Wireshark có khá nhiều thủ thuật, từ thu thập lưu lượng truy cập từ xa đến tạo các quy tắc tường lửa dựa trên các gói tin đã bắt được. Đọc để biết thêm một số mẹo nâng cao nếu bạn muốn sử dụng Wireshark như một người chuyên nghiệp.
Chúng tôi đã bao gồm cách sử dụng cơ bản của Wireshark , vì vậy hãy nhớ đọc bài viết gốc của chúng tôi để được giới thiệu về công cụ phân tích mạng mạnh mẽ này.
Độ phân giải tên mạng
Trong khi bắt các gói, bạn có thể khó chịu vì Wireshark chỉ hiển thị địa chỉ IP. Bạn có thể tự mình chuyển đổi địa chỉ IP thành tên miền, nhưng điều đó không quá thuận tiện.
Wireshark có thể tự động phân giải các địa chỉ IP này thành tên miền, mặc dù tính năng này không được bật theo mặc định. Khi bật tùy chọn này, bạn sẽ thấy tên miền thay vì địa chỉ IP bất cứ khi nào có thể. Điểm hạn chế là Wireshark sẽ phải tra cứu từng tên miền, gây ô nhiễm lưu lượng truy cập đã chiếm được với các yêu cầu DNS bổ sung.
Bạn có thể bật cài đặt này bằng cách mở cửa sổ tùy chọn từ Biên tập -> Sở thích , nhấp vào Độ phân giải tên và nhấp vào “ Bật phân giải tên mạng ”.
Bắt đầu chụp tự động
Bạn có thể tạo một lối tắt đặc biệt bằng cách sử dụng các đối số dòng lệnh của Wirshark nếu bạn muốn bắt đầu thu các gói tin tức thì. Bạn sẽ cần biết số lượng giao diện mạng mà bạn muốn sử dụng, dựa trên thứ tự mà Wireshark hiển thị các giao diện.
Tạo một bản sao của lối tắt của Wireshark, nhấp chuột phải vào nó, vào cửa sổ Thuộc tính của nó và thay đổi đối số dòng lệnh. Thêm vào -i # -k ở cuối phím tắt, thay thế # với số lượng giao diện bạn muốn sử dụng. Tùy chọn -i chỉ định giao diện, trong khi tùy chọn -k cho biết Wireshark bắt đầu chụp ngay lập tức.
Nếu bạn đang sử dụng Linux hoặc một hệ điều hành không phải Windows khác, chỉ cần tạo lối tắt bằng lệnh sau hoặc chạy nó từ một thiết bị đầu cuối để bắt đầu chụp ngay lập tức:
Wirehark -i # -k
Để biết thêm các phím tắt dòng lệnh, hãy xem Trang hướng dẫn của Wireshark .
Thu thập lưu lượng truy cập từ máy tính từ xa
Wireshark ghi lại lưu lượng truy cập từ các giao diện cục bộ của hệ thống của bạn theo mặc định, nhưng đây không phải lúc nào cũng là vị trí bạn muốn nắm bắt. Ví dụ: bạn có thể muốn nắm bắt lưu lượng truy cập từ bộ định tuyến, máy chủ hoặc máy tính khác ở một vị trí khác trên mạng. Đây là lúc tính năng chụp ảnh từ xa của Wireshark ra đời. Tính năng này hiện chỉ có sẵn trên Windows - Tài liệu chính thức của Wireshark khuyến nghị người dùng Linux sử dụng Đường hầm SSH .
Trước tiên, bạn sẽ phải cài đặt WinPcap trên hệ thống từ xa. WinPcap đi kèm với Wireshark, vì vậy bạn không phải cài đặt WinPCap nếu bạn đã cài đặt Wireshark trên hệ thống từ xa.
Sau khi cài đặt xong, hãy mở cửa sổ Dịch vụ trên máy tính từ xa - nhấp vào Bắt đầu, nhập services.msc vào hộp tìm kiếm trong menu Bắt đầu và nhấn Enter. Xác định vị trí Giao thức chụp gói từ xa dịch vụ trong danh sách và bắt đầu nó. Dịch vụ này bị tắt theo mặc định.
Nhấn vào Tùy chọn chụp ảnh liên kết s trong Wireshark, sau đó chọn Xa xôi từ hộp Giao diện.
Nhập địa chỉ của hệ thống từ xa và 2002 như cảng. Bạn phải có quyền truy cập vào cổng 2002 trên hệ thống từ xa để kết nối, vì vậy bạn có thể cần phải mở cổng này trong tường lửa.
Sau khi kết nối, bạn có thể chọn giao diện trên hệ thống từ xa từ hộp thả xuống Giao diện. Nhấp chuột Khởi đầu sau khi chọn giao diện để bắt đầu chụp từ xa.
Wireshark trong một nhà ga (TShark)
Nếu bạn không có giao diện đồ họa trên hệ thống của mình, bạn có thể sử dụng Wireshark từ một thiết bị đầu cuối bằng lệnh TShark.
Đầu tiên, phát hành tshark -D chỉ huy. Lệnh này sẽ cung cấp cho bạn số lượng giao diện mạng của bạn.
Khi bạn có, hãy chạy tshark -i # , thay thế # bằng số giao diện bạn muốn chụp.
TShark hoạt động giống như Wireshark, in lưu lượng mà nó thu được tới thiết bị đầu cuối. Sử dụng Ctrl-C khi bạn muốn dừng chụp.
In các gói đến thiết bị đầu cuối không phải là hành vi hữu ích nhất. Nếu chúng tôi muốn kiểm tra giao thông chi tiết hơn, chúng tôi có thể yêu cầu TShark kết xuất nó vào một tệp mà chúng tôi có thể kiểm tra sau. Sử dụng lệnh này thay thế để kết xuất lưu lượng truy cập vào một tệp:
tshark -i # -w tên tệp
TShark sẽ không hiển thị cho bạn các gói khi chúng đang được ghi lại, nhưng nó sẽ tính khi nó bắt chúng. Bạn có thể dùng File -> Mở trong Wireshark để mở tệp chụp sau.
Để biết thêm thông tin về các tùy chọn dòng lệnh của TShark, hãy xem trang hướng dẫn sử dụng của nó .
Tạo quy tắc ACL tường lửa
Nếu bạn là quản trị viên mạng chịu trách nhiệm về tường lửa và bạn đang sử dụng Wireshark để tìm kiếm xung quanh, bạn có thể muốn thực hiện hành động dựa trên lưu lượng bạn thấy - có lẽ để chặn một số lưu lượng đáng ngờ. Wireshark's Quy tắc ACL tường lửa công cụ tạo các lệnh bạn sẽ cần để tạo các quy tắc tường lửa trên tường lửa của mình.
Đầu tiên, chọn một gói bạn muốn tạo quy tắc tường lửa dựa trên đó bằng cách nhấp vào gói đó. Sau đó, nhấp vào Công cụ menu và chọn Quy tắc ACL tường lửa .
Sử dụng Sản phẩm để chọn loại tường lửa của bạn. Wireshark hỗ trợ Cisco IOS, các loại tường lửa Linux khác nhau, bao gồm iptables và tường lửa Windows.
Bạn có thể dùng Bộ lọc để tạo quy tắc dựa trên địa chỉ MAC, địa chỉ IP, cổng của hệ thống hoặc cả địa chỉ IP và cổng. Bạn có thể thấy ít tùy chọn bộ lọc hơn, tùy thuộc vào sản phẩm tường lửa của bạn.
Theo mặc định, công cụ này tạo quy tắc từ chối lưu lượng truy cập vào. Bạn có thể sửa đổi hành vi của quy tắc bằng cách bỏ chọn Đến hoặc là Phủ nhận hộp kiểm. Sau khi bạn đã tạo quy tắc, hãy sử dụng Sao chép để sao chép nó, sau đó chạy nó trên tường lửa của bạn để áp dụng quy tắc.
Bạn có muốn chúng tôi viết bất cứ điều gì cụ thể về Wireshark trong tương lai không? Hãy cho chúng tôi biết trong phần bình luận nếu bạn có bất kỳ yêu cầu hoặc ý tưởng nào.
