Online Media

Quản Trị Mạng - Phân tích giao thức mạng là một kĩ thuật thường được dùng để xem, trong chế độ thời gian thực các luồng dữ liệu được gửi và nhận thông qua một giao diện mạng. Cái này thật sự rất hữu ích cho việc khắc phục các sự cố về cấu hình mạng và các vấn đề ứng dụng mạng. Nó cũng rất hữu ích khi phát triển một giao thức mạng mới. Trong bài viết này, tôi sẽ trình bày một cách căn bản về việc khắc phục một ứng dụng mạng với Wireshark (Ethereal).

Tổng quan về Wireshark

Ethereal là một chương trình phân tích giao thức mã nguồn mở ban đầu được viết bởi Gerald Combs. Sau đó nó được đổi tên thành Wireshark năm 2006. Hiện nay Wireshark được quản lý và phát triển bởi hàng trăm người trên khắp thế giới.

Nó không thể làm những việc gì?

Như bất kì một công cụ nào khác, Wireshark có thể được dùng cho một số việc và không cho một số việc khác. Ở đây là danh sách của một số việc mà Wireshark không thể làm:

1. Nó không thể dùng để vạch ra một mạng. Thay vào đó công cụ Nmap có thể đảm nhiệm chức năng này.

2. Nó không sinh ra ra các dữ liệu mạng - nó là một công cụ bị động. Những công cụ như nmap, ping và traceroute là ví dụ về các công cụ có khả năng sinh ra các dữ liệu mạng. Những công cụ này là công cụ chủ động.

3. Nó chỉ có thể chỉ ra thông tin chi tiết về các giao thức mà nó thật sự hiểu. Nó hiểu được rất nhiều các giao thức và có thể mở rộng ra, vì vậy bạn có thể thêm vào các giao thức hỗ trợ cho nó nếu nó không hiểu. Tuy nhiên bạn sẽ chỉ có thể xem được các dữ liệu mà nó bắt được dưới dạng hexdump.

4. Nó chỉ có thể bắt được dữ liệu tốt khi giao diện driver của hệ điều hành hỗ trợ. Ví dụ của việc này là việc bắt dữ liệu thông qua mạng không dây. Nó không làm việc tốt với một số phần mềm và phần cứng kết hợp.

Cài đặt Wireshark

Wireshark là một ứng dụng mã nguồn mở và có thể download miễn phí tại trang www.wireshark.org. Cách cài đặt nó khá dễ dàng và được hướng dẫn như dưới đây.

1. Nhấn kép vào file cài đặt

2. Nhấn nút "Next" ở màn hình Welcome.

3. Nhấn nút "I Agree" để chấp nhận các điều kiện đăng kí.

4. Nhấn nút "Next" để chấp nhận các thiết đặt mặc định tại hộp thoại Choose Components.

5. Nhấn nút "Next" tại hộp thoại Select Additional Tasks.

6. Nhấn nút "Next" tại hộp thoại Choose Install Location.

7. Tại thời điểm này, trình cài đặt sẽ yêu cầu nếu bạn muốn cài đặ WinPcap. Hãy chắc chắn rằng ô Instal WinPcap được chọn và nhấn nút "Next".

8. Việc cài đặt Wireshark sẽ bắt đầu sao chép file vào hệ thống của bạn.

9. Trình cài đặt WinPcap sẽ được giới thiệu trong suốt quá trình cài Wireshark. Nhấn nút "Next" tại màn hình Welcome.

10. Nhấn nút "Next" tại màn hình WinPcap Setup Wizard.

11. Nhấn nút "I Agree" tại màn hình License Agreement.

12. Nhấn nút "Finish" để đón trình cài đặt WinPcap.

13. Nhấn nút "Next" tại hộp thoại Wireshark Installtion Complete.

14. Nhấn nút "Finish" để đóng trình cài đặt Wireshark.

Chạy Wireshark trên Windows

Khởi động Wireshark

Khởi động Wireshark trên windows đơn giản bằng cách nhấn kép vào shortcut trên menu Start. Điều này sẽ giúp mở ra màn hình chính của Wireshark.

Giao diện Wireshark

Giao diện của Wireshark rất đơn giản.

1. Title bar - Thanh này sẽ chứa những thông tin khác nhau phụ thuộc vào những gì Wireshark đang làm. Nếu nó đang bắt dữ liệu mạng, nó sẽ hiểu thị giao điện đang sử dụng. Nếu nó đang hiển thị dữ liệu từ lần bắt dữ liệu trước đó, tên của file chứa trong dữ liệu bắt được đó sẽ được hiển thị (untitled sẽ được hiển thị nếu lần bắt đó được trình diễn, dừng lại và không được lưu lại). Ngược lại nó sẽ hiển thị tên của ứng dụng: Wireshark network Protocol Analyzer.

2. Menu bar - Thanh này cung cấp khả năng truy cập đến các tính năng của ứng dụng.

a. File - Chức năng làm với việc với dữ liệu bắt được như lưu lại và export đến các định dạng file khác nhau.

b. Edit - Chức năng tìm kiểm packets, thiết đặt thay đổi thời gian, và tham khảo các thiết đặt

c. View - Chức năng thay đổi cách hiển thị thông tin của Wireshark.

d. Go - Chức năng tìm vị trí của một packet chỉ rõ.

e. Capture - Chức năng bắt đầu và dừng lại các lần bắt, lưu lại các filter và làm việc với các giao diện mạng.

f. Analyze - Chức năng giải thích và lọc dữ liệu bắt được.

g. Statistics - Chức năng thống kê phân tích dữ liệu bắt được.

h. Help - Chức năng trợ giúp.

3. Main tool bar - Lối tắt để sử dụng các chức năng thường dùng trong thanh menu.

4. Filter tool bar - Truy cập nhanh đến chức năng filter.

5. Packet list pane - Hiển thị tất cả các packet trong file bắt hiện tại.

6. Packet details pane - Chỉ rõ các chi tiết của packet được chọn hiện tại trong khung Packet List.

7. Packet bytes pane - Chế độ xem hexdum của packet hiện tại trong Packet List.

8. Status bar - Cung cấp các thông điệp và thông tin phản hồi đến người dùng.

Ví dụ về cách làm việc của Wireshark

Trong ví dụ này, tôi sẽ khởi động Wireshark bắt các packet trên mạng không dây của laptop. Sau đó tôi sẽ khởi động Thunderbird để lấy lại email từ Comcast và Gmail.

1. Đầu tiên khởi động Wireshark.

2. Sau đó chọn Capture -> Interfaces từ thanh menu.

3. Sau đó hộp thoại Interfaces sẽ được mở ra. Chọn giao diện mà bạn muốn sử dụng. Đây là điều quan trong khi Wireshakr (như với bất kì trình phân tích giao thức nào khác) chỉ có thể bắt dữ liệu từ một mạng mà nó kết nối đến một cách tự nhiên. Tôi dùng Ethernet adapter không dây trong laptop vì vậy sẽ chọn Intel adapter trong danh sach. Nhấn nút "Start". Tiến trình bắt dữ liệu sẽ được bắt đầu. Sau một thời gian ngắn, bạn sẽ thấy cửa sổ chính của Wireshark (danh sách packet, chi tiết và khung byte) được điền đầy với các dữ liệu

4. Bây giờ tôi sẽ khởi động Thunderbird và đăng nhập vào cả hai tài khoản Gmail và Comcast. Tại thời điểm này tôi sẽ chờ đợi cho tất cả các mail download về và sau đó sẽ dừng việc bắt mạng bằng cách chọn Capture -> Stop từ thanh menu. Nhấn File và Save để lưu việc bắt dữ liệu này vào đĩa sau khi tất cả các dữ liệu đã được bắt.

5. Tôi vừa bắt được 2 phiên POP3 hoàn thiện với Wireshark. Để lấy riêng thông tiên về các phiên pop tôi sẽ dùng một filter. Trong thanh filter bạn điền vào đoạn text sau và nhấn nút "apply": tcp.port eq 110. Điều này sẽ giới hạn các hiển thị về traffice trên cổng tcp 110 (cổng pop). Cũng nên chú ý rằng Wireshark hiểu được POP (Post Office Protocol), vì vậy nó sẽ trình diễn được các bít của thông tin như câu lệnh POP và các thông tin chứng thực. Tôi không kết nối đến Comcast mail server sử dụng SSL vì vậy mật khẩu của tôi được chứa trong các traffic dưới dạng clear text nghĩa là các dữ liệu không được mã hóa. Tôi phải chọn screenshot này một cách khôn ngoan và thật sự dùng cái này để khắc phục các sự cố về người dùng client kết nối đến pop và imap server.

6. Kéo thanh cuộn xuống phía dưới của dữ liệu bắt được sau khi đã dùng filter nó chỉ hiện ra một cuộc đàm thoại giữa hai host: laptop của tôi và Comcast mail server. Điều gì xảy ra với Gmail? Bởi vì tôi dùng SSL với tài khoản gmail và kết nối SSL POP được kết hợp với cổng 995 chứ không phải cổng 110. Trong thanh filter điền vào đoạn text sau và nhấn "apply": tcp.port eq 995. Điều này sẽ trình diễn tất cả các POP thông qua SSL. Nhưng chú ý rằng không có bất kỳ thông tin chi tiết nào khác sẽ có về giao thức ứng dụng này. Giao thức dùng trên cổng 995 là TCP, SSl và TLS. Bạn sẽ thấy một số packet đi kèm với các key, nhưng đó là tất cả để làm với vấn đề bảo mật kết hợp với SSL và TLS. Tất cả dữ liệu của ứng dụng này đã bị mã hóa.