WireShark là một phần mềm phân tích giao thức mạng, hầu như là phải có cho bất kỳ quản trị viên hệ thống hay chuyên gia bảo mật nào. Bài viết này sẽ cho biết WireShark là gì và hướng dẫn sử dụng WireShark.

WireShark là gì?

WireShark là một chương trình phân tích lưu lượng mạng hàng đầu thế giới. Nó là một công cụ thiết yếu cho bất kỳ quản trị viên chuyên nghiệp hay hệ thống bảo mật nào. Phần mềm miễn phí này cho phép phân tích lưu lượng mạng trong thời gian thực (realtime). Bên cạnh đó, nó cũng thường là công cụ tốt nhất để khắc phục các sự cố mạng.

Các vấn đề phổ biến mà WireShark có thể khắc phục gồm: packet bị drop, vấn đề về độ trễ và các hoạt động độc hại. Nó cho phép quan sát cụ thể các lưu lượng mạng, cung cấp công cụ để lọc và đi sâu vào lưu lượng. Sau đó tìm ra nguyên nhân gốc rễ của vấn đề. Quản trị viên thường sử dụng nó để xác định các thiết bị mạng bị lỗi đang drop các packet.

WireShark là một công cụ mạnh mẽ, và nó cũng đòi hỏi kiến thức cơ bản về mạng để sử dụng. Đối với hầu hết các doanh nghiệp hiện đại, cần hiểu khái niệm stack TCP/IP là chưa đủ. Cần phải hiểu cách đọc và giải thích các header, biết cách hoạt động của router, port redirect, DHCP.

WireShark có khả năng làm gì?

WireShark có khả năng chặn lưu lượng, chuyển đổi lưu lượng ở dạng binary thành dạng định dạng định dạng có thể đọc được. Điều này giúp dễ dàng xác định lưu lượng truy cập đang đi qua mạng của bạn. Số lượng, tần suất, độ trễ giữa các bước nhảy…cũng được xác định.

WireShark hỗ trợ tới hơn hai nghìn giao thức mạng. Trong đó nhiều chuyên gia bảo mật cho rằng khả năng phân tích packet IP là hữu ích nhất. Phần lớn các packet ở trên mạng sẽ là TCP, UDP và ICMP.

Với khối lượng lưu lượng khổng lồ truyền hệ thống mạng, các công cụ của WireShark sẽ giúp lọc các lưu lượng đó ra để phân tích chúng. Bộ capture filter sẽ chỉ thu thập các loại lưu lượng truy cập mà bạn quan tâm. Sau đó các bộ lọc hiển thị sẽ giúp ‘phóng to’ lưu lượng mà bạn muốn kiểm tra. Module phân tích giao thức mạng cũng cung cấp các công cụ tìm kiếm, các biểu thức thông thường và tô sáng màu, giúp dễ tìm kiếm hơn.

Sử dụng WireShark như thế nào

Ta cần phải hiểu những điều bình thường thì mới có thể tìm ra những thứ bất thường. WireShark có các công cụ để tạo các thống kê cơ bản. Mặc dù WireShark là một công cụ phân tích giao thức mạng, không phải hệ thống phát hiện xâm nhập (IDS). Nó có thể cực kỳ hữu ích trong việc giảm các lưu lượng độc hại.

WireShark cũng có thể được sử dụng để chặn và phân tích lưu lượng TLS được mã hóa. Các session key đối xứng được lưu trữ trong trình duyệt. Và với cài đặt trình duyệt thích hợp, quản trị viên có thể load các session key đó vào WireShark và kiểm tra các lưu lượng ở dạng đã được giải mã.

WireShark cũng đi kèm với các công cụ đồ họa để hình dung các số liệu thống kê. Điều này giúp bạn dễ dàng phát hiện các xu hướng chung, cảnh báo các phát hiện để quản lý dễ dàng và hiệu quả hơn.

Sử dụng WireShark trong việc học

Có rất nhiều cách sử dụng WireShark, và nó còn là một công cụ học tập rất hiệu quả. Mở nắp mui xe thì mới biết được động cơ hoạt động thế nào. Và ‘mở nắp’ các lưu lượng, xem cách các packet di chuyển, thậm chí đào sâu vào lớp byte, kiểm tra các header TCP – cũng là một cách để học và dạy người khác về mạng. WireShark cũng đã là một phần trong các chương trình đào tạo hiện nay.

Lịch sử của WireShark

WireShark đã xuất hiện từ năm 1998, khi nó được phát minh bởi Gerald Combs, và được gọi là Ethereal. Qua thời gian, nó đã nhận được nhiều hỗ trợ và phát triển của cộng đồng. Hiện nay nó đã được công nhận rộng khi là một giao thức mạng thật sự.

WireShark chạy trên tất cả hệ điều hành, gồm các bản phân phối Linux thông thường, Windows, OS X, FreeBSD, NetBSD và OpenBSD. Đây là một phần mềm miễn phí, được cấp phép GPL, và do đó miễn phí sử dụng, chia sẻ và sửa đổi.

Theo csoonline.com.