Tìm hiểu cách sử dụng phần mềm Wireshark để phân tích các gói tin ARP, giúp bạn kiểm tra và khắc phục sự cố mạng hiệu quả. Chi tiết ngay sau đây.
Wireshark là một phần mềm ứng dụng dùng để bắt (capture), phân tích và xác định các vấn đề liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy cập bất thường. Phần mềm này cho phép quản trị viên hiểu sâu hơn các Network Packets đang chạy trên hệ thống, qua đó dễ dàng xác định các nguyên nhân chính xác gây ra lỗi. Cùng tìm hiểu chi tiết về cách sử dụng phần mềm Wireshark để lọc dữ liệu ARP trong bài viết dưới đây nhé.
1. Phần mềm Wireshark dùng để làm gì ?
Wireshark là một phần mềm dùng để phân tích và giám sát lưu lượng mạng. Dưới đây là một số chức năng chính của Wireshark:
- Phân tích Gói Tin: Wireshark cho phép bạn theo dõi và phân tích từng gói tin dữ liệu trên mạng. Bạn có thể xem các thông tin chi tiết như nguồn, đích, loại gói tin, dữ liệu payload và nhiều thông tin khác.
- Đánh giá Hiệu suất Mạng: Wireshark cung cấp thông tin về thời gian phản hồi (response time), độ trễ (latency), và các thống kê khác, giúp đánh giá hiệu suất của mạng.
- Phân tích Giao thức: Wireshark hỗ trợ nhiều giao thức mạng khác nhau. Bạn có thể xem và phân tích giao thức HTTP, TCP, UDP, IP, DNS, và nhiều giao thức khác.
- Điều tra Vấn đề Mạng: Khi xảy ra vấn đề mạng, Wireshark là một công cụ mạnh mẽ để phân tích và xác định nguyên nhân của sự cố.
2. Hướng dẫn sử dụng cơ bản phần mềm Wireshark
Nếu muốn bắt gói tin trong mạng wifi, hãy double click vào “Wi-Fi” (hoặc “Wireless Interface”). Ngoài ra, chúng ta cũng có thể thiết lập các biểu thứ ở phần “…using this filter” để lọc và capture những packet chỉ định khi thỏa mãn yêu cầu.
Nếu chế độ Promiscuous được enable (theo mặc định), ta cũng có thể xem tất cả các packet khác trên mạng thay vì chỉ các packet được gửi đến network adapter của mình.
Để kiểm tra chế độ Promiscuous, click vào Capture > Options và kiểm tra xem hộp “Enable promiscuous mode on all interfaces” có được kích hoạt chưa (nằm ở dưới cùng của cửa sổ).
Click vào nút “Stop” màu đỏ (ở góc trên bên trái của cửa sổ – hoặc chọn “Capture > Stop”) nếu muốn dừng việc capture lại.
Giao diện chính của Wireshark được chia thành 3 phần:
- Packet List: Chứa danh sách toàn bộ packet của file capture hiện tại. Nó thể hiện số thứ tự của gói tin, thời gian mà mà gói tin được bắt, source và destination IP, protocol của packet, chiều dài gói tin và các thông tin tổng quan khác.
- Packet Details: Khi bạn chọn một gói tin ở phần Packet List, thông tin chi tiết của gói tin sẽ được thể hiện ở phần Packet Detail. Các thông tin chi tiết có thể được collapsed hoặc expanded bằng cách click vào mũi tên hình tam giác ở đầu dòng.
- Packet Bytes: Thể hiện packet ở định dạng raw dưới dạng hex hoặc binary. Thể hiện cách mà packet được truyền trên đường truyền.
- Mở gói tin và lưu gói tin
- Để mở gói tin bằng Wireshark, chọn “File > Open” và tìm đến đường dẫn của file cần mở.
- Để lưu gói tin đã capture, click vào “File > Save”, sau đó chọn đường dẫn để lưu trữ, đặt tên cho file capture và định dạng sẽ lưu.
- Cách color coding trong Wireshark
- Màu tím nhạt: Đại diện cho lưu lượng TCP.
- Màu xanh dương nhạt: Biểu thị lưu lượng UDP.
- Màu đen: Chỉ các gói tin có lỗi.
Để hiểu rõ hơn về ý nghĩa cụ thể của từng màu, bạn có thể truy cập mục View > Coloring Rules trong phần mềm Wireshark. Ngoài ra, người dùng cũng có khả năng tự tùy chỉnh màu sắc theo ý muốn cá nhân thông qua cách thức Color Coding trong Wireshark.
3. Giao thức ARP ( Address Resolution Protocol )
ARP (Address Resolution Protocol) là giao thức mạng được dùng để tìm địa chỉ phần cứng (địa chỉ MAC) của thiết bị từ một địa chỉ IP. ARP đã được thực hiện với nhiều kết hợp của công nghệ mạng và tầng liên kết dữ liệu, như IPv4, ChaosNet.
- Tồn tại 2 kiểu địa chỉ:
- Địa chỉ IP ở tầng Mạng
- Địa chỉ MAC ở tầng DataLink
4. Cấu trúc gói tin ARP
Kích thước bản tin ARP là 28 byte, được đóng gói trong Frame Ethernet II nên trong mô hình OSI.
Các thành phần chính bao gồm địa chỉ IP, địa chỉ MAC, ARP request message và ARP reply message:
- ARP Cache: Sau khi phân giải địa chỉ MAC, ARP sẽ lưu trữ địa chỉ IP, địa chỉ MAC của các thiết bị nguồn đích để phục vụ cho các kết nối trong tương lai.
- ARP Cache Timeout: Thời gian mà dữ liệu địa chỉ MAC tồn tại trong bộ nhớ cache ARP.
- ARP request: Gửi yêu cầu truyền một gói tin từ máy nguồn để tìm địa chỉ MAC của máy nhận.
- ARP response/reply: Phản hồi địa chỉ MAC từ thiết bị đích về thiết bị nguồn.
Một gói tin Request hay Reply đều gồm 4 thành phần chính như:
- Sender Hardware Address: Địa chỉ lớp hai của thiết bị gửi bản tin.
- Sender Protocol Address: Địa chỉ lớp ba của thiết bị gửi bản tin.
- Target Hardware Address: Địa chỉ lớp hai (hay địa chỉ phần cứng - MAC) của thiết bị đích nhận gói tin.
- Target Protocol Address: Địa chỉ lớp ba (hay địa chỉ logic) của thiết bị đích nhận gói tin.
Hai gói tin trong ARP hoạt động như sau:
ARP Request |
ARP Reply |
Là gói tin mà máy gửi gửi broadcast để tìm địa chỉ MAC của máy nhận. |
Là gói tin mà máy nhận sau khi nhận được ARP request sẽ đóng gói lại MAC của mình và gửi gói tin reply về cho máy gửi. |
Là gói tin Broadcast |
Là gói tin Unicast |
Nội dung : tìm địa chỉ MAC của một địa chỉ IP |
Nội dung : thông tin địa chỉ MAC của địa chỉ IP tương ứng |
5. Sử dụng Filter trong phần mềm wireshark
Các cơ bản nhất để áp dụng Filter là nhập thông tin vào Filter sau đó ấn apply hoặc Enter Ví dụ gõ ARP thì ta chỉ nhìn thấy các gói tin ARP.
Ngoài ra, người dùng cũng cũng có thể nhấp vào Analyze > Display Filters để tiến hành chọn bộ lọc phù hợp nhất trong số các bộ lọc mặc định mà Wireshark có. Ngoài ra, chúng ta cũng có thể thêm bộ lọc của riêng mình và lưu chúng lại để dễ dàng truy cập khi cần.
Sau khi đóng cửa sổ chúng ta sẽ thấy một bộ lọc của Wireshark đã được áp dụng tự động. Ứng dụng sẽ hiển thị cho chúng ta thấy các gói tạo nên cuộc trò chuyện.
6. Phân tích gói tin ARP bằng phần mềm Wireshark
Như bạn thấy dòng 789 máy tính cá nhân mang IP 192.168.68.1 đã gửi một ARP Request và muốn hỏi xem IP 192.168.68.215 là của thiết bị nào.
- Số 1 là mã code ở đây là request
- Số 2 là MAC/IP của máy gửi
- số 3 là MAC/IP của máy nhận
Và ngay sau đó ở dòng 790 thiết bị có IP 192.168.68.25 đã trả lời lại bằng một gói tin ARP Reply cho máy gửi kèm theo địa chỉ MAC của địa chỉ IP 192.168.68.25
- Opcode Mã code ở đây là Reply
- Sender : MAC/IP máy gửi: 9c:fc:e8:89:1a:20/192.168.68.215
- Target : MAC/IP máy nhận: 74:4d:28:a8:fb:57/192.168.68.1
Kết luận
Hy vọng qua bài viết bạn đã có thể thực hiện thao tác lọc gói tin trong phần mềm Wireshark. Quá trình chọn lọc các gói tin mạng dựa trên các tiêu chí nhất định, giúp người dùng tập trung vào những thông tin quan trọng và giảm bớt dữ liệu không cần thiết. Trong quá trình thực hiện của mình gặp phải vướng mắc chưa thể giải quyết, đừng ngần ngại hãy liên hệ với chúng tôi để được tư vấn nhanh nhất nhé.