Dán nhãn
English中文(简体)
Security

Wireshark là gì? Hướng dẫn cài đặt và sử dụng Wireshark

Bé Thu
Featured image of post Wireshark là gì? Hướng dẫn cài đặt và sử dụng Wireshark

Wireshark là phần mềm phân tích mạng mã nguồn mở. Tìm hiểu tính năng, cách hoạt động, ưu nhược điểm, cài đặt và sử dụng Wireshark chi tiết.

Wireshark là phần mềm phân tích mạng mã nguồn mở phổ biến nhất hiện nay, được sử dụng rộng rãi bởi quản trị viên hệ thống, chuyên gia bảo mật và sinh viên CNTT. Bài viết giúp bạn hiểu rõ Wireshark là gì, cách hoạt động, tính năng nổi bật và hướng dẫn cài đặt chi tiết.

Wireshark là gì?

Wireshark là phần mềm mã nguồn mở chuyên phân tích và giám sát lưu lượng mạng. Được phát triển lần đầu vào năm 1998, Wireshark cho phép người dùng thu thập và kiểm tra chi tiết các gói dữ liệu truyền qua mạng theo thời gian thực.

Phần mềm hỗ trợ hàng trăm giao thức mạng (TCP, UDP, HTTP, DNS, SSL/TLS...) và hiển thị dữ liệu dưới dạng phân lớp theo mô hình OSI. Wireshark hoạt động trên Windows, macOS và Linux, phù hợp cho quản trị viên mạng, chuyên gia an ninh mạng, nhà phát triển phần mềm và sinh viên.

Cách thức hoạt động của Wireshark

Wireshark hoạt động qua ba giai đoạn chính:

Thu thập gói tin (Packet Capture): Khi khởi động, người dùng chọn giao diện mạng (Wi-Fi, Ethernet, Bluetooth). Wireshark bắt đầu "nghe" và ghi lại từng gói dữ liệu đi qua giao diện đó, bao gồm địa chỉ nguồn, địa chỉ đích, giao thức và nội dung dữ liệu.

Phân tích gói tin (Packet Analysis): Wireshark phân tích từng gói tin từ lớp liên kết dữ liệu đến lớp ứng dụng trong mô hình OSI. Công cụ xác định chi tiết cấu trúc dữ liệu, kiểm tra lỗi hoặc bất thường trong giao thức.

Trình bày dữ liệu (Data Presentation): Các gói tin được hiển thị theo thời gian qua giao diện đồ họa, chia thành các cột: số thứ tự, thời gian, địa chỉ nguồn/đích, giao thức, độ dài và thông tin chi tiết.

Tính năng nổi bật

  • Thu thập thời gian thực: Ghi lại gói tin liên tục từ giao diện mạng đã chọn, theo dõi hoạt động mạng tức thì.
  • Phân tích đa giao thức: Hỗ trợ hàng trăm giao thức từ TCP, UDP, IP đến HTTP, FTP, DNS, SSL/TLS và các giao thức chuyên biệt.
  • Bộ lọc mạnh mẽ: Display Filter cho phép tìm kiếm gói tin theo IP, giao thức, cổng hoặc từ khóa cụ thể.
  • Đa định dạng tệp: Hỗ trợ pcap, pcapng và các định dạng từ công cụ phân tích mạng khác.
  • Giải mã SSL/TLS: Giải mã dữ liệu mã hóa khi có khóa phù hợp, hữu ích cho phân tích HTTPS.
  • Biểu đồ và thống kê: Biểu đồ giao thức, lưu lượng theo thời gian giúp phát hiện xu hướng bất thường.
  • Mã màu (Color Coding): Phân biệt các loại gói tin bằng màu sắc, tùy chỉnh được.

mTLS là gì? Ưu nhược điểm và cách hoạt động mTLS

Mục đích sử dụng Wireshark

Khắc phục sự cố mạng: Xác định nguyên nhân mất kết nối, tốc độ chậm, mất gói tin hoặc lỗi cấu hình. Wireshark ghi lại luồng dữ liệu và cho biết lỗi xảy ra ở tầng nào.

Giám sát lưu lượng mạng: Theo dõi lưu lượng theo giao thức, địa chỉ IP hoặc thiết bị để quản lý tài nguyên và tối ưu hiệu suất.

Phân tích bảo mật: Phát hiện tấn công DoS, mã độc, Man-in-the-Middle, kết nối đáng ngờ hoặc hành vi truy cập trái phép.

Tối ưu ứng dụng mạng: Kiểm tra cách ứng dụng tương tác với mạng, phát hiện tắc nghẽn hoặc lỗi truyền tải trong ứng dụng video, game online hay streaming.

Ưu nhược điểm của Wireshark

Tiêu chí Ưu điểm Nhược điểm
Chi phí Miễn phí, mã nguồn mở
Nền tảng Windows, macOS, Linux
Giao thức Hỗ trợ hàng trăm giao thức Khó phân tích dữ liệu mã hóa
Giao diện Trực quan, phân lớp rõ ràng Phức tạp cho người mới
Hiệu năng Phân tích thời gian thực Tốn CPU/RAM khi lưu lượng lớn
Bảo mật Phát hiện mối đe dọa Cần quyền root/admin
Pháp lý Rủi ro vi phạm quyền riêng tư
Cảnh báo pháp lý
Chỉ sử dụng Wireshark trên mạng của bạn hoặc khi được sự cho phép rõ ràng. Giám sát lưu lượng mạng của người khác mà không có sự đồng ý có thể vi phạm pháp luật về quyền riêng tư tại nhiều quốc gia.

Cài đặt Wireshark trên Windows

  1. Truy cập trang chính thức tại wireshark.org và nhấn Download.
  2. Chọn phiên bản phù hợp (64-bit hoặc 32-bit) và tải file .exe.
  3. Chạy file cài đặt, nhấn NextI Agree → giữ mặc định Select Components.
  4. Chọn cài đặt Npcap khi được yêu cầu (thư viện bắt gói tin mạng).
  5. Nhấn Install và chờ hoàn tất. Nhấn Finish để kết thúc.

Cài đặt Wireshark trên macOS

  1. Truy cập wireshark.org và tải file .dmg cho macOS.
  2. Mở file .dmg và kéo biểu tượng Wireshark vào thư mục Applications.
  3. Lần đầu mở, vào System Preferences → Security & Privacy → Open Anyway nếu có cảnh báo.
  4. Cấp quyền truy cập lưu lượng mạng khi được yêu cầu, nhập mật khẩu admin.
  5. Chọn Capture → chọn giao diện mạng để bắt đầu phân tích.

Cài đặt Wireshark trên Ubuntu

# Cập nhật hệ thống
sudo apt update

# Cài đặt Wireshark
sudo apt install wireshark

# Cho phép người dùng không root sử dụng (chọn Yes khi được hỏi)
sudo usermod -aG wireshark $(whoami)

# Kiểm tra cài đặt
wireshark --version

Sau khi chạy lệnh usermod, khởi động lại máy để thay đổi có hiệu lực.

Cài đặt Wireshark trên RedHat/Fedora

# Cập nhật hệ thống
sudo dnf update -y

# Cài đặt Wireshark
sudo dnf install wireshark -y

# Cấp quyền cho người dùng
sudo usermod -aG wireshark $USER

# Khởi động Wireshark
wireshark

Cài đặt Wireshark trên Kali Linux

Kali Linux thường tích hợp sẵn Wireshark. Nếu chưa có hoặc cần cập nhật:

# Cập nhật và cài đặt
sudo apt update && sudo apt upgrade
sudo apt install wireshark

# Cấp quyền
sudo usermod -aG wireshark $USER

Khởi động lại máy và mở Wireshark từ Terminal hoặc menu ứng dụng.

Mẹo sử dụng Wireshark hiệu quả
Sử dụng Capture Filter trước khi bắt gói tin để giảm lượng dữ liệu thu thập. Ví dụ: `host 192.168.1.1` chỉ bắt gói tin từ/đến IP cụ thể, giúp tiết kiệm tài nguyên hệ thống.

Hướng dẫn sử dụng cơ bản

Bắt gói tin: Chọn giao diện mạng (Ethernet/Wi-Fi) → nhấn Start. Wireshark hiển thị gói tin theo thời gian thực. Nhấn Stop để dừng.

Lưu và mở file: Chọn File → Save As để lưu định dạng .pcap hoặc .pcapng. Mở lại bằng File → Open.

Lọc gói tin: Nhập bộ lọc vào thanh Display Filter:

ip.addr == 192.168.1.1        # Lọc theo IP
tcp.port == 443                # Lọc theo cổng
http                           # Chỉ hiển thị HTTP
dns                            # Chỉ hiển thị DNS
tcp.flags.syn == 1             # Lọc gói SYN

Kiểm tra gói tin: Nhấn đúp vào gói tin để xem chi tiết theo các lớp: Ethernet → IP → TCP/UDP → Application Data.

Tùy chỉnh màu sắc: Vào View → Coloring Rules để phân biệt các loại gói tin bằng mã màu.

TCP/IP là gì? Tìm hiểu bộ giao thức TCP/IP

Kết luận: Wireshark là công cụ phân tích mạng mã nguồn mở mạnh mẽ, miễn phí, hỗ trợ đa nền tảng. Dù giao diện phức tạp với người mới, Wireshark là công cụ không thể thiếu cho quản trị viên mạng và chuyên gia bảo mật.

Nguồn & Tài liệu tham khảo
1. [Wireshark — Official Documentation](https://www.wireshark.org/docs/) 2. [Wireshark — Download](https://www.wireshark.org/download.html) 3. [Wireshark — User's Guide](https://www.wireshark.org/docs/wsug_html_chunked/) 4. [Wikipedia — Wireshark](https://en.wikipedia.org/wiki/Wireshark)

Câu hỏi thường gặp

Wireshark là gì?
Wireshark là phần mềm mã nguồn mở dùng để phân tích và giám sát lưu lượng mạng, giúp người dùng thu thập, kiểm tra chi tiết các gói dữ liệu truyền qua mạng theo thời gian thực.
Wireshark có miễn phí không?
Có, Wireshark là phần mềm mã nguồn mở hoàn toàn miễn phí, hỗ trợ Windows, macOS và Linux. Bạn có thể tải tại wireshark.org.
Wireshark dùng để làm gì?
Wireshark dùng để khắc phục sự cố mạng, giám sát lưu lượng, phân tích bảo mật, phát hiện tấn công mạng, kiểm tra và tối ưu hóa ứng dụng mạng.
Wireshark có hỗ trợ những giao thức nào?
Wireshark hỗ trợ hàng trăm giao thức mạng bao gồm TCP, UDP, HTTP, DNS, FTP, SSL/TLS, ICMP, ARP, DHCP và nhiều giao thức chuyên biệt khác.
Sử dụng Wireshark có hợp pháp không?
Wireshark hợp pháp khi sử dụng trên mạng của bạn hoặc được sự cho phép. Giám sát mạng người khác mà không có sự đồng ý có thể vi phạm pháp luật về quyền riêng tư.

article.share