42 Sử dụng tùy chọn “Nhiều tệp” có thể cắt thơng tin liên quan đến ngữ cảnh. Wireshark lưu giữ thông tin ngữ cảnh của dữ liệu gói được tải, vì vậy nó có thể báo cáo các vấn đề liên quan đến ngữ cảnh (như lỗi luồng) và giữ thông tin về các giao thức liên quan đến ngữ cảnh (ví dụ: nơi dữ liệu được trao đổi ở giai đoạn thiết lập và chỉ được đề cập đến trong các gói sau này). Vì nó chỉ giữ thơng tin này cho tệp đã tải, nên việc sử dụng một trong nhiều chế độ tệp có thể cắt các ngữ cảnh này. Nếu giai đoạn thiết lập được lưu trong một tệp và những thứ bạn muốn xem nằm trong tệp khác, bạn có thể khơng thấy một số thơng tin có giá trị liên quan đến ngữ cảnh.
Tên tệp “Tạo tệp mới” “Sử dụng bộ đệm vòng” Chế độ Tên tệp được sử dụng - - - Tệp tạm thời duy nhất wiresharkXXXXXX (XXXXXX là con số độc nhất) foo.cap - - Tệp được đặt tên duy nhất foo.cap
foo.cap x - Nhiều tệp, liên tục foo_00001_20210714110102.ca p, foo_00002_20210714110318.ca p, … foo.cap x x Nhiều tệp, sử dụng bộ đệm vòng foo_00001_20210714110102.ca p, foo_00002_20210714110318.ca p, … Bảng 2.3 Chế độ tệp trong tùy chọn bắt Tệp tạm thời duy nhất
Một tệp tạm thời sẽ được tạo và sử dụng (đây là tệp mặc định). Sau khi dừng bắt, tệp này có thể được lưu sau đó dưới tên do người dùng chỉ định.
Tệp được đặt tên duy nhất
Một tập tin duy nhất sẽ được sử dụng. Nếu bạn muốn đặt tệp mới trong một thư mục cụ thể, hãy chọn chế độ này.
Nhiều tệp, liên tục
Giống như chế độ “Tệp được đặt tên duy nhất”, nhưng tệp mới được tạo và sử dụng sau khi đạt một trong nhiều điều kiện chuyển đổi tệp (một trong các giá trị “Tệp tiếp theo mọi…”).
43
Nhiều tệp, bộ đệm vòng
Giống như “Nhiều tệp liên tục”, đạt đến một trong các điều kiện chuyển đổi nhiều tệp (một trong các giá trị “Tệp tiếp theo mọi…”) sẽ chuyển sang tệp tiếp theo. Đây sẽ là tệp mới được tạo nếu không đạt đến giá trị “Ring buffer with n files”, nếu khơng nó sẽ thay thế tệp cũ nhất trong số các tệp đã sử dụng trước đây (do đó tạo thành “vịng đệm”).
Chế độ này sẽ giới hạn mức sử dụng đĩa tối đa, ngay cả đối với lượng dữ liệu đầu vào bắt không giới hạn, chỉ giữ lại dữ liệu được chụp mới nhất.
Loại tiêu đề tầng liên kết
Trong hầu hết các trường hợp, bạn sẽ không phải sửa đổi loại tiêu đề tầng liên kết. Một số trường hợp ngoại lệ như sau:
Nếu bạn đang bắt trên thiết bị Ethernet, bạn có thể lựa chọn “Ethernet” hoặc “DOCSIS”. Nếu bạn đang ghi lại lưu lượng truy cập từ Hệ thống kết cuối Modem Cáp của Cisco đang đưa lưu lượng DOCSIS vào Ethernet cần thu, hãy chọn “DOCSIS”, nếu không hãy chọn “Ethernet”.
Nếu bạn đang bắt trên thiết bị 802.11 trên một số phiên bản BSD, bạn có thể lựa chọn “Ethernet” hoặc “802.11”. “Ethernet” sẽ làm cho các gói được bắt có các tiêu đề Ethernet giả (“cooked”). “802.11” sẽ khiến chúng có đầy đủ tiêu đề IEEE 802.11. Trừ khi bản chụp cần được đọc bởi một ứng dụng không hỗ trợ tiêu đề 802.11, bạn nên chọn “802.11”.
Nếu bạn đang bắt trên thẻ Endace DAG được kết nối với đường dây nối tiếp đồng bộ, bạn có thể lựa chọn “PPP qua nối tiếp” hoặc “Cisco HDLC”. Nếu giao thức trên đường nối tiếp là PPP, hãy chọn “PPP qua nối tiếp” và nếu giao thức trên đường nối tiếp là Cisco HDLC, hãy chọn “Cisco HDLC”.
Nếu bạn đang bắt trên card Endace DAG được kết nối với mạng ATM, bạn có thể lựa chọn “RFC 1483 IP-over-ATM” hoặc “Sun raw ATM”. Nếu lưu lượng duy nhất đang được ghi lại là IP đóng gói RFC 1483 LLC hoặc nếu bản ghi cần được đọc bởi một ứng dụng không hỗ trợ tiêu đề SunATM, hãy chọn “RFC 1483 IP-over-ATM”, nếu không hãy chọn “Sun raw ATM”.
Lọc trong khi chụp
Wireshark hỗ trợ giới hạn việc bắt gói thành các gói phù hợp với bộ lọc. Bộ lọc Wireshark được viết bằng libpcap. Dưới đây là tổng quan ngắn gọn về cú pháp của libpcap.
Bạn nhập bộ lọc chụp vào trường "Bộ lọc" của hộp thoại "Tùy chọn bắt" của Wireshark, như được hiển thị trong tab đầu vào "Tùy chọn bắt".
Một bộ lọc có dạng một loạt các biểu thức nguyên thủy được kết nối bằng các liên từ (AND / OR) và có thể là not:
44 Một ví dụ về Bộ lọc cho telnet thu thập lưu lượng truy cập đến và đi từ một máy chủ cụ thể.
Ví dụ 1. Một bộ lọc cho telnet thu thập lưu lượng truy cập đến và đi từ một máy chủ cụ thể
Ví dụ này nắm bắt lưu lượng telnet đến và đi từ máy chủ 10.0.0.5 và chỉ ra cách sử dụng hai biểu thức ngun thủy và tốn tử AND. Một ví dụ khác là bắt tất cả lưu lượng telnet không phải từ 10.0.0.5 và chỉ ra cách thu thập tất cả lưu lượng telnet ngoại trừ 10.0.0.5.
Ví dụ 2. Thu thập tất cả lưu lượng telnet không phải từ 10.0.0.5
Một biểu thức nguyên thủy chỉ đơn giản là một trong những thứ sau: [src | dst] host <host>
Biểu thức nguyên thủy này cho phép bạn lọc địa chỉ IP máy chủ hoặc tên. Bạn có thể tùy chọn đặt trước địa chỉ gốc bằng từ khóa src | dst để chỉ định rằng bạn chỉ quan tâm đến địa chỉ nguồn hoặc địa chỉ đích. Nếu những thứ này khơng xuất hiện, các gói có địa chỉ được chỉ định xuất hiện dưới dạng địa chỉ nguồn hoặc địa chỉ đích sẽ được chọn.
ether [src | dst] host <ehost>
Biểu thức nguyên thủy này cho phép bạn lọc các địa chỉ máy chủ Ethernet. Bạn có thể tùy ý thêm từ khóa src | dst vào giữa các từ khóa ether và host để xác định rằng bạn chỉ quan tâm đến địa chỉ nguồn hoặc địa chỉ đích. Nếu những thứ này khơng xuất hiện, các gói có địa chỉ được chỉ định xuất hiện trong địa chỉ nguồn hoặc địa chỉ đích sẽ được chọn.
gateway host <host>
Biểu thức nguyên thủy này cho phép bạn lọc các gói tin đã sử dụng máy chủ lưu trữ làm cổng vào. Đó là, nơi nguồn hoặc đích Ethernet là máy chủ lưu trữ nhưng khơng phải địa chỉ IP nguồn và đích là máy chủ.
[src | dst] net <net> [{mask <mask>} | {len <len>}]
Biểu thức nguyên thủy này cho phép bạn lọc các số mạng. Bạn có thể tùy chọn đặt trước biểu thức nguyên thủy này bằng từ khóa src | dst để xác định rằng bạn chỉ quan tâm đến mạng nguồn hoặc mạng đích. Nếu cả hai đều khơng xuất hiện, các gói sẽ được chọn có mạng được chỉ định trong địa chỉ nguồn hoặc địa chỉ đích. Ngồi ra, bạn có thể chỉ định mặt nạ mạng hoặc tiền tố CIDR cho mạng nếu chúng khác với mạng của bạn.
tcp port 23 and not src host 10.0.0.5 tcp port 23 and host 10.0.0.5
45
[tcp | udp] [src | dst] port <port>
Biểu thức nguyên thủy này cho phép bạn lọc số cổng TCP và UDP. Bạn có thể tùy ý đặt trước biểu thức nguyên thủy này bằng các từ khóa src | dst và tcp | udp cho phép bạn chỉ định rằng bạn chỉ quan tâm đến các cổng nguồn hoặc cổng đích và các gói TCP hoặc UDP tương ứng. Từ khóa tcp | udp phải xuất hiện trước src | dst.
Nếu chúng khơng được chỉ định, các gói sẽ được chọn cho cả giao thức TCP và UDP và khi địa chỉ được chỉ định xuất hiện trong trường cổng nguồn hoặc cổng đích.
less|greater <length>
Biểu thức nguyên thủy này cho phép bạn lọc các gói có độ dài nhỏ hơn hoặc bằng độ dài được chỉ định, hoặc lớn hơn hoặc bằng độ dài được chỉ định, tương ứng.
ip | ether proto <protocol>
Biểu thức nguyên thủy này cho phép bạn lọc trên giao thức được chỉ định ở lớp Ethernet hoặc lớp IP.
ether | ip broadcast | multicast
Biểu thức nguyên thủy này cho phép bạn lọc trên Ethernet hoặc IP hoặc các kênh phát đa hướng.
<expr> Relop <expr>
Biểu thức nguyên thủy này cho phép bạn tạo các biểu thức lọc phức tạp chọn byte hoặc phạm vi byte trong gói.
Lọc lưu lượng truy cập từ xa tự động
Nếu Wireshark đang chạy từ xa (sử dụng ví dụ: SSH, máy chủ đầu cuối,…), thì nội dung từ xa phải được truyền qua mạng, thêm nhiều gói (thường là khơng quan trọng) vào lưu lượng truy cập thực sự quan trọng.
Để tránh điều này, Wireshark cố gắng tìm hiểu xem nó có được kết nối từ xa hay khơng (bằng cách xem xét một số biến môi trường cụ thể) và tự động tạo bộ lọc thu thập phù hợp với các khía cạnh của kết nối.
Các biến mơi trường sau được phân tích: SSH_CONNECTION (ssh)
<remote IP> <remote port> <local IP> <local port> SSH_CLIENT (ssh)
<remote IP> <remote port> <local port> REMOTEHOST (tcsh, others?)
<remote name> DISPLAY (x11)
[remote name]:<display num> SESSIONNAME (terminal server) <remote name>
Trên Windows, nó hỏi hệ điều hành nếu hệ điều hành đang chạy trong môi trường Remote Desktop Services.
46
Trong khi Capture đang chạy
Bạn có thể thấy hộp thoại sau khi chụp đang chạy:
Hình 2.33 Hộp thoại “Capture Information”
Hộp thoại này hiển thị danh sách các giao thức và hoạt động của chúng theo thời gian. Nó có thể được kích hoạt thơng qua cài đặt “capture.show_info” trong tùy chọn “Advanced”.
Dừng chụp đang chạy
Một phiên bắt đang chạy sẽ bị dừng theo một trong những cách sau: 1. Nút [Dừng bắt] trong hộp thoại “Thơng tin về việc bắt các gói”. 2. Mục menu Bắt ›Dừng.
3. Nút thanh công cụ [Dừng]. 4. Nhấn Ctrl + E.
5. Quá trình bắt sẽ tự động bị dừng nếu một trong các Điều kiện dừng được đáp ứng, ví dụ: lượng dữ liệu tối đa đã được ghi lại.
Khởi động lại quá trình bắt đang chạy
Một phiên bắt đang chạy có thể được khởi động lại với các tùy chọn bắt giống như lần trước, thao tác này sẽ xóa tất cả các gói đã bắt trước đó. Điều này có thể hữu ích, nếu một số gói khơng quan tâm được ghi lại và khơng cần phải giữ chúng.
Khởi động lại là một chức năng tiện lợi và tương đương với việc dừng bắt sau khi bắt đầu bắt gói tin ngay lập tức. Khởi động lại có thể được kích hoạt theo một trong những cách sau:
1. Sử dụng mục menu Bắt ›Khởi động lại. 2. Sử dụng nút thanh công cụ [Khởi động lại].
2. Làm việc với các gói đã bắt được Xem các gói bạn đã bắt được Xem các gói bạn đã bắt được
Khi bạn đã bắt một số gói hoặc bạn đã mở tệp đã lưu trước đó, bạn có thể xem các gói được hiển thị trong ngăn danh sách gói bằng cách chỉ cần nhấp vào một gói trong ngăn danh sách gói, thao tác này sẽ hiển thị gói đã chọn trong khung xem dạng cây và
47 dạng byte.
Sau đó, bạn có thể mở rộng bất kỳ phần nào của cây để xem thông tin chi tiết về từng giao thức trong mỗi gói. Nhấp vào một mục trong cây sẽ làm nổi bật các byte tương ứng trong chế độ xem byte. Ví dụ về gói TCP được chọn được hiển thị trong Wireshark với gói TCP được chọn để xem. Nó cũng có số Acknowledgment trong tiêu đề TCP được chọn, hiển thị trong dạng xem byte dưới dạng các byte đã chọn.