Phân Tích Lưu Lượng Mạng Với Wireshark 2024

Trong bối cảnh công nghệ ngày càng phát triển, việc đảm bảo an toàn và hiệu quả của hệ thống mạng trở nên vô cùng quan trọng đối với các doanh nghiệp như VPSTTT. Phân tích lưu lượng mạng đóng vai trò thiết yếu trong việc giám sát, phát hiện và khắc phục sự cố mạng, giúp duy trì tính ổn định và bảo mật của hạ tầng mạng.

Với các tính năng mạnh mẽ và khả năng giám sát sâu, Wireshark đã trở thành công cụ hàng đầu trong việc phân tích lưu lượng mạng, hỗ trợ VPSTTT không chỉ đảm bảo hiệu quả vận hành mà còn phát hiện sớm các nguy cơ tiềm ẩn, góp phần bảo vệ hệ thống và nâng cao trải nghiệm cho khách hàng.

Giới thiệu về Wireshark

 

1.Wireshark là gì?

Wireshark là công cụ phân tích mạng mã nguồn mở phổ biến, cho phép giám sát và phân tích lưu lượng mạng theo thời gian thực.

2.Lợi ích khi sử dụng Wireshark

  • Phát hiện và khắc phục sự cố: Giúp xác định và xử lý các vấn đề như độ trễ và mất gói.
  • Phân tích hiệu suất và bảo mật: Theo dõi băng thông, tối ưu hiệu suất và phát hiện hoạt động bất thường.
  • Hỗ trợ giảng dạy và nghiên cứu: Công cụ hữu ích trong đào tạo và thực hành phân tích mạng.

Cách cài đặt và giao diện của Wireshark

 

1. Hướng dẫn cài đặt

  • Tải và cài đặt: Tải Wireshark từ trang chủ (https://www.wireshark.org).
  • Cài đặt trên Windows: Mở file cài đặt, cài thêm WinPcap (hoặc npcap) để hỗ trợ.
  • Cài đặt trên macOS: Dùng file .dmg, kéo vào Applications.
  • Cài đặt trên Linux: Sử dụng lệnh sudo apt install wireshark.

2. Giới thiệu giao diện chính

  • Thanh menu: Chứa các tùy chọn điều hướng.
  • Thanh công cụ: Nút bắt đầu/dừng chụp và bộ lọc.
  • Cửa sổ gói tin: Hiển thị danh sách gói tin.
  • Chi tiết gói tin: Hiển thị nội dung chi tiết gói tin đã chọn.

phân tích

Bắt và phân tích gói tin cơ bản với Wireshark

1. Khởi động phiên bắt gói tin

  • Bắt đầu và dừng phiên:
    • Chọn giao diện mạng trong Wireshark (Ethernet, Wi-Fi), nhấn Start để bắt đầu, và Stop để dừng.
  • Lưu và mở file:
    • Sau khi dừng, lưu lại file dưới dạng .pcap hoặc .pcapng bằng File > Save As. Để mở lại, vào File > Open.

2. Cấu trúc gói tin trong Wireshark

  • Danh sách gói tin: Hiển thị gói tin đã bắt được.
  • Chi tiết gói tin: Hiển thị cấu trúc chi tiết của từng gói tin theo các lớp trong mô hình OSI (Liên kết dữ liệu, Mạng, Giao vận).
  • Dữ liệu gói tin: Dữ liệu dạng nhị phân của gói tin.

3. Thông tin quan trọng trong gói tin

  • Địa chỉ MAC: Ở lớp 2, địa chỉ của thiết bị trên mạng cục bộ.
  • Địa chỉ IP: Ở lớp 3, địa chỉ logic của thiết bị trên mạng.
  • Cổng (Port): Ở lớp 4, định danh dịch vụ (VD: cổng 80 cho HTTP).

4. Các loại gói tin phổ biến

  • TCP: Giao thức truyền dữ liệu có kiểm tra.
  • UDP: Giao thức truyền nhanh, không đảm bảo độ tin cậy.
  • ICMP: Giao thức kiểm tra kết nối (ping).
  • DNS: Dùng để phân giải tên miền thành địa chỉ IP.

Sử dụng bộ lọc trong Wireshark để phân tích lưu lượng

1. Bộ lọc bắt gói tin (Capture Filter)

  • Dùng để lọc gói tin trước khi bắt.
  • Ví dụ:
    • Lọc IP: host 192.168.1.1
    • Lọc TCP hoặc UDP: tcp hoặc udp
    • Lọc dải IP: net 192.168.1.0/24

2. Bộ lọc hiển thị (Display Filter)

  • Lọc các gói tin đã bắt để dễ phân tích.
  • Ví dụ:
    • Theo IP:ip.addr == 192.168.1.1
    • Theo cổng: tcp.port == 80 (HTTP)
    • Theo giao thức DNS: dns

3. Biểu thức nâng cao

  • Sử dụng toán tử logic:
    • : &&, HOẶC : ||, KHÔNG :!
  • Ví dụ:
    • Lọc TCP từ IP cụ thể: tcp && ip.src == 192.168.1.1
    • Lọc HTTP hoặc HTTPS: (tcp.port == 80) || (tcp.port == 443)

Phân tích các giao thức phổ biến với Wireshark

phân tích

1. Phân tích TCP/UDP

  • Lọc TCP/UDP: tcp hoặc udp.
  • Cờ TCP: SYN (yêu cầu kết nối), ACK (xác nhận), FIN (kết thúc).

2. Phân tích HTTP/HTTPS

  • HTTP :tcp.port == 80
  • HTTPS: tcp.port == 443 (chỉ thấy thông tin cơ bản vì dữ liệu mã hóa).

3. Phân tích DNS

  • Lọc DNS: dns.
  • Xem truy vấn và phản hồi: Hiển thị tên miền được phân giải.

4. Phân tích ARP và ICMP

  • ARP: arp – phân giải IP thành MAC.
  • ICMP: icmp – lệnh ping để kiểm tra kết nối.

Xử lý và tìm nguyên nhân các sự cố mạng phổ biến

1. Chẩn đoán vấn đề kết nối

  • Mất kết nối hoặc kết nối chậm: Kiểm tra gói tin bị thất lạc (lost packets) hoặc trễ (latency) cao.
  • Retransmission và Latency: Dùng bộ lọc để xác định các gói tin được gửi lại hoặc bị trễ, có thể dùng tcp.analysis.retransmission.

2. Phân tích sự cố bảo mật

  • Phát hiện lưu lượng bất thường: Kiểm tra các gói tin có lưu lượng cao bất thường, dùng bộ lọc ip.addr == [IP address] để xác định nguồn.
  • Phân tích các cuộc tấn công:
    • DoS: Lưu lượng TCP/UDP bất thường hoặc quá tải.
    • MITM: Kiểm tra gói tin lạ giữa hai thiết bị hợp lệ.

3. Vấn đề DNS và DHCP

  • DNS: Sử dụng bộ lọc dns để xem các truy vấn không có phản hồi.
  • DHCP: Lọc với bootp để kiểm tra các gói tin liên quan đến cấp phát địa chỉ IP từ máy chủ DHCP.

Lưu ý khi sử dụng Wireshark

  • Lưu ý về bảo mật khi sử dụng Wireshark (không nên bắt gói tin trên mạng công cộng hoặc mạng không phải của mình).
  • Các kỹ thuật nâng cao và hướng đi tiếp theo:
    • Kỹ thuật phân tích nâng cao như sử dụng biểu đồ đồ thị trong Wireshark.
    • Các công cụ khác hỗ trợ cho phân tích mạng

Phân Tích Lưu Lượng Mạng Với Wireshark 2024

Phân tích lưu lượng mạng bằng Wireshark giúp VPSTTT kiểm soát, bảo mật và tối ưu hóa mạng một cách hiệu quả. Nhờ Wireshark, công ty có thể nhanh chóng xử lý sự cố, phát hiện các mối đe dọa, và duy trì sự ổn định cho hệ thống mạng. Đây là công cụ hỗ trợ đắc lực giúp VPSTTT tăng cường khả năng bảo mật và đảm bảo hiệu suất mạng cao, góp phần phát triển bền vững.

Ảnh bìa (97)