Hướng dẫn lọc gói tin ARP và sử dụng phần mềm Wireshark

Tìm hiểu cách sử dụng phần mềm Wireshark để phân tích các gói tin ARP, giúp bạn kiểm tra và khắc phục sự cố mạng hiệu quả. Chi tiết ngay sau đây.

Wireshark là một phần mềm ứng dụng dùng để bắt (capture), phân tích và xác định các vấn đề liên quan đến network như: rớt gói tin, kết nối chậm, hoặc các truy cập bất thường. Phần mềm này cho phép quản trị viên hiểu sâu hơn các Network Packets đang chạy trên hệ thống, qua đó dễ dàng xác định các nguyên nhân chính xác gây ra lỗi. Cùng tìm hiểu chi tiết về cách sử dụng phần mềm Wireshark để lọc dữ liệu ARP trong bài viết dưới đây nhé.

Lọc gói tin với phần mềm Wireshark

1. Phần mềm Wireshark dùng để làm gì ?

Wireshark là một phần mềm dùng để phân tích vàgiám sát lưu lượng mạng. Dưới đây là một số chức năng chính của Wireshark:

  • Phân tích Gói Tin: Wireshark cho phép bạn theo dõi và phân tích từng gói tin dữ liệu trên mạng. Bạn có thể xem các thông tin chi tiết như nguồn, đích, loại gói tin, dữ liệu payload và nhiều thông tin khác.
  • Đánh giá Hiệu suất Mạng: Wireshark cung cấp thông tin về thời gian phản hồi (response time), độ trễ (latency), và các thống kê khác, giúp đánh giá hiệu suất của mạng.
  • Phân tích Giao thức: Wireshark hỗ trợ nhiều giao thức mạng khác nhau. Bạn có thể xem và phân tích giao thức HTTP, TCP, UDP, IP, DNS, và nhiều giao thức khác.
  • Điều tra Vấn đề Mạng: Khi xảy ra vấn đề mạng, Wireshark là một công cụ mạnh mẽ để phân tích và xác định nguyên nhân của sự cố.

2. Hướng dẫn sử dụng cơ bản phần mềm Wireshark

Nếu muốn bắt gói tin trong mạng wifi, hãy double click vào “Wi-Fi” (hoặc “Wireless Interface”). Ngoài ra, chúng ta cũng có thể thiết lập các biểu thứ ở phần “…using this filter” để lọc và capture những packet chỉ định khi thỏa mãn yêu cầu.

Hướng dẫn cơ bản phần mềm Wireshark 1

Nếu chế độPromiscuousđược enable (theo mặc định), ta cũng có thể xem tất cả các packet khác trên mạng thay vì chỉ các packet được gửi đếnnetwork adapter củamình.

Để kiểm tra chế độPromiscuous, click vàoCapture > Optionsvà kiểm tra xem hộp “Enable promiscuous mode on all interfaces” có được kích hoạt chưa (nằm ở dưới cùng của cửa sổ).

Click vào nút“Stop” màu đỏ (ở góc trên bên trái của cửa sổ – hoặc chọn “Capture > Stop”) nếu muốn dừng việc capture lại.

Hướng dẫn cơ bản phần mềm Wireshark 2

Giao diện chính của Wireshark được chia thành 3 phần:

  • Packet List: Chứa danh sách toàn bộ packet của file capture hiện tại. Nó thể hiện số thứ tự của gói tin, thời gian mà mà gói tin được bắt, source và destination IP, protocol của packet, chiều dài gói tin và các thông tin tổng quan khác.
  • Packet Details:Khi bạn chọn một gói tin ở phần Packet List, thông tin chi tiết của gói tin sẽ được thể hiện ở phần Packet Detail. Các thông tin chi tiết có thể được collapsed hoặc expanded bằng cách click vào mũi tên hình tam giác ở đầu dòng.
  • Packet Bytes: Thể hiện packet ở định dạng raw dưới dạng hex hoặc binary. Thể hiện cách mà packet được truyền trên đường truyền.
Hướng dẫn cơ bản phần mềm Wireshark 3
  • Mở gói tin và lưu gói tin
  • Để mở gói tin bằng Wireshark, chọn“File > Open” và tìm đến đường dẫn của file cần mở.
  • Để lưu gói tin đã capture, click vào “File > Save”, sau đó chọn đường dẫn để lưu trữ, đặt tên cho file capture và định dạng sẽ lưu.
  • Cách color coding trong Wireshark
  • Màu tím nhạt: Đại diện cho lưu lượng TCP.
  • Màu xanh dương nhạt: Biểu thị lưu lượng UDP.
  • Màu đen: Chỉ các gói tin có lỗi.

Để hiểu rõ hơn về ý nghĩa cụ thể của từng màu, bạn có thể truy cập mụcView > Coloring Rulestrong phần mềm Wireshark. Ngoài ra, người dùng cũng có khả năng tự tùy chỉnh màu sắc theo ý muốn cá nhân thông qua cách thứcColor Codingtrong Wireshark.

Hướng dẫn cơ bản phần mềm Wireshark 4

3. Giao thức ARP ( Address Resolution Protocol )

ARP(Address Resolution Protocol)là giao thức mạng được dùng để tìm địa chỉ phần cứng (địa chỉ MAC) của thiết bị từ một địa chỉ IP. ARP đã được thực hiện với nhiều kết hợp của công nghệ mạng và tầng liên kết dữ liệu, như IPv4, ChaosNet.

  • Tồn tại 2 kiểu địa chỉ:
  • Địa chỉ IP ở tầng Mạng
  • Địa chỉ MAC ở tầng DataLink

4. Cấu trúc gói tin ARP

Kích thước bản tin ARP là 28 byte, được đóng gói trongFrameEthernet II nên trong mô hình OSI.

Cấu trúc gói tin ARP

Các thành phần chính bao gồm địa chỉ IP, địa chỉ MAC, ARP request message và ARP reply message:

  • ARP Cache: Sau khi phân giải địa chỉ MAC, ARP sẽ lưu trữ địa chỉ IP, địa chỉ MAC của các thiết bị nguồn đích để phục vụ cho các kết nối trong tương lai.
  • ARP Cache Timeout: Thời gian mà dữ liệu địa chỉ MAC tồn tại trong bộ nhớ cache ARP.
  • ARP request: Gửi yêu cầu truyền một gói tin từ máy nguồn để tìm địa chỉ MAC của máy nhận.
  • ARP response/reply: Phản hồi địa chỉ MAC từ thiết bị đích về thiết bị nguồn.

Một gói tin Request hay Reply đều gồm 4 thành phần chính như:

  • Sender Hardware Address:Địa chỉ lớp hai của thiết bị gửi bản tin.
  • Sender Protocol Address:Địa chỉ lớp ba của thiết bị gửi bản tin.
  • Target Hardware Address:Địa chỉ lớp hai (hay địa chỉ phần cứng - MAC) của thiết bị đích nhận gói tin.
  • Target Protocol Address:Địa chỉ lớp ba (hay địa chỉ logic) của thiết bị đích nhận gói tin.

Hai gói tin trong ARP hoạt  động như sau:

ARP Request

ARP Reply

Là gói tin mà máy gửi gửi broadcast để tìm địa chỉ MAC của máy nhận.

Là gói tin mà máy nhận sau khi nhận được ARP request sẽ đóng gói lại MAC của mình và gửi gói tin reply về cho máy gửi.

Là gói tin Broadcast

Là gói tin Unicast

Nội dung : tìm địa chỉ MAC của một địa chỉ IP

Nội dung : thông tin địa chỉ MAC của địa chỉ IP tương ứng

5. Sử dụng Filter trong phần mềm wireshark

Các cơ bản nhất để áp dụngFilterlà nhập thông tin vàoFiltersau đó ấn apply hoặcEnterVí dụ gõARPthì ta chỉ nhìn thấy các gói tinARP.

Sử dụng Filter trong wireshark

Ngoài ra, người dùng cũng cũng có thể nhấp vàoAnalyze > Display Filtersđể tiến hành chọn bộ lọc phù hợp nhất trong số các bộ lọc mặc định mà Wireshark có. Ngoài ra, chúng ta cũng có thể thêm bộ lọc của riêng mình và lưu chúng lại để dễ dàng truy cập khi cần.

Bạn có thể tự thêm bộ lọc mình hay dùng

Sau khi đóng cửa sổ chúng ta sẽ thấy một bộ lọc của Wireshark đã được áp dụng tự động. Ứng dụng sẽ hiển thị cho chúng ta thấy các gói tạo nên cuộc trò chuyện.

6. Phân tích gói tin ARP bằng phần mềm Wireshark

Hình ảnh trên là gói tin ARP Request gửi đi từ máy tính

Như bạn thấy dòng 789 máy tính cá nhân mang IP 192.168.68.1 đã gửi một ARP Request và muốn hỏi xem IP 192.168.68.215 là của thiết bị nào.

Hiển thị địa chỉ MAC
  • Số 1 là mã code ở đây là request
  • Số 2 là MAC/IP của máy gửi
  • số 3 là MAC/IP của máy nhận

Và ngay sau đó ở dòng 790 thiết bị có IP 192.168.68.25đã trả lời  lại bằng một gói tinARP Replycho máy gửi kèm theo địa chỉ MAC của địa chỉ IP192.168.68.25

Địa chỉ MAC muốn tìm
  • Opcode  Mã code ở đây là Reply
  • Sender : MAC/IP máy gửi: 9c:fc:e8:89:1a:20/192.168.68.215
  • Target : MAC/IP máy nhận: 74:4d:28:a8:fb:57/192.168.68.1

Kết luận

Hy vọng qua bài viết bạn đã có thể thực hiện thao táclọc gói tin trong phần mềm Wireshark. Quá trình chọn lọc các gói tin mạng dựa trên các tiêu chí nhất định, giúp người dùng tập trung vào những thông tin quan trọng và giảm bớt dữ liệu không cần thiết. Trong quá trình thực hiện của mình gặp phải vướng mắc chưa thể giải quyết, đừng ngần ngại hãy liên hệ với chúng tôi để được tư vấn nhanh nhất nhé.