Video: Cài Đặt Wireshark 2025
Wireshark là trình phân tích giao thức mạng hoặc sniffer mạng, đây là một công cụ có thể xem chi tiết về lưu lượng mạng. Khi cài đặt Wireshark, bạn sẽ được nhắc trong quá trình cài đặt để cài đặt WinPcap, đó là trình điều khiển chụp thực tế mà nâng cấp cho Wireshark. Wireshark chăm sóc hiển thị dữ liệu và phân tích, trong khi WinPcap là trình điều khiển chụp bắt dữ liệu mạng sống từ mạng.
Bạn có thể chọn tất cả mặc định cho việc cài đặt; câu hỏi thực sự duy nhất mà bạn có thể có là liệu bạn có muốn WinPcap bắt đầu với hệ điều hành hay không. Nếu bạn chọn WinPcap bắt đầu với hệ điều hành, thì nó sẽ luôn tiêu hao một số tài nguyên máy tính của bạn, ngay cả khi Wireshark không cần WinPcap.
Bình thường, WinPcap bắt đầu khi cần thiết khi chạy Wireshark. Tuy nhiên nếu bạn đang chạy Windows 7, các tính năng bảo mật mặc định của Windows 7 sẽ ngăn không cho trình điều khiển WinPcap bắt đầu khi chạy Wireshark. Trong trường hợp đó, bạn muốn WinPcap bắt đầu với hệ điều hành.
Chọn card mạng mà bạn muốn sử dụng để thực hiện việc capture bằng cách chọn Capture → Interfaces.-
Cửa sổ Capture Interfaces được hiển thị bên dưới sẽ xuất hiện, hiển thị cho bạn không chỉ các giao diện được liệt kê mà còn các dữ liệu nhận được và được gửi trên các giao diện trên máy tính của bạn.
Nhấp vào nút Bắt đầu bên cạnh giao diện mạng đang hoạt động của bạn để bắt đầu phiên chụp.
-
Danh sách gói tin:
-
Khung này hiển thị tất cả các khung mạng đã được xem bởi card mạng của bạn. Nếu card mạng của bạn được kết nối với hub, thì đây sẽ là tất cả lưu lượng truy cập trên mạng; nhưng nếu thẻ được gắn vào một bộ chuyển đổi, nó sẽ chỉ phát sóng khung và các khung mạng được gửi đến địa chỉ MAC của thẻ. Thông tin bạn thấy ở đây bao gồm số khung, cũng như sau:
Thời gian:
-
Số mili giây đã trôi qua kể từ khi bắt đầu capture mạng. Địa chỉ nguồn:
-
Địa chỉ của thiết bị đã gửi khung mạng tới mạng. Đây có thể là địa chỉ IP như 192. 168. 1. 123, hoặc địa chỉ MAC như 00: 1D: 7E: F8: 23: D6. Địa chỉ Đích:
-
Địa chỉ nơi khung mạng đang được gửi. Các giá trị và các tùy chọn giống như địa chỉ nguồn. Giao thức:
-
Giao thức lớp cao nhất hiện diện trong khung.Trong hình 4-10, bạn có thể thấy ARP, TCP, và HTTP. Thông tin:
-
Cột này hiển thị thông tin tóm tắt về khung. Đây là một cách giải thích WireShark về những dữ liệu nào nằm trong khung. Mục đích là để làm cho nó dễ dàng hơn cho bạn để hiểu loại dữ liệu nằm trong khung mạng. Chi tiết gói tin:
-
-
Cửa sổ liên quan đến gói hiện đang được chọn ở khung giữa, với một phân cấp đang mở rộng. Điều này cho phép bạn khoan vào các phần của dữ liệu này - như di chuyển qua các lớp OSI. Nếu bạn mở rộng phần Ethernet II, bạn có thể so sánh dữ liệu với cấu trúc khung Ethernet. Nếu bạn mở rộng phần Giao thức Internet, bạn có thể so sánh dữ liệu với cấu trúc gói tin. Packet Bytes:
-
Khung này hiển thị ASCII và dữ liệu hex trong khung. Hãy nhớ rằng, tất cả dữ liệu được gửi trong khung mạng là nhị phân và bạn có thể chuyển đổi dữ liệu nhị phân này thành hệ thập lục phân. Cuối cùng, mỗi tám bit hoặc một byte có thể được đại diện bởi một ký tự ASCII. Khung này cho bạn thấy tất cả các dữ liệu nhị phân trong khung Ethernet trong hệ số thập lục phân và ASCII tương đương. Điều này đôi khi có thể hữu ích khi tìm chuỗi ASCII trong dữ liệu. Dữ liệu này được hiển thị ở định dạng gọn gàng trong ngăn Chi tiết gói tin.
Bằng cách chọn các phần khác nhau của khung trong ngăn Chi tiết gói tin, phần phù hợp của ngăn Các gói tin sẽ trở nên nổi bật. Điều này có thể hữu ích nếu bạn đang tìm cách xác định vị trí hệ thập lục phân hoặc ASCII tương đương với những gì bạn thấy trong ngăn Chi tiết gói. Nếu bạn đang theo dõi cùng với Wireshark, hãy thử chọn các phần khác nhau của khung trong ngăn Chi tiết gói.
