Wireshark là gì? Hướng dẫn sử dụng từ A-Z cho người mới

Bạn đang gặp khó khăn trong việc chẩn đoán lỗi mạng? Wireshark là gì và tại sao nó là công cụ không thể thiếu cho quản trị viên? Bài viết này sẽ hướng dẫn chi tiết từ A-Z cách cài đặt và sử dụng Wireshark để phân tích, gỡ rối và bảo mật hệ thống mạng của bạn.

Giới thiệu chung về Wireshark: Định nghĩa và nguyên lý hoạt động

Wireshark là gì?

Wireshark là một công cụ phân tích gói tin mạng (network packet analyzer) mã nguồn mở, miễn phí và đa nền tảng. Chức năng chính của nó là bắt (capture) và hiển thị dữ liệu lưu thông trên một mạng máy tính ở mức độ chi tiết. Quản trị viên mạng và các chuyên gia bảo mật thường sử dụng Wireshark để chẩn đoán các sự cố mạng như kết nối chậm, rớt gói tin, hoặc phát hiện các truy cập bất thường.

Công cụ này cho phép bạn “nhìn” vào bên trong các gói tin mạng, hiểu rõ chúng đến từ đâu, đi đến đâu và chứa thông tin gì. Tiền thân của Wireshark là Ethereal, được bắt đầu vào năm 1998. Ngày nay, nó được duy trì bởi một cộng đồng toàn cầu và được tin dùng bởi nhiều cơ quan chính phủ, tập đoàn lớn trên thế giới.

Lưu ý quan trọng: Wireshark là một công cụ cực kỳ mạnh mẽ. Hãy đảm bảo bạn chỉ sử dụng nó trên các mạng mà bạn có thẩm quyền truy cập (như hệ thống Máy Chủ Vật Lý của riêng bạn) để tuân thủ pháp luật và các quy định về quyền riêng tư.

WireShark hoạt động như thế nào?

Wireshark đặt card mạng của máy tính vào “chế độ promiscuous”, cho phép nó chặn và ghi lại tất cả các gói tin đi qua giao diện mạng đó, ngay cả những gói tin không dành cho máy tính của bạn.

Quy trình hoạt động cơ bản gồm 4 bước:

Bắt gói tin (Capture): Bạn chọn một giao diện mạng (Ethernet, Wi-Fi) và Wireshark bắt đầu lắng nghe, ghi lại mọi gói tin đi qua.
Hiển thị gói tin: Các gói tin được hiển thị theo thời gian thực với các thông tin tóm tắt như IP nguồn, IP đích, giao thức…
Phân tích gói tin: Wireshark “giải mã” cấu trúc của từng gói tin theo các giao thức tương ứng (TCP, UDP, HTTP, DNS…), giúp bạn đọc hiểu nội dung của chúng.
Lọc và tìm kiếm: Cung cấp các bộ lọc mạnh mẽ để bạn có thể nhanh chóng tìm thấy các gói tin cần thiết giữa hàng nghìn, hàng triệu gói tin đã bắt được.

WireShark hoạt động như thế nào? — Nguyên lý hoạt động cơ bản của Wireshark

Chức năng và mục đích sử dụng nổi bật của Wireshark

Sự đa dạng trong tính năng giúp Wireshark trở thành một công cụ không thể thiếu cho nhiều đối tượng người dùng khác nhau.

Các công dụng chính của Wireshark

Khắc phục sự cố mạng: Các quản trị viên mạng sử dụng Wireshark để tìm ra nguyên nhân của các vấn đề như mạng chậm, lỗi kết nối, hoặc các vấn đề về DNS.
Bảo mật mạng: Các kỹ sư bảo mật dùng nó để kiểm tra các lỗ hổng, phát hiện phần mềm độc hại, và phân tích các cuộc tấn công mạng vào hệ thống VPS Business của doanh nghiệp.
Phân tích hiệu suất mạng: Đánh giá độ trễ, tốc độ truyền dữ liệu và thời gian phản hồi của mạng.
Kiểm tra ứng dụng: Các lập trình viên và kỹ sư QA dùng Wireshark để gỡ lỗi các vấn đề liên quan đến mạng của ứng dụng.
Giáo dục và học tập: Là một công cụ tuyệt vời để sinh viên và những người mới tìm hiểu về cách thức hoạt động của các giao thức mạng như TCP/IP.

Những tính năng nổi bật của Wireshark

Hỗ trợ phân tích sâu hàng trăm giao thức: Từ các giao thức cơ bản như TCP, UDP, IP đến các giao thức ứng dụng phức tạp.
Hoạt động đa nền tảng: Chạy mượt mà trên Windows, Linux, macOS, Solaris, FreeBSD…
Chụp dữ liệu trực tiếp và phân tích offline: Bạn có thể phân tích gói tin theo thời gian thực hoặc lưu lại file capture để phân tích sau.
Bộ lọc hiển thị (Display Filter) cực kỳ mạnh mẽ: Cho phép bạn lọc chính xác các gói tin cần xem.
Tính năng tô màu (Colorize): Tự động tô màu các gói tin dựa trên quy tắc, giúp nhận diện nhanh các loại lưu lượng.
Hỗ trợ giải mã nhiều giao thức: Bao gồm IPsec, ISAKMP, Kerberos, SNMPv3, WEP, và WPA/WPA2.
Đọc/ghi nhiều định dạng file: Tương thích với các định dạng file từ các công cụ khác như tcpdump (pcap), Pcap NG…

Hạn chế và nhược điểm của phần mềm Wireshark

Mặc dù mạnh mẽ, Wireshark cũng có những hạn chế nhất định.

Các điểm hạn chế chính

Yêu cầu tài nguyên hệ thống: Việc bắt và phân tích lưu lượng mạng lớn có thể tiêu tốn rất nhiều CPU và RAM, có thể làm giảm hiệu suất hệ thống.
Để khắc phục hạn chế này, bạn có thể chạy Wireshark trên một Cloud Server mạnh mẽ hoặc VPS RAM Cao từ VPSMMO. Với tài nguyên CPU và RAM dồi dào, bạn có thể phân tích lưu lượng lớn mà không ảnh hưởng đến hiệu suất máy chính.
Độ phức tạp khi sử dụng: Giao diện và các tính năng nâng cao đòi hỏi người dùng phải có kiến thức nền tảng về mạng máy tính.
Không thể chỉnh sửa gói tin: Wireshark chỉ là công cụ phân tích, nó không cho phép bạn thay đổi hoặc gửi lại các gói tin.
Vấn đề về mã hóa: Wireshark không thể giải mã lưu lượng được mã hóa bằng SSL/TLS (HTTPS) nếu không có khóa giải mã riêng tư.

Hướng dẫn tải và cài đặt Wireshark

Việc cài đặt Wireshark khá đơn giản và hoàn toàn miễn phí.

Đối với Windows

Truy cập trang tải về chính thức của Wireshark tại https://www.wireshark.org/download.html.
Chọn phiên bản phù hợp với hệ điều hành của bạn (Windows Installer 64-bit hoặc 32-bit).
Chạy file .exe và làm theo các bước hướng dẫn. Trong quá trình cài đặt, hãy đồng ý cài đặt Npcap vì đây là thư viện cần thiết để Wireshark có thể bắt gói tin.

Đối với macOS

Tải về file .dmg từ trang chủ.
Mở file và kéo biểu tượng Wireshark vào thư mục Applications của bạn.

Đối với Linux (Ubuntu)

Trên các bản phân phối Linux dựa trên Debian/Ubuntu (thường được dùng trên các VPS Treo Tool), bạn có thể cài đặt dễ dàng bằng các lệnh sau:

sudo add-apt-repository ppa:wireshark-dev/stable
sudo apt update
sudo apt install wireshark

Trong quá trình cài đặt, một hộp thoại sẽ hỏi “Should non-superusers be able to capture packets?”. Hãy chọn Yes. Sau đó, thêm user của bạn vào group wireshark:

sudo usermod -aG wireshark $USER

Bạn cần log out và log in lại để thay đổi có hiệu lực.

Hướng dẫn sử dụng Wireshark cơ bản

Cách bắt các gói tin

Mở Wireshark. Bạn sẽ thấy một danh sách các giao diện mạng có sẵn.

Nhấp đúp vào tên giao diện mạng bạn muốn giám sát (ví dụ: Ethernet hoặc Wi-Fi) để bắt đầu quá trình bắt gói tin.

Khi bạn muốn dừng lại, hãy nhấp vào biểu tượng nút Stop màu đỏ trên thanh công cụ.

Giao diện chính của Wireshark

Giao diện kết quả được chia làm 3 phần chính:

Packet List (Danh sách gói tin): Khung trên cùng, hiển thị tóm tắt của mỗi gói tin đã bắt được.
Packet Details (Chi tiết gói tin): Khung ở giữa, hiển thị cấu trúc chi tiết của gói tin được chọn theo từng lớp giao thức.
Packet Bytes (Dữ liệu gói tin): Khung dưới cùng, hiển thị dữ liệu thô của gói tin dưới dạng thập lục phân (hex).

Giao diện chính của Wireshark — Ba thành phần chính của giao diện phân tích Wireshark

Hướng dẫn sử dụng tính năng lọc và phân tích

Cách lọc các gói tin

Khi có hàng nghìn gói tin, bộ lọc là công cụ quan trọng nhất. Wireshark có hai loại bộ lọc:

Capture Filters: Lọc ngay khi bắt gói tin (ít tốn tài nguyên hơn). Cú pháp: host 192.168.1.1, port 80.
Display Filters: Lọc trên các gói tin đã bắt được (linh hoạt hơn). Nhập trực tiếp vào thanh Filter ở phía trên.
- Lọc theo IP: ip.addr == 1.1.1.1
- Lọc theo giao thức: dns hoặc http
- Lọc theo cổng: tcp.port == 443

Cách lọc các gói tin — Sử dụng Display Filter để nhanh chóng tìm thấy các gói tin cần thiết.

Một tính năng cực kỳ hữu ích là Follow TCP Stream. Chuột phải vào một gói tin TCP và chọn Follow -> TCP Stream để xem toàn bộ nội dung cuộc hội thoại giữa client và server.