Cách cài đặt và sử dụng Wireshark trên Ubuntu 20.04 LTS

Tác giả NetworkEngineer, T.M.Một 01, 2021, 10:43:31 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cách cài đặt và sử dụng Wireshark trên Ubuntu 20.04 LTS


Wireshark là một công cụ phân tích giao thức mạng mã nguồn mở không thể thiếu để quản trị và bảo mật hệ thống. Nó đào sâu và hiển thị dữ liệu di chuyển trên mạng.

Wireshark cho phép bạn nắm bắt các gói mạng trực tiếp hoặc lưu nó để phân tích ngoại tuyến.

Một trong những tính năng của Wireshark mà bạn sẽ thích tìm hiểu là bộ lọc hiển thị cho phép bạn chỉ kiểm tra lưu lượng truy cập mà bạn thực sự quan tâm. Wireshark có sẵn cho nhiều nền tảng khác nhau bao gồm Windows, Linux, MacOS, FreeBSD và một số nền tảng khác.

Một số tác vụ người dùng có thể thực hiện với Wireshark là:

  • Nắm bắt và tìm kiếm lưu lượng truy cập qua mạng của bạn
  • Kiểm tra hàng trăm giao thức khác nhau
  • Nắm bắt trực tiếp lưu lượng truy cập / phân tích ngoại tuyến
  • Khắc phục sự cố gói bị rớt gói và các vấn đề về độ trễ
  • Xem xét các nỗ lực tấn công hoặc các hoạt động độc hại

Trong bài viết này, mình sẽ giải thích cách cài đặt Wireshark trên hệ thống Ubuntu. Quy trình cài đặt đã được thử nghiệm trên Ubuntu 20.04 LTS.

  • Mình sẽ sử dụng Terminal dòng lệnh cho quy trình cài đặt. Bạn có thể khởi chạy Terminal thông qua phím tắt Ctrl + Alt + T.
  • Bạn phải là người dùng root hoặc có quyền sudo để cài đặt và sử dụng Wireshark để thu thập dữ liệu trên hệ thống của bạn.

1. Cài đặt Wireshark

Để cài đặt Wireshark, bạn sẽ cần thêm kho lưu trữ "Universe". Đưa ra lệnh sau trong Terminal để làm như vậy:

Mã nguồn [Chọn]
$ sudo add-apt-repository universe
Bây giờ, hãy chạy lệnh sau trong Terminal để cài đặt Wireshark trên hệ thống của bạn:

Mã nguồn [Chọn]
$ sudo apt install Wireshark
Khi được nhắc nhập mật khẩu, hãy nhập mật khẩu sudo.


Sau khi chạy lệnh trên, bạn có thể được yêu cầu xác nhận, nhấn y, rồi nhấn Enter, sau đó quá trình cài đặt Wireshark sẽ được bắt đầu trong hệ thống của bạn.

Trong quá trình cài đặt Wireshark, cửa sổ sau sẽ xuất hiện hỏi bạn xem bạn có muốn cho phép những người dùng bình thường nắm bắt các gói tin hay không. Việc kích hoạt nó có thể là một rủi ro bảo mật, vì vậy tốt hơn là bạn nên tắt nó và nhấn Enter


Sau khi cài đặt xong Wireshark, bạn có thể xác minh nó bằng lệnh sau trong Terminal:

Mã nguồn [Chọn]
$ wireshark --version
Nếu Wireshark đã cài đặt thành công, bạn sẽ có một kết quả tương tự hiển thị phiên bản Wireshark đã cài đặt.


2. Khởi chạy Wireshark

Bây giờ bạn đã sẵn sàng khởi chạy và sử dụng Wireshark trên máy Ubuntu của mình. Để khởi chạy Wireshark, hãy sử dụng lệnh sau trong Terminal:

Mã nguồn [Chọn]
$ sudo Wirehark
Nếu bạn đã đăng nhập với tư cách là người dùng root, bạn cũng có thể khởi chạy Wireshark dưới dạng GUI. Gõ Wirehark vào thanh tìm kiếm. Khi biểu tượng Wireshark xuất hiện, hãy nhấp vào biểu tượng đó để khởi chạy.


Hãy nhớ rằng bạn sẽ không thể nắm bắt lưu lượng mạng nếu khởi chạy Wireshark mà không có quyền root hoặc sudo.

Khi Wireshark mở, bạn sẽ thấy chế độ xem mặc định sau:


3. Sử dụng Wireshark

Wireshark là một công cụ mạnh mẽ với nhiều tính năng. Ở đây chúng ta sẽ chỉ tìm hiểu cơ bản về hai tính năng quan trọng đó là: bắt gói và bộ lọc hiển thị.

3.1. Bắt gói tin.

Để nắm bắt các gói tin bằng Wireshark, hãy làm theo các bước đơn giản dưới đây:

Từ danh sách các giao diện mạng có sẵn trong cửa sổ Wireshark, chọn giao diện mạng mà bạn muốn bắt các gói tin.

Từ thanh công cụ ở trên cùng, nhấp vào nút bắt đầu để bắt đầu bắt các gói tin trên giao diện mạng đã chọn như thể hiện trong ảnh chụp màn hình sau.


Nếu hiện tại không có lưu lượng truy cập, thì bạn có thể tạo ra một số lưu lượng truy cập bằng cách truy cập bất kỳ trang web nào hoặc bằng cách truy cập tập tin được chia sẻ trên mạng. Sau đó, bạn sẽ thấy các gói đã bắt được hiển thị trong thời gian thực.

Để dừng bắt các gói tin, hãy nhấp vào nút dừng như được hiển thị trong ảnh chụp màn hình sau.


Trong ảnh chụp màn hình ở trên, bạn có thể thấy Wireshark được chia thành ba ngăn:

  • Bảng điều khiển trên cùng tất cả các gói được Wireshark bắt.
  • Ngăn giữa hiển thị chi tiết tiêu đề gói cho mỗi gói đã chọn.
  • Ngăn thứ ba hiển thị dữ liệu thô của mỗi gói được chọn.

3.2. Bộ lọc hiển thị.

Như bạn đã thấy trong ảnh chụp màn hình ở trên, Wireshark hiển thị một số lượng lớn các gói cho hoạt động mạng đơn lẻ. Trong một mạng bình thường, có hàng nghìn gói tin truyền qua lại trên mạng của bạn. Rất khó để tìm thấy một dạng gói cụ thể trong hàng nghìn gói được bắt. Ở đây có tính năng lọc hiển thị của Wireshark.

Với bộ lọc hiển thị Wireshark, bạn chỉ có thể hiển thị các loại gói tin mà bạn đang tìm kiếm. Bằng cách này, nó thu hẹp kết quả và giúp bạn dễ dàng tìm thấy những gì bạn đang tìm kiếm. Bạn có thể lọc kết quả dựa trên giao thức, địa chỉ IP nguồn và đích, số cổng và một số khác.

Wireshark có rất nhiều bộ lọc được xác định trước mà bạn có thể sử dụng. Khi bạn bắt đầu nhập tên bộ lọc, Wireshark sẽ giúp bạn tự động hoàn thành nó bằng cách đề xuất tên. Để chỉ hiển thị các gói chứa một giao thức cụ thể, hãy nhập tên giao thức vào trường "Apply a display filter" dưới thanh công cụ.

Ví dụ: Để chỉ hiển thị các gói TCP từ tất cả các gói đã bắt được, hãy nhập tcp. Sau khi nhập tên bộ lọc, bạn sẽ chỉ thấy các gói TCP.


Đó là cách bạn có thể cài đặt và sử dụng Wireshark trên hệ thống Ubuntu 20.04 LTS. Chúng ta vừa thảo luận về những điều cơ bản của công cụ Wireshark. Để nắm chắc Wireshark, bạn cần phải xem qua tất cả các tính năng và thử nghiệm với chúng.

Các chủ đề tương tự (10)

48964

Trả lời: 0
Lượt xem: 2497