Sử dụng Wireshark băt gói tin

Phân tích gói tin với WIRESHARK 

Trong phần này tôi sẽ hưỡng dẫn các bạn sử dụng Wireshark và phân tích gói tin để giải quyết một vấn đề cụ thể của mạng.

Tôi xin đưa ra một số tình huống điển hình như sau:


Kiếm tra máy tính chúng ta đang gửi gói tin đi đâu nếu các bạn sử dụng hệ điều hành windows XP nhiều lúc máy tính chúng ta không hề sử dụng internet hay là mạng nội bộ LAN, nhưng thấy biếu tượng kết nối mạng lục nào cũng sáng(Những hệ điều hành khác như win 7, linux thì các bạn sẽ không phát hiện được điều trên). Chúng ta không hiếu được máy tính chúng ta đang nói chuyện với ai cả. Vậy đế biết được trong những lúc đó máy tính mình đang nói chuyện với ai, chúng ta bật Wireshark lên và tiến hành kiểm tra.

Trong trường hợp giá lập của tôi, máy tính của tôi có IP  192.168.1.11 chạy hệ điều hành linux. tôi muốn kiểm tra máy tính của tôi đang nói chuyện với ai, giao thức gì. 
bước 1: mở wirshard lên

Giao diện wireshark(on linux)

 Bước 2:chon card mạng các bạn muôn theo dõi

Giao diện chon card mạng theo dõi

  Bước 3: tiến hành theo dõi
    Mình sẽ ping kiếm tra từ máy tính của mình tới địa chi ngoài internet 8.8.8.8
    gói tin Ping sử dụng giao thức ICMP

   Các bạn thấy không khi minh ping từ máy tính của mình tới địa chỉ 8.8.8.8 thì trên giao diện capture gói tin của wireshark hiện thị các thông tin của gói tin.
Với thông tin này chúng ta sẽ biết được máy tính mình đang nói chuyện với ai dự trên thông số : internet protocol Src :192.168.1.11(địa chỉ máy tính nguồn), Dst: 8.8.8.8 (Địa chỉ IP đích).
Các bạn expand phần :Internet control Message Protocol
 các bạn sẽ thấy được chi tiết về gói tin vừa bắt được

  Trên hình các bạn có thế thấy được số sequence number của gói tin, identifier, checksum của gói tin....
Mình sẽ có một bài viết về các thông số trên của TCP/IP
Vây mình đã giới thiệu cho các bạn những bước cơ bản để sử dụng Wireshark để capture gói tin trên máy tính của bạn.
Mình nghĩ sau khi các bạn đọc bài này các bạn sẽ có câu hỏi, thế làm sao bắt được gói tin của máy tính khác để ngồi phân tích xem họ đang truy cập vào địa chỉ nào và xa hơn có thế xem nội dung họ đang nói chuyện gì... Mình sẽ có một bài viết kèm video về vấn đề này và các công cụng để làm được việc đó. Còn bây mình sẽ hưỡng dẫn các bạn cài đặtWireshark trên hệ điều hành windows 7 nhé.
Để sử dụng được wireshark chúng ta phải cài đặt gói winpcap
Bước 1: download Wireshark link: http://www.wireshark.org/download.html
Các bạn ch download bản Window installer 32 bit hoặc 64 bit tùy vào máy tính của bạn
(Nếu các bạn sử dụng hệ điều hành Ubuntu thì các bạn dùng lệnh sau
sudo apt-get update
sudo apt-get install wireshark 
wireshark Sau khi cài xong nếu các bạn muốn dùng lệnh để mở nó lên thì sùng lệnh: sudo wireshark)
Bước 2: Tiến hành cái đặt
 các bạn cứ chọn "Next" đến chỗ nó hỏi : install Winpcap ? thì bạn chọn :install winpcap tiếp tục chọn next.

Chúc các bạn nghiên cứu thực hành tốt với wireshark.       

Posted in: Tips,Tools