Tin tức

Wireshark là gì? Hướng dẫn cài đặt chi tiết Wireshark trên Windows

Posted on by Admin

Trong an ninh mạng, việc theo dõi và phân tích lưu lượng dữ liệu vô cùng quan trọng để đảm bảo hiệu quả vận hành và bảo mật hệ thống. Một trong những công cụ mạnh mẽ và phổ biến nhất hỗ trợ công việc này chính là Wireshark. Đây là phần mềm miễn phí, mã nguồn mở, cho phép người dùng bắt và phân tích các gói tin mạng theo thời gian thực với độ chi tiết cao. Sau đây, DCI SHOP sẽ giúp bạn tìm hiểu Wireshark là gì và hướng dẫn chi tiết cách cài đặt Wireshark trên hệ điều hành Windows dành cho người mới bắt đầu.

wireshark-2.jpg

Wireshark là gì? 

Wireshark là một phần mềm phân tích mạng mã nguồn mở, có thể nắm bắt và hiển thị chi tiết thời gian thực của lưu lượng mạng. Wireshark được sử dụng để khắc phục sự cố mạng, phân tích các giao thức mạng và đảm bảo an ninh mạng.

Mạng phải được giám sát để đảm bảo hoạt động trơn tru và bảo mật. Wireshark là một trong những công cụ có thể cung cấp cái nhìn chuyên sâu về các hoạt động mạng, chẩn đoán các vấn đề về hiệu suất mạng hoặc xác định các mối đe dọa bảo mật tiềm ẩn. Wireshark được sử dụng phổ biến với các tổ chức học thuật, cơ quan chính phủ, tập đoàn và tổ chức phi lợi nhuận,

Wireshark hoàn toàn miễn phí và mã nguồn mở. Tên gốc của Wireshark là Ethereal, đã được đổi vào năm 2006 do một số vấn đề bản quyền của công ty. Phần mềm này được viết bằng C và C++ và được phát hành bản đầu tiên vào năm 1998. Bản phát hành mới nhất của Wireshark là 3.6.0 được phát hành vào ngày 22 tháng 11 năm 2021. Wireshark là phần mềm đa nền tảng, có thể chạy trên Linux, Windows, Mac và bất kỳ hệ điều hành nào khác. 

wireshark-3.jpg

Mục tiêu của Wireshark trong an ninh mạng

Wireshark đóng vai trò quan trọng trong an ninh mạng bằng cách cung cấp cho các nhà phân tích mạng và chuyên gia bảo mật một công cụ mạnh mẽ để phân tích lưu lượng mạng và phát hiện các mối đe dọa bảo mật tiềm ẩn. Sau đây là một số mục đích chính của Wireshark trong an ninh mạng:

  • Phân tích lưu lượng mạng: Wireshark cho phép các nhà phân tích bảo mật nắm bắt và kiểm tra lưu lượng mạng theo thời gian thực hoặc từ các tệp gói tin đã nắm bắt. 
  • Phát hiện và ngăn chặn xâm nhập: Wireshark giúp xác định các hành vi xâm nhập tiềm ẩn hoặc hoạt động độc hại trên mạng bằng cách phân tích dữ liệu gói tin, các chuyên gia bảo mật có thể phát hiện dấu hiệu của các kỹ thuật tấn công phổ biến như quét cổng, thăm dò mạng…
  • Phân tích phần mềm độc hại: Wireshark hỗ trợ phân tích phần mềm độc hại trên mạng bằng cách thu thập và phân tích các gói tin liên quan đến hoạt động của phần mềm độc hại. 
  • Network Forensics: Wireshark cho phép các nhà quản trị tái tạo các phiên mạng, kiểm tra chi tiết cấp gói tin và theo dõi các hoạt động dẫn đến sự cố bảo mật hoặc vi phạm dữ liệu.
  • Phân tích lỗ hổng: Wireshark giúp xác định lỗ hổng trong các hệ thống mạng bằng cách kiểm tra lưu lượng mạng, các nhà phân tích có thể xác định các cấu hình có khả năng gây rủi ro, cơ chế xác thực yếu, truyền dữ liệu không được mã hóa hoặc các điểm yếu bảo mật khác. 
  • Giám sát bảo mật và ứng phó sự cố: Wireshark có thể được sử dụng như một phần của cơ sở hạ tầng giám sát bảo mật để thu thập và phân tích lưu lượng mạng liên tục. 

Cách hoạt động của Wireshark

Công cụ Wireshark thu thập lưu lượng mạng, giải mã các gói tin và trình bày dữ liệu thô ở định dạng có thể đọc được để phân tích. Wireshark sử dụng trình điều khiển gói WinPcap trên Windows để bắt các gói và sau đó sử dụng bộ lọc hiển thị để chuyển đổi dữ liệu đã bắt thành định dạng có thể sử dụng được. Dưới đây là 4 bước hoạt động cơ bản của Wireshark. 

Thu thập:

  • Thu thập các gói dữ liệu thô từ nhiều giao diện mạng khác nhau như Ethernet, Wi-Fi và VPN. 
  • Chặn lưu lượng truy cập trên một giao diện mạng được chỉ định, bất kể giao diện đó có ở chế độ hỗn tạp (đọc toàn bộ lưu lượng truy cập) hay không. 
  • Có thể thu thập lưu lượng từ nhiều loại kết nối khác nhau, bao gồm Ethernet, Bluetooth, Wireless…

Giải mã và phân tích:

  • Giải mã các gói tin, tiết lộ các giao thức mạng cơ bản như TCP, UDP, HTTP…
  • Phân tích cấu trúc của các gói tin, kiểm tra tiêu đề, nội dung và các thông tin liên quan khác. 
  • Cung cấp màn hình hiển thị chi tiết các gói tin đã thu được, bao gồm thông tin khung, chi tiết Ethernet, địa chỉ IP và dữ liệu cụ thể của giao thức. 

wireshark-4.jpg

Lọc và Hiển thị:

  • Cho phép người dùng lọc các gói tin đã thu được, tập trung vào các loại lưu lượng, giao thức hoặc địa chỉ IP cụ thể. 
  • Cung cấp các bộ lọc hiển thị để chuyển đổi dữ liệu thô sang định dạng mà con người có thể đọc được, giúp xác định các sự cố mạng hoặc phân tích các mẫu giao tiếp dễ dàng hơn. 
  • Người dùng có thể kiểm tra thông tin chi tiết về lưu lượng ở nhiều cấp độ khác nhau, từ thông tin cấp độ kết nối đến các bit trong một gói tin duy nhất. 

Xuất và Lưu:

  • Cho phép người dùng lưu dữ liệu đã thu thập được theo định dạng tệp tin thu thập được, phân tích ngoại tuyến và kiểm tra thêm. 

Tính năng của Wireshark 

Wireshark là một công cụ phân tích giao thức mạng được sử dụng rộng rãi trong giới chuyên gia bảo mật và quản trị hệ thống với  tính năng nổi bật như:

  • Bắt và phân tích gói tin: Wireshark cho phép người dùng thu thập lưu lượng mạng theo thời gian thực hoặc mở và phân tích lại các tệp gói tin đã được ghi trước đó. Mỗi gói tin đều được hiển thị một cách chi tiết gồm địa chỉ IP nguồn và đích, loại giao thức, thông tin tiêu đề và cả dữ liệu tải bên trong. Người dùng có thể dễ dàng theo dõi hoạt động mạng, từ đó xác định các điểm bất thường hoặc phát hiện các địa chỉ IP đáng ngờ.
  • Phân tích giao thức chuyên sâu: Wireshark hỗ trợ giải mã và phân tích hàng trăm giao thức mạng khác nhau như TCP, UDP, HTTP, HTTPS, DNS, FTP,… Công cụ cho phép kiểm tra cấu trúc từng lớp trong mô hình OSI, giúp chuyên gia an ninh mạng nắm rõ dữ liệu đang truyền đi và kịp thời phát hiện các hành vi bất thường.
  • Bộ lọc tìm kiếm linh hoạt: Một trong những thế mạnh của Wireshark là khả năng lọc dữ liệu theo nhiều tiêu chí như địa chỉ IP, loại giao thức, cổng mạng, chuỗi văn bản,…Từ đó, người dùng có thể nhanh chóng tập trung vào những gói tin quan trọng, giúp xác định các hành vi đáng ngờ, hoạt động độc hại hay các sự kiện liên quan đến tấn công mạng.
  • Thống kê và trực quan hóa lưu lượng: Wireshark cung cấp công cụ thống kê và phân tích lưu lượng chi tiết, cho phép theo dõi các chỉ số như tốc độ truyền dữ liệu, tỷ lệ mất gói, độ trễ,… 
  • Hỗ trợ xử lý sự cố và điều tra bảo mật: Wireshark hỗ trợ chẩn đoán lỗi mạng và điều tra các sự cố bảo mật. Khi xảy ra tấn công mạng hoặc bất thường trong hoạt động hệ thống, các chuyên gia có thể phân tích lại lưu lượng đã ghi để tìm ra nguyên nhân, truy vết hành vi của kẻ tấn công hoặc khôi phục lại chuỗi sự kiện xảy ra.
  • Chia sẻ và cộng tác dễ dàng: Wireshark cho phép người dùng lưu lại phiên bắt gói tin dưới dạng tệp .pcap, thuận tiện cho việc chia sẻ và phân tích trong nhóm. 
  • Khả năng mở rộng và tùy chỉnh linh hoạt: Wireshark hỗ trợ plugin và các trình phân tích tùy chỉnh, cho phép người dùng mở rộng chức năng theo nhu cầu cụ thể. Các tổ chức và chuyên gia có thể dễ dàng tích hợp Wireshark vào hệ thống giám sát hoặc phát triển các công cụ chuyên biệt phù hợp với từng môi trường mạng khác nhau.

Hướng dẫn cài đặt Wireshark trên Windows

Để cài đặt Wireshark trên Windows, bạn cần thực hiện lần lượt các bước sau đây: 

Bước 1: Truy cập vào trang chủ chính thức của Wireshark tại địa chỉ: https://www.wireshark.org/
Nhấn Download và chọn phiên bản phù hợp với hệ điều hành Windows của bạn (64-bit hoặc 32-bit).

wireshark-5.jpg

Bước 2: Sau khi tải xuống, tìm tệp cài đặt trong thư mục Tải xuống của bạn. Nhấp đúp vào tệp để bắt đầu quá trình cài đặt. Khi được yêu cầu cấp quyền thay đổi hệ thống, nhấn Yes.

wireshark-6.jpg

Bước 3: Màn hình thiết lập sẽ xuất hiện, nhấp Next.

wireshark-7.jpg

Bước 4: Màn hình hiển thị License Agreement (Thỏa thuận cấp phép). Chọn Noted.

wireshark-8.jpg

Bước 5: Màn hình kế tiếp sẽ liệt kê các thành phần sẽ được cài đặt. Mặc định tất cả các thành phần cần thiết đã được chọn. Nhấn Next.

wireshark-9.jpg

Bước 6: Tại bước này, bạn có thể lựa chọn tạo các biểu tượng phím tắt (trên desktop, menu Start, liên kết với các định dạng tệp). Nên tích chọn tất cả các ô, sau đó nhấn Next.

wireshark-10.jpg

Bước 7: Bạn hãy chọn ổ đĩa có đủ dung lượng bộ nhớ để cài đặt. Bạn có thể thay đổi vị trí cài đặt sang ổ khác có dung lượng trống tối thiểu 223.4 MB.

wireshark-11.jpg

Bước 8: Wireshark yêu cầu Npcap, một công cụ hỗ trợ bắt gói tin. Mặc định tùy chọn cài đặt Npcap đã được chọn, nhấn Next.

wireshark-12.jpg

Bước 9: Bạn có thể chọn hoặc bỏ chọn tính năng truyền lưu lượng qua USB. Nhấn Install để bắt đầu quá trình cài đặt.

wireshark-13.jpg

Bước 10: Vì bạn đã chọn cài đặt Npcap nên thỏa thuận cấp phép của Npcap sẽ xuất hiện. Sau đó chọn I Agree.

wireshark-14.jpg

Bước 11: Sau khi Npcap được cài đặt xong, bạn sẽ trở lại trình cài đặt Wireshark. Nhấn Next và sau đó chọn Finish để hoàn tất quá trình cài đặt.

wireshark-15.jpg

Kết bài

Wireshark là một công cụ phân tích mạng mạnh mẽ, hỗ trợ người dùng theo dõi, kiểm tra và xử lý lưu lượng dữ liệu trong hệ thống một cách hiệu quả. Với những tính năng ưu việt và giao diện trực quan, phần mềm phù hợp với cả người mới bắt đầu lẫn các chuyên gia công nghệ. Qua hướng dẫn chi tiết của DCI SHOP, hy vọng bạn có thể tự cài đặt và bắt đầu sử dụng Wireshark trên Windows để phục vụ cho công việc học tập, nghiên cứu hoặc quản trị hệ thống mạng.