Wireshark là gì ? Ứng dụng của nó như thế nào ?

 

Hãy chia sẻ

Wireshark là gì ?

Wireshark là một phần mềm tự do dùng để xử lý sự cố mạng, một công cụ kiểm tra, theo dõi và phân tích thông tin mạng được phát triển bởi Gerald Combs. Nó có thể được sử dụng trên LinuxMac OS X và Windows. Lúc đầu nó mang tên là Ethereal nhưng đổi tên là Wireshark vì có vấn đề về nhãn hiệu.Ngày nay thì WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent .

Đặc điểm của Wireshark :

  • Là một mà được sử dụng khá phổ biến cho những ai làm về bảo mật hệ thống mạng .
  • Đối với giao diện của Wireshark thì đây là phần mềm có giao diện rất dễ phân tích. Wireshark là ứng dụng đồ họa với hệ thống menu rất rõ ràng và được bố trí mạch lạc , dễ hiểu .
  • Đây là một phần mềm được hoàn toàn miễn phí cho nên chúng ta có thể sử dụng với bất kỳ mục đích nào mà không hề lo vấn đề bản quyền hay là khoản phí phải bỏ ra thêm .
  • Có thể cài đặt và sử dụng trên bất kỳ một hệ điều hành nào như : Mac, Linux , Windows , IOS …

Một vài tính năng nâng cao của Wireshark :

Following TCP Streams: đây là một trong những tính năng nâng cao mà hữu ích nhất của Wireshark là nó có khả năng xem các dòng TCP như là ở tầng ứng dụng

 

Name Resolution: là giúp phân giải và chuyển đổi địa chỉ , hỗ trợ  cho việc ghi nhớ.

– Xem các Endpoints

Protocol dissector: cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích

– Cửa sổ thống kê phân cấp giao thức

– Cửa sổ đồ thị IO,

Ứng dụng của wireshark vào những đâu ?

1. Chức năng conversation

Cho ta tổng quan về lượng dữ liệu đã trao đổi giữa các endpoint với ta đang phân tích.
Bao nhiêu gửi đi, gửi cho những ai, bao nhiều nhận về, nhận từ những ai sẽ hiện ra rất rõ ràng

Loading...

2. Sử dụng Flow Graph

Chức năng này cho ta thấy một biểu đồ ở dạng tuần tự. Nó mô tả những end point nào, giao tiếp với card mạng hiện tai. Trong một mạng nhỏ không kết nối internet, biểu đồ này cho thấy tổng quan thứ tự kết nối, truyển dữ liệu giữa các máy tính với nhau một cách dễ dàng nhất.

3. Phân tích vấn đề không kết nối của 2 endpoint đã được kết nối vật lý với nhau.

Vì gói tin được di chuyển qua rất nhiều thiết bị mạng trước khi đến máy đích, chính vì thế ta cần kiểm tra tại mỗi node (có thể là hub, switch, router…) để có thể thấy được những gói tin đó có được truyền theo đường mong muốn không.
Với hub, ta chỉ cần nối một máy tính chạy Wireshark vào một cổng bất kì của hub đó. Mọi gói tin vào hub sẽ qua máy tính phân tích của chúng ta.
Với switch, do các gói tin sẽ được truyền đến 1 port để đi tiếp đến đích. Ta sẽ sử dụng 2 phương án:

4. Sử dụng stream để theo dõ follow dữ liệu được trao đổi giữa 2 endpoint.

Với TCP, việc view stream sẽ cho ta thấy tất cả các gói tin được gửi giữa 2 điểm từ lúc socket được tạo đến lúc kết thúc việc bắt gói tin hoặc ngắt kết nối.
Với UDP, việc view stream sẽ cho ta thấy thứ tự về thời gian các các gói tin UDP.

5. Ứng dụng IO Graph

Đây là một trong những chức năng khá phổ biến là cho phép chúng ta hiển thị một biểu đồ Histogram mô tả lưu lượng gói tin qua card mạng theo thời gian.

Để hiểu hơn bạn có thể tham khảo thêmhttps://vi.wikipedia.org/wiki/Wireshark

shares