Phân tích giao thức mạng là một kĩthuật thường được
dùng đểxem, trong chế độthời gian thực các luồng dữliệu được gửi và
nhận thông qua một giao diện mạng. Cái này thật sựrất hữu ích cho việc
khắc phục các sựcốvềcấu hình mạng và các vấn đề ứng dụng mạng. Nó
cũng rất hữu ích khi phát triển một giao thức mạng mới. Trong bài viết này, tôi sẽ
trình bày một cách căn bản vềviệc khắc phục một ứng dụng mạng với
Wireshark (Ethereal).
Tổng quan vềWireshark
Ethereal là một chương trình phân tích giao thức mã nguồn mởban đầu được
viết bởi Gerald Combs. Sau đó nó được đổi tên thành Wireshark năm 2006. Hiện
nay Wireshark được quản lý và phát triển bởi hàng trăm người trên khắp thế
giới.
17 trang |
Chia sẻ: oanh_nt | Lượt xem: 1361 | Lượt tải: 0
Nội dung tài liệu Khắc phục các ứng dụng mạng căn bản với Wireshark (Ethereal), để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Khắc phục các ứng dụng mạng căn bản với Wireshark (Ethereal)
Nguồn : quantrimang.com
Quản Trị Mạng - Phân tích giao thức mạng là một kĩ thuật thường được
dùng để xem, trong chế độ thời gian thực các luồng dữ liệu được gửi và
nhận thông qua một giao diện mạng. Cái này thật sự rất hữu ích cho việc
khắc phục các sự cố về cấu hình mạng và các vấn đề ứng dụng mạng. Nó
cũng rất hữu ích khi phát triển một giao thức mạng mới. Trong bài viết này, tôi sẽ
trình bày một cách căn bản về việc khắc phục một ứng dụng mạng với
Wireshark (Ethereal).
Tổng quan về Wireshark
Ethereal là một chương trình phân tích giao thức mã nguồn mở ban đầu được
viết bởi Gerald Combs. Sau đó nó được đổi tên thành Wireshark năm 2006. Hiện
nay Wireshark được quản lý và phát triển bởi hàng trăm người trên khắp thế
giới.
Nó không thể làm những việc gì?
Như bất kì một công cụ nào khác, Wireshark có thể được dùng cho một số việc
và không cho một số việc khác. Ở đây là danh sách của một số việc mà
Wireshark không thể làm:
1. Nó không thể dùng để vạch ra một mạng. Thay vào đó công cụ Nmap có thể
đảm nhiệm chức năng này.
2. Nó không sinh ra ra các dữ liệu mạng - nó là một công cụ bị động. Những
công cụ như nmap, ping và traceroute là ví dụ về các công cụ có khả năng sinh
ra các dữ liệu mạng. Những công cụ này là công cụ chủ động.
3. Nó chỉ có thể chỉ ra thông tin chi tiết về các giao thức mà nó thật sự hiểu. Nó
hiểu được rất nhiều các giao thức và có thể mở rộng ra, vì vậy bạn có thể thêm
vào các giao thức hỗ trợ cho nó nếu nó không hiểu. Tuy nhiên bạn sẽ chỉ có thể
xem được các dữ liệu mà nó bắt được dưới dạng hexdump.
4. Nó chỉ có thể bắt được dữ liệu tốt khi giao diện driver của hệ điều hành hỗ trợ.
Ví dụ của việc này là việc bắt dữ liệu thông qua mạng không dây. Nó không làm
việc tốt với một số phần mềm và phần cứng kết hợp.
Cài đặt Wireshark
Wireshark là một ứng dụng mã nguồn mở và có thể download miễn phí tại trang
www.wireshark.org. Cách cài đặt nó khá dễ dàng và được hướng dẫn như dưới
đây.
1. Nhấn kép vào file cài đặt
2. Nhấn nút "Next" ở màn hình Welcome.
3. Nhấn nút "I Agree" để chấp nhận các điều kiện đăng kí.
4. Nhấn nút "Next" để chấp nhận các thiết đặt mặc định tại hộp thoại Choose
Components.
5. Nhấn nút "Next" tại hộp thoại Select Additional Tasks.
6. Nhấn nút "Next" tại hộp thoại Choose Install Location.
7. Tại thời điểm này, trình cài đặt sẽ yêu cầu nếu bạn muốn cài đặ WinPcap. Hãy
chắc chắn rằng ô Instal WinPcap được chọn và nhấn nút "Next".
8. Việc cài đặt Wireshark sẽ bắt đầu sao chép file vào hệ thống của bạn.
9. Trình cài đặt WinPcap sẽ được giới thiệu trong suốt quá trình cài Wireshark.
Nhấn nút "Next" tại màn hình Welcome.
10. Nhấn nút "Next" tại màn hình WinPcap Setup Wizard.
11. Nhấn nút "I Agree" tại màn hình License Agreement.
12. Nhấn nút "Finish" để đón trình cài đặt WinPcap.
13. Nhấn nút "Next" tại hộp thoại Wireshark Installtion Complete.
14. Nhấn nút "Finish" để đóng trình cài đặt Wireshark.
Chạy Wireshark trên Windows
Khởi động Wireshark
Khởi động Wireshark trên windows đơn giản bằng cách nhấn kép vào shortcut
trên menu Start. Điều này sẽ giúp mở ra màn hình chính của Wireshark.
Giao diện Wireshark
Giao diện của Wireshark rất đơn giản.
1. Title bar - Thanh này sẽ chứa những thông tin khác nhau phụ thuộc vào
những gì Wireshark đang làm. Nếu nó đang bắt dữ liệu mạng, nó sẽ hiểu thị giao
điện đang sử dụng. Nếu nó đang hiển thị dữ liệu từ lần bắt dữ liệu trước đó, tên
của file chứa trong dữ liệu bắt được đó sẽ được hiển thị (untitled sẽ được hiển
thị nếu lần bắt đó được trình diễn, dừng lại và không được lưu lại). Ngược lại nó
sẽ hiển thị tên của ứng dụng: Wireshark network Protocol Analyzer.
2. Menu bar - Thanh này cung cấp khả năng truy cập đến các tính năng của ứng
dụng.
a. File - Chức năng làm với việc với dữ liệu bắt được như lưu lại và export đến
các định dạng file khác nhau.
b. Edit - Chức năng tìm kiểm packets, thiết đặt thay đổi thời gian, và tham khảo
các thiết đặt
c. View - Chức năng thay đổi cách hiển thị thông tin của Wireshark.
d. Go - Chức năng tìm vị trí của một packet chỉ rõ.
e. Capture - Chức năng bắt đầu và dừng lại các lần bắt, lưu lại các filter và làm
việc với các giao diện mạng.
f. Analyze - Chức năng giải thích và lọc dữ liệu bắt được.
g. Statistics - Chức năng thống kê phân tích dữ liệu bắt được.
h. Help - Chức năng trợ giúp.
3. Main tool bar - Lối tắt để sử dụng các chức năng thường dùng trong thanh
menu.
4. Filter tool bar - Truy cập nhanh đến chức năng filter.
5. Packet list pane - Hiển thị tất cả các packet trong file bắt hiện tại.
6. Packet details pane - Chỉ rõ các chi tiết của packet được chọn hiện tại trong
khung Packet List.
7. Packet bytes pane - Chế độ xem hexdum của packet hiện tại trong Packet
List.
8. Status bar - Cung cấp các thông điệp và thông tin phản hồi đến người dùng.
Ví dụ về cách làm việc của Wireshark
Trong ví dụ này, tôi sẽ khởi động Wireshark bắt các packet trên mạng không dây
của laptop. Sau đó tôi sẽ khởi động Thunderbird để lấy lại email từ Comcast và
Gmail.
1. Đầu tiên khởi động Wireshark.
2. Sau đó chọn Capture -> Interfaces từ thanh menu.
3. Sau đó hộp thoại Interfaces sẽ được mở ra. Chọn giao diện mà bạn muốn sử
dụng. Đây là điều quan trong khi Wireshakr (như với bất kì trình phân tích giao
thức nào khác) chỉ có thể bắt dữ liệu từ một mạng mà nó kết nối đến một cách tự
nhiên. Tôi dùng Ethernet adapter không dây trong laptop vì vậy sẽ chọn Intel
adapter trong danh sach. Nhấn nút "Start". Tiến trình bắt dữ liệu sẽ được bắt
đầu. Sau một thời gian ngắn, bạn sẽ thấy cửa sổ chính của Wireshark (danh
sách packet, chi tiết và khung byte) được điền đầy với các dữ liệu
4. Bây giờ tôi sẽ khởi động Thunderbird và đăng nhập vào cả hai tài khoản Gmail
và Comcast. Tại thời điểm này tôi sẽ chờ đợi cho tất cả các mail download về và
sau đó sẽ dừng việc bắt mạng bằng cách chọn Capture -> Stop từ thanh menu.
Nhấn File và Save để lưu việc bắt dữ liệu này vào đĩa sau khi tất cả các dữ liệu
đã được bắt.
5. Tôi vừa bắt được 2 phiên POP3 hoàn thiện với Wireshark. Để lấy riêng thông
tiên về các phiên pop tôi sẽ dùng một filter. Trong thanh filter bạn điền vào đoạn
text sau và nhấn nút "apply": tcp.port eq 110. Điều này sẽ giới hạn các hiển thị
về traffice trên cổng tcp 110 (cổng pop). Cũng nên chú ý rằng Wireshark hiểu
được POP (Post Office Protocol), vì vậy nó sẽ trình diễn được các bít của thông
tin như câu lệnh POP và các thông tin chứng thực. Tôi không kết nối đến
Comcast mail server sử dụng SSL vì vậy mật khẩu của tôi được chứa trong các
traffic dưới dạng clear text nghĩa là các dữ liệu không được mã hóa. Tôi phải
chọn screenshot này một cách khôn ngoan và thật sự dùng cái này để khắc phục
các sự cố về người dùng client kết nối đến pop và imap server.
6. Kéo thanh cuộn xuống phía dưới của dữ liệu bắt được sau khi đã dùng filter
nó chỉ hiện ra một cuộc đàm thoại giữa hai host: laptop của tôi và Comcast mail
server. Điều gì xảy ra với Gmail? Bởi vì tôi dùng SSL với tài khoản gmail và kết
nối SSL POP được kết hợp với cổng 995 chứ không phải cổng 110. Trong thanh
filter điền vào đoạn text sau và nhấn "apply": tcp.port eq 995. Điều này sẽ trình
diễn tất cả các POP thông qua SSL. Nhưng chú ý rằng không có bất kỳ thông tin
chi tiết nào khác sẽ có về giao thức ứng dụng này. Giao thức dùng trên cổng 995
là TCP, SSl và TLS. Bạn sẽ thấy một số packet đi kèm với các key, nhưng đó là
tất cả để làm với vấn đề bảo mật kết hợp với SSL và TLS. Tất cả dữ liệu của
ứng dụng này đã bị mã hóa.
Các file đính kèm theo tài liệu này:
- 1_0614.pdf