Thu thập dữ liệu mạng trực tiếp

Một phần của tài liệu BÀI BÁO CÁO CUỐI KỲ ĐỀ TÀI: Wireshark (Trang 36 - 48)

III. Hướng dẫn sử dụng

1. Thu thập dữ liệu mạng trực tiếp

Bắt đầu bắt các gói tin

Các phương pháp sau có thể được sử dụng để bắt đầu bắt các gói với Wireshark: • Bạn có thể nhấp đúp vào giao diện trong màn hình chào mừng.

• Bạn có thể chọn một giao diện trong màn hình chào mừng, sau đó chọn Bắt ›Bắt đầu hoặc nhấp vào nút đầu tiên nút thanh cơng cụ.

• Bạn có thể biết thêm thơng tin chi tiết về các giao diện có sẵn bằng Hộp thoại “Tùy chọn bắt” (Bắt ›Tùy chọn…).

• Nếu bạn đã biết tên của giao diện chụp, bạn có thể khởi động Wireshark từ dịng lệnh:

Thao tác này sẽ bắt đầu thu Wireshark trên giao diện eth0.

Phần "Bắt" của Màn hình Chào mừng

Khi bạn mở Wireshark mà không bắt đầu bắt hoặc mở tệp đã bắt, nó sẽ hiển thị “Màn hình chào mừng”, liệt kê mọi tệp đã mở gần đây và các giao diện bắt có sẵn. Hoạt động mạng cho mỗi giao diện sẽ được hiển thị trong một đường gấp khúc bên cạnh tên giao diện. Có thể chọn nhiều hơn một giao diện và bắt từ chúng đồng thời.

35

Hình 2.25 Giao diện bắt trên Microsoft Windows

Hình 2.26 Giao diện bắt trên macOS

Một số giao diện cho phép hoặc yêu cầu cấu hình trước khi bắt. Điều này sẽ được biểu thị bằng biểu tượng cấu hình ( ) ở bên trái tên giao diện. Nhấn vào biểu tượng sẽ hiện ra hộp thoại cấu hình cho giao diện đó.

Di chuột qua một giao diện sẽ hiển thị mọi địa chỉ IPv4 và IPv6 được liên kết và bộ lọc bắt của nó. Wireshark khơng chỉ giới hạn ở các giao diện mạng - trên hầu hết các hệ thống, bạn cũng có thể ghi lại USB, Bluetooth và các loại gói tin khác. Cũng xin lưu ý rằng một giao diện có thể bị ẩn nếu Wireshark khơng truy cập được hoặc nếu nó bị ẩn như được mơ tả trong Hộp thoại “Quản lý giao diện”.

Hộp thoại “Tùy chọn bắt”

Khi bạn chọn Capture ›Options… (hoặc sử dụng mục tương ứng trong thanh cơng cụ chính), Wireshark bật lên hộp thoại“ Capture Options ”như được hiển thị trong tab đầu vào“ Capture Options ”. Nếu bạn không chắc chắn nên chọn tùy chọn nào trong hộp thoại này, hãy để nguyên cài đặt mặc định sẽ hoạt động tốt trong nhiều trường hợp.

36

Hình 2.27 Tab đầu vào “Capture Options”

Tab "Đầu vào" chứa bảng "Giao diện", hiển thị các cột sau:

Giao diện

Tên giao diện.

Một số giao diện cho phép hoặc yêu cầu cấu hình trước khi bắt. Điều này sẽ được biểu thị bằng biểu tượng cấu hình ( ) ở bên trái tên giao diện. Nhấn vào biểu tượng sẽ hiện ra hộp thoại cấu hình cho giao diện đó.

Lưu lượng

Biểu đồ thu nhỏ hiển thị hoạt động mạng theo thời gian.

Link-layer Header

Loại gói được chụp bởi giao diện này. Trong một số trường hợp, có thể thay đổi điều này. Xem Loại tiêu đề lớp liên kết để biết thêm chi tiết.

Promiscuous

Cho phép bạn đặt giao diện này ở chế độ quảng bá trong khi chụp. Lưu ý rằng một ứng dụng khác có thể ghi đè cài đặt này.

Snaplen

Độ dài ảnh chụp nhanh hoặc số byte cần chụp cho mỗi gói. Bạn có thể đặt độ dài rõ ràng nếu cần, ví dụ: vì lý do hiệu suất hoặc quyền riêng tư.

Bơ đệm

Kích thước của bộ đệm trong nhân được dành riêng để bắt các gói tin. Bạn có thể tăng hoặc giảm điều này nếu cần, nhưng mặc định thường là đủ.

Chế độ giám sát

Cho phép bạn bắt dữ liệu 802.11 thô, đầy đủ. Hỗ trợ tùy thuộc vào loại giao diện, phần cứng, trình điều khiển và hệ điều hành. Lưu ý rằng việc bật điều này có thể ngắt kết nối bạn khỏi mạng không dây của bạn.

37 Bộ lọc được áp dụng cho giao diện này. Bạn có thể chỉnh sửa bộ lọc bằng cách nhấp đúp vào nó.

Di chuột qua một giao diện hoặc mở rộng nó sẽ hiển thị mọi địa chỉ IPv4 và IPv6 được liên kết.

Nếu "Bật chế độ Promiscuous trên tất cả các giao diện" được bật, các cài đặt chế độ Promiscuous riêng lẻ ở trên sẽ bị ghi đè.

Có thể sử dụng “Bộ lọc cho các giao diện đã chọn” để đặt bộ lọc cho nhiều giao diện cùng một lúc.

[Quản lý Giao diện] mở hộp thoại “Quản lý Giao diện” nơi có thể xác định các đường ống, quét hoặc ẩn các giao diện cục bộ hoặc thêm các giao diện từ xa.

[Biên dịch các BPF đã chọn] mở hộp thoại “Đầu ra bộ lọc đã biên dịch”, hiển thị cho bạn mã bytecode đã biên dịch cho bộ lọc của bạn. Điều này có thể giúp hiểu rõ hơn về bộ lọc mà bạn đã tạo.

Hình 2.28 Tab đầu ra “Tùy chọn bắt”

Tab "Đầu ra" hiển thị thông tin sau:

Bắt và lưu vào một tệp bền vững

Trường này cho phép bạn chỉ định tên tệp sẽ được sử dụng cho tệp bắt. Nó được để trống theo mặc định. Nếu để trống, dữ liệu chụp sẽ được lưu trữ trong một tệp tạm thời. Bạn cũng có thể nhấp vào nút ở bên phải của trường này để duyệt qua hệ thống tệp.

Định dạng đầu ra

Cho phép bạn thiết lập định dạng của tệp bắt. pcapng là mặc định và linh hoạt hơn pcap. pcapng có thể được u cầu, ví dụ: nếu nhiều hơn một giao diện được chọn để bắt.

Tự động tạo một tệp mới…

Đặt các điều kiện để chuyển đổi một tệp mới. Một tệp mới có thể được tạo dựa trên các điều kiện sau:

• Số lượng gói tin trong tập tin. • Kích thước của tập tin.

38 • Thời lượng của tệp bắt.

• Thời gian.

Sử dụng bộ đệm vòng

Chỉ áp dụng với nhiều tệp. Tạo một bộ đệm vòng của các tệp với số tệp nhất định.

Hình 2.29 Tab tùy chọn “Tùy chọn bắt”

Tab “Tùy chọn” hiển thị thông tin sau:

- Tùy chọn hiển thị

+ Cập nhật danh sách các gói trong thời gian thực

Cập nhật ngăn danh sách gói theo thời gian thực trong khi bắt. Nếu bạn khơng bật tính năng này, Wireshark sẽ khơng hiển thị bất kỳ gói nào cho đến khi bạn dừng quá trình bắt. Khi bạn kiểm tra điều này, Wireshark sẽ bắt trong một quy trình riêng biệt và cấp dữ liệu bắt cho quy trình hiển thị.

+ Tự động cuộn trong khi bắt trực tiếp

Cuộn ngăn danh sách gói khi có các gói mới, vì vậy bạn ln xem gói mới nhất. Nếu bạn khơng chỉ định điều này, Wireshark sẽ thêm các gói mới vào danh sách gói nhưng khơng cuộn ngăn danh sách gói. Tùy chọn này chuyển sang màu xám nếu "Cập nhật danh sách gói trong thời gian thực" bị tắt.

+ Hiển thị thông tin bắt trong khi bắt

Nếu tùy chọn này được bật, hộp thoại thông tin thu thập được mô tả trong Trong khi Bắt đang chạy… sẽ được hiển thị trong khi các gói được bắt.

- Phân giải tên

+ Phân giải địa chỉ MAC

Dịch địa chỉ MAC thành tên. + Phân giải tên mạng

39 + Phân giải tên phương tiện

Dịch tên phương tiện (số cổng).

Tự động dừng chụp

Quá trình chụp có thể dừng lại dựa trên các điều kiện sau: • Số lượng gói tin trong tập tin chụp.

• Số lượng tệp tin chụp. • Kích thước tệp tin chụp. • Thời lượng tập tin chụp.

Bạn có thể nhấp đúp vào một hàng giao diện trong tab “Đầu vào” hoặc nhấp vào [Bắt đầu] từ bất kỳ tab nào để bắt đầu bắt. Bạn có thể nhấp vào [Hủy] để áp dụng các thay đổi của mình và đóng hộp thoại.

Hộp thoại “Quản lý giao diện”

Hình 2.30 Hộp thoại “Quản lý giao diện”

Hộp thoại “Quản lý giao diện” ban đầu hiển thị tab “Giao diện cục bộ”, cho phép bạn quản lý những điều sau:

Hiển thị

Hiển thị hay ẩn giao diện này trong màn hình chào mừng và hộp thoại “Tùy chọn bắt”.

Tên thân thiện

Tên cho giao diện mà con người có thể đọc được.

Tên giao diện

40

Nhận xét

Có thể dùng để thêm bình luận mơ tả cho giao diện.

Tab “Pipes” cho phép bạn bắt từ một đường ống đã đặt tên. Để thêm thành công một đường ống, đường ống có tên được liên kết của nó phải đã được tạo. Nhấp vào [+] và nhập tên của đường ống bao gồm cả đường dẫn của nó. Ngồi ra, [Browse] có thể được sử dụng để định vị đường ống.

Để xóa một đường ống khỏi danh sách giao diện, hãy chọn nó và nhấn [-]. Trên Microsoft Windows, tab “Giao diện Từ xa” cho phép bạn bắt từ một giao diện trên một máy khác. Dịch vụ Giao thức bắt gói từ xa trước tiên phải chạy trên nền tảng đích trước khi Wireshark có thể kết nối với nó.

Trên Linux hoặc Unix, bạn có thể bắt (và làm như vậy an tồn hơn) thơng qua một đường hầm SSH. Để thêm giao diện chụp từ xa mới, hãy nhấp vào [+] và chỉ định như sau:

Host

Địa chỉ IP hoặc tên máy chủ của nền tảng đích nơi dịch vụ Giao thức bắt gói từ xa đang lắng nghe. Danh sách chứa các máy chủ đã được liên hệ thành cơng trước đó. Danh sách có thể được làm trống bằng cách chọn "Xóa danh sách" từ danh sách thả xuống.

Port

Đặt số cổng nơi dịch vụ Giao thức bắt gói từ xa đang bật. Để trống để sử dụng cổng mặc định (2002).

Không xác thực

Chọn tùy chọn này nếu bạn không cần xác thực để bắt đầu bắt từ xa. Điều này phụ thuộc vào nền tảng mục tiêu. Điều này hồn tồn an tồn như vẻ ngồi của nó, tức là nó khơng an tồn chút nào.

Xác thực mật khẩu

Cho phép bạn chỉ định tên người dùng và mật khẩu cần thiết để kết nối với dịch vụ Giao thức bắt gói từ xa.

Mỗi giao diện có thể được ẩn tùy chọn. Ngược lại với các giao diện cục bộ, chúng không được lưu trong tệp tùy chọn.

LƯU Ý Đảm bảo rằng bạn có quyền truy cập bên ngồi vào cổng 2002 trên nền tảng đích. Đây là cổng mặc định được sử dụng bởi dịch vụ Giao thức bắt gói từ xa.

Để xóa một máy chủ bao gồm tất cả các giao diện của nó khỏi danh sách, hãy chọn máy chủ đó và nhấp vào nút [-].

Hộp thoại “Đầu ra bộ lọc đã biên dịch”

Hình này cho thấy kết quả của việc biên dịch bộ lọc BPF cho các giao diện đã chọn.

41

Hình 2.31 Hộp thoại “Đầu ra bộ lọc đã biên dịch”

Trong danh sách bên trái, tên giao diện được liệt kê. Kết quả của việc biên dịch một bộ lọc cho giao diện đã chọn được hiển thị ở bên phải.

Bắt tệp và chế độ tệp

Trong khi bắt, công cụ bắt libpcap bên dưới sẽ lấy các gói từ card mạng và giữ dữ liệu gói trong một bộ đệm trong nhân (tương đối nhỏ). Dữ liệu này được Wireshark đọc và lưu vào một tệp tin.

Theo mặc định, Wireshark lưu các gói vào một tệp tạm thời. Bạn cũng có thể yêu cầu Wireshark lưu vào một tệp cụ thể (“vĩnh viễn”) và chuyển sang một tệp khác sau khi đã trôi qua một khoảng thời gian nhất định hoặc một số gói nhất định đã được ghi lại. Các tùy chọn này được điều khiển trong tab “Đầu ra” trong hộp thoại “Tùy chọn bắt”.

Hình 2.32 Tùy chọn đầu ra

42 Sử dụng tùy chọn “Nhiều tệp” có thể cắt thông tin liên quan đến ngữ cảnh. Wireshark lưu giữ thông tin ngữ cảnh của dữ liệu gói được tải, vì vậy nó có thể báo cáo các vấn đề liên quan đến ngữ cảnh (như lỗi luồng) và giữ thông tin về các giao thức liên quan đến ngữ cảnh (ví dụ: nơi dữ liệu được trao đổi ở giai đoạn thiết lập và chỉ được đề cập đến trong các gói sau này). Vì nó chỉ giữ thơng tin này cho tệp đã tải, nên việc sử dụng một trong nhiều chế độ tệp có thể cắt các ngữ cảnh này. Nếu giai đoạn thiết lập được lưu trong một tệp và những thứ bạn muốn xem nằm trong tệp khác, bạn có thể khơng thấy một số thơng tin có giá trị liên quan đến ngữ cảnh.

Tên tệp “Tạo tệp mới” “Sử dụng bộ đệm vòng” Chế độ Tên tệp được sử dụng - - - Tệp tạm thời duy nhất wiresharkXXXXXX (XXXXXX là con số độc nhất) foo.cap - - Tệp được đặt tên duy nhất foo.cap

foo.cap x - Nhiều tệp, liên tục foo_00001_20210714110102.ca p, foo_00002_20210714110318.ca p, … foo.cap x x Nhiều tệp, sử dụng bộ đệm vòng foo_00001_20210714110102.ca p, foo_00002_20210714110318.ca p, … Bảng 2.3 Chế độ tệp trong tùy chọn bắt Tệp tạm thời duy nhất

Một tệp tạm thời sẽ được tạo và sử dụng (đây là tệp mặc định). Sau khi dừng bắt, tệp này có thể được lưu sau đó dưới tên do người dùng chỉ định.

Tệp được đặt tên duy nhất

Một tập tin duy nhất sẽ được sử dụng. Nếu bạn muốn đặt tệp mới trong một thư mục cụ thể, hãy chọn chế độ này.

Nhiều tệp, liên tục

Giống như chế độ “Tệp được đặt tên duy nhất”, nhưng tệp mới được tạo và sử dụng sau khi đạt một trong nhiều điều kiện chuyển đổi tệp (một trong các giá trị “Tệp tiếp theo mọi…”).

43

Nhiều tệp, bộ đệm vòng

Giống như “Nhiều tệp liên tục”, đạt đến một trong các điều kiện chuyển đổi nhiều tệp (một trong các giá trị “Tệp tiếp theo mọi…”) sẽ chuyển sang tệp tiếp theo. Đây sẽ là tệp mới được tạo nếu không đạt đến giá trị “Ring buffer with n files”, nếu khơng nó sẽ thay thế tệp cũ nhất trong số các tệp đã sử dụng trước đây (do đó tạo thành “vịng đệm”).

Chế độ này sẽ giới hạn mức sử dụng đĩa tối đa, ngay cả đối với lượng dữ liệu đầu vào bắt không giới hạn, chỉ giữ lại dữ liệu được chụp mới nhất.

Loại tiêu đề tầng liên kết

Trong hầu hết các trường hợp, bạn sẽ không phải sửa đổi loại tiêu đề tầng liên kết. Một số trường hợp ngoại lệ như sau:

Nếu bạn đang bắt trên thiết bị Ethernet, bạn có thể lựa chọn “Ethernet” hoặc “DOCSIS”. Nếu bạn đang ghi lại lưu lượng truy cập từ Hệ thống kết cuối Modem Cáp của Cisco đang đưa lưu lượng DOCSIS vào Ethernet cần thu, hãy chọn “DOCSIS”, nếu không hãy chọn “Ethernet”.

Nếu bạn đang bắt trên thiết bị 802.11 trên một số phiên bản BSD, bạn có thể lựa chọn “Ethernet” hoặc “802.11”. “Ethernet” sẽ làm cho các gói được bắt có các tiêu đề Ethernet giả (“cooked”). “802.11” sẽ khiến chúng có đầy đủ tiêu đề IEEE 802.11. Trừ khi bản chụp cần được đọc bởi một ứng dụng không hỗ trợ tiêu đề 802.11, bạn nên chọn “802.11”.

Nếu bạn đang bắt trên thẻ Endace DAG được kết nối với đường dây nối tiếp đồng bộ, bạn có thể lựa chọn “PPP qua nối tiếp” hoặc “Cisco HDLC”. Nếu giao thức trên đường nối tiếp là PPP, hãy chọn “PPP qua nối tiếp” và nếu giao thức trên đường nối tiếp là Cisco HDLC, hãy chọn “Cisco HDLC”.

Nếu bạn đang bắt trên card Endace DAG được kết nối với mạng ATM, bạn có thể lựa chọn “RFC 1483 IP-over-ATM” hoặc “Sun raw ATM”. Nếu lưu lượng duy nhất đang được ghi lại là IP đóng gói RFC 1483 LLC hoặc nếu bản ghi cần được đọc bởi một ứng dụng không hỗ trợ tiêu đề SunATM, hãy chọn “RFC 1483 IP-over-ATM”, nếu không hãy chọn “Sun raw ATM”.

Lọc trong khi chụp

Wireshark hỗ trợ giới hạn việc bắt gói thành các gói phù hợp với bộ lọc. Bộ lọc Wireshark được viết bằng libpcap. Dưới đây là tổng quan ngắn gọn về cú pháp của libpcap.

Bạn nhập bộ lọc chụp vào trường "Bộ lọc" của hộp thoại "Tùy chọn bắt" của Wireshark, như được hiển thị trong tab đầu vào "Tùy chọn bắt".

Một bộ lọc có dạng một loạt các biểu thức nguyên thủy được kết nối bằng các liên từ (AND / OR) và có thể là not:

44 Một ví dụ về Bộ lọc cho telnet thu thập lưu lượng truy cập đến và đi từ một máy chủ cụ thể.

Ví dụ 1. Một bộ lọc cho telnet thu thập lưu lượng truy cập đến và đi từ một máy chủ cụ thể

Ví dụ này nắm bắt lưu lượng telnet đến và đi từ máy chủ 10.0.0.5 và chỉ ra cách sử dụng hai biểu thức nguyên thủy và toán tử AND. Một ví dụ khác là bắt tất cả lưu lượng telnet không phải từ 10.0.0.5 và chỉ ra cách thu thập tất cả lưu lượng telnet ngoại trừ 10.0.0.5.

Ví dụ 2. Thu thập tất cả lưu lượng telnet không phải từ 10.0.0.5

Một biểu thức nguyên thủy chỉ đơn giản là một trong những thứ sau: [src |

Một phần của tài liệu BÀI BÁO CÁO CUỐI KỲ ĐỀ TÀI: Wireshark (Trang 36 - 48)

Tải bản đầy đủ (PDF)

(87 trang)