu tượng chỉnh sửa…
ở phía bên trái cho phép bạn thêm nhận xét vào tệp chụp bằng hộp thoại Thuộc tính tệp chụp.
Phía bên trái…
hiển thị tên tệp chụp theo mặc định. Nó cũng hiển thị thông tin trường khi di chuột qua và chọn các mục trong ngăn chi tiết gói và byte gói, cũng như các thơng báo chung.
Chính giữa…
hiển thị số gói hiện tại trong tệp chụp. Các giá trị sau được hiển thị: Gói tin
Số lượng các gói được bắt. Hiển thị
Số lượng các gói hiện đang được hiển thị. Đã đánh dấu
Số lượng các gói được đánh dấu. Chỉ hiển thị nếu bạn đã đánh dấu bất kỳ gói nào.
Bỏ đi
Số lượng gói bị bỏ đi chỉ hiển thị nếu Wireshark không thể nắm bắt tất cả các gói.
Bỏ qua
Số lượng gói bị bỏ qua chỉ hiển thị nếu bạn bỏ qua bất kỳ gói nào. Phía bên phải…
hiển thị hồ sơ cấu hình đã chọn. Nhấp vào phần này của thanh trạng thái sẽ hiển thị menu với tất cả các cấu hình có sẵn và việc chọn từ danh sách này sẽ thay đổi cấu hình.
34
Hình 2.22 Thanh trạng thái với menu cấu hình
Hình 2.23 Thanh trạng thái với trường giao thức đã chọn
Điều này được hiển thị nếu bạn đã chọn một trường giao thức trong ngăn "Packet Details".
Hình 2.24 Thanh trạng thái với thông báo bộ lọc hiển thị
Điều này được hiển thị nếu bạn đang cố gắng sử dụng bộ lọc hiển thị có thể có kết quả khơng mong muốn.
III. Hướng dẫn sử dụng
1. Thu thập dữ liệu mạng trực tiếp
Bắt đầu bắt các gói tin
Các phương pháp sau có thể được sử dụng để bắt đầu bắt các gói với Wireshark: • Bạn có thể nhấp đúp vào giao diện trong màn hình chào mừng.
• Bạn có thể chọn một giao diện trong màn hình chào mừng, sau đó chọn Bắt ›Bắt đầu hoặc nhấp vào nút đầu tiên nút thanh công cụ.
• Bạn có thể biết thêm thơng tin chi tiết về các giao diện có sẵn bằng Hộp thoại “Tùy chọn bắt” (Bắt ›Tùy chọn…).
• Nếu bạn đã biết tên của giao diện chụp, bạn có thể khởi động Wireshark từ dịng lệnh:
Thao tác này sẽ bắt đầu thu Wireshark trên giao diện eth0.
Phần "Bắt" của Màn hình Chào mừng
Khi bạn mở Wireshark mà khơng bắt đầu bắt hoặc mở tệp đã bắt, nó sẽ hiển thị “Màn hình chào mừng”, liệt kê mọi tệp đã mở gần đây và các giao diện bắt có sẵn. Hoạt động mạng cho mỗi giao diện sẽ được hiển thị trong một đường gấp khúc bên cạnh tên giao diện. Có thể chọn nhiều hơn một giao diện và bắt từ chúng đồng thời.
35
Hình 2.25 Giao diện bắt trên Microsoft Windows
Hình 2.26 Giao diện bắt trên macOS
Một số giao diện cho phép hoặc yêu cầu cấu hình trước khi bắt. Điều này sẽ được biểu thị bằng biểu tượng cấu hình ( ) ở bên trái tên giao diện. Nhấn vào biểu tượng sẽ hiện ra hộp thoại cấu hình cho giao diện đó.
Di chuột qua một giao diện sẽ hiển thị mọi địa chỉ IPv4 và IPv6 được liên kết và bộ lọc bắt của nó. Wireshark khơng chỉ giới hạn ở các giao diện mạng - trên hầu hết các hệ thống, bạn cũng có thể ghi lại USB, Bluetooth và các loại gói tin khác. Cũng xin lưu ý rằng một giao diện có thể bị ẩn nếu Wireshark khơng truy cập được hoặc nếu nó bị ẩn như được mô tả trong Hộp thoại “Quản lý giao diện”.
Hộp thoại “Tùy chọn bắt”
Khi bạn chọn Capture ›Options… (hoặc sử dụng mục tương ứng trong thanh cơng cụ chính), Wireshark bật lên hộp thoại“ Capture Options ”như được hiển thị trong tab đầu vào“ Capture Options ”. Nếu bạn không chắc chắn nên chọn tùy chọn nào trong hộp thoại này, hãy để nguyên cài đặt mặc định sẽ hoạt động tốt trong nhiều trường hợp.
36
Hình 2.27 Tab đầu vào “Capture Options”
Tab "Đầu vào" chứa bảng "Giao diện", hiển thị các cột sau:
Giao diện
Tên giao diện.
Một số giao diện cho phép hoặc yêu cầu cấu hình trước khi bắt. Điều này sẽ được biểu thị bằng biểu tượng cấu hình ( ) ở bên trái tên giao diện. Nhấn vào biểu tượng sẽ hiện ra hộp thoại cấu hình cho giao diện đó.
Lưu lượng
Biểu đồ thu nhỏ hiển thị hoạt động mạng theo thời gian.
Link-layer Header
Loại gói được chụp bởi giao diện này. Trong một số trường hợp, có thể thay đổi điều này. Xem Loại tiêu đề lớp liên kết để biết thêm chi tiết.
Promiscuous
Cho phép bạn đặt giao diện này ở chế độ quảng bá trong khi chụp. Lưu ý rằng một ứng dụng khác có thể ghi đè cài đặt này.
Snaplen
Độ dài ảnh chụp nhanh hoặc số byte cần chụp cho mỗi gói. Bạn có thể đặt độ dài rõ ràng nếu cần, ví dụ: vì lý do hiệu suất hoặc quyền riêng tư.
Bơ đệm
Kích thước của bộ đệm trong nhân được dành riêng để bắt các gói tin. Bạn có thể tăng hoặc giảm điều này nếu cần, nhưng mặc định thường là đủ.
Chế độ giám sát
Cho phép bạn bắt dữ liệu 802.11 thô, đầy đủ. Hỗ trợ tùy thuộc vào loại giao diện, phần cứng, trình điều khiển và hệ điều hành. Lưu ý rằng việc bật điều này có thể ngắt kết nối bạn khỏi mạng không dây của bạn.
37 Bộ lọc được áp dụng cho giao diện này. Bạn có thể chỉnh sửa bộ lọc bằng cách nhấp đúp vào nó.
Di chuột qua một giao diện hoặc mở rộng nó sẽ hiển thị mọi địa chỉ IPv4 và IPv6 được liên kết.
Nếu "Bật chế độ Promiscuous trên tất cả các giao diện" được bật, các cài đặt chế độ Promiscuous riêng lẻ ở trên sẽ bị ghi đè.
Có thể sử dụng “Bộ lọc cho các giao diện đã chọn” để đặt bộ lọc cho nhiều giao diện cùng một lúc.
[Quản lý Giao diện] mở hộp thoại “Quản lý Giao diện” nơi có thể xác định các đường ống, quét hoặc ẩn các giao diện cục bộ hoặc thêm các giao diện từ xa.
[Biên dịch các BPF đã chọn] mở hộp thoại “Đầu ra bộ lọc đã biên dịch”, hiển thị cho bạn mã bytecode đã biên dịch cho bộ lọc của bạn. Điều này có thể giúp hiểu rõ hơn về bộ lọc mà bạn đã tạo.
Hình 2.28 Tab đầu ra “Tùy chọn bắt”
Tab "Đầu ra" hiển thị thông tin sau:
Bắt và lưu vào một tệp bền vững
Trường này cho phép bạn chỉ định tên tệp sẽ được sử dụng cho tệp bắt. Nó được để trống theo mặc định. Nếu để trống, dữ liệu chụp sẽ được lưu trữ trong một tệp tạm thời. Bạn cũng có thể nhấp vào nút ở bên phải của trường này để duyệt qua hệ thống tệp.
Định dạng đầu ra
Cho phép bạn thiết lập định dạng của tệp bắt. pcapng là mặc định và linh hoạt hơn pcap. pcapng có thể được u cầu, ví dụ: nếu nhiều hơn một giao diện được chọn để bắt.
Tự động tạo một tệp mới…
Đặt các điều kiện để chuyển đổi một tệp mới. Một tệp mới có thể được tạo dựa trên các điều kiện sau:
• Số lượng gói tin trong tập tin. • Kích thước của tập tin.
38 • Thời lượng của tệp bắt.
• Thời gian.
Sử dụng bộ đệm vòng
Chỉ áp dụng với nhiều tệp. Tạo một bộ đệm vòng của các tệp với số tệp nhất định.
Hình 2.29 Tab tùy chọn “Tùy chọn bắt”