Cách nắm bắt lưu lượng truy cập HTTP trong Wireshark

Wireshark cho phép bạn phân tích lưu lượng bên trong mạng của mình bằng nhiều công cụ khác nhau. Nếu bạn muốn xem những gì đang diễn ra bên trong mạng của mình hoặc gặp sự cố với lưu lượng mạng hoặc tải trang, bạn có thể sử dụng Wireshark. Nó cho phép bạn nắm bắt lưu lượng truy cập, vì vậy bạn có thể hiểu vấn đề là gì hoặc gửi đến bộ phận hỗ trợ để được hỗ trợ thêm. Hãy tiếp tục đọc bài viết này và bạn sẽ học cách nắm bắt lưu lượng truy cập http trong Wireshark.

Cài đặt Wireshark

Cài đặt Wireshark là một quá trình dễ dàng. Đây là công cụ miễn phí trên các nền tảng khác nhau và đây là cách bạn có thể tải xuống và cài đặt nó:

Người dùng Windows & Mac

  1. Mở trình duyệt của bạn.
  2. Truy cập //www.wireshark.org/download.html.
  3. Chọn phiên bản cho thiết bị của bạn.

  4. Wireshark sẽ được tải xuống thiết bị của bạn.
  5. Cài đặt nó bằng cách làm theo hướng dẫn trong gói.

Người dùng Linux

Nếu bạn là người dùng Linux, bạn có thể tìm thấy Wireshark trong Trung tâm phần mềm Ubuntu. Tải xuống từ đó và cài đặt theo hướng dẫn trong gói.

Thu thập lưu lượng truy cập HTTP trong Wireshark

Bây giờ bạn đã cài đặt Wireshark trên máy tính của mình, chúng tôi có thể chuyển sang thu thập lưu lượng truy cập http. Dưới đây là các bước để làm điều đó:

  1. Mở trình duyệt của bạn - Bạn có thể sử dụng bất kỳ trình duyệt nào.
  2. Xóa bộ nhớ cache - Trước khi ghi lại lưu lượng truy cập, bạn cần xóa bộ nhớ cache của trình duyệt. Bạn có thể thực hiện việc này nếu đi tới cài đặt của trình duyệt.

  3. Mở Wireshark.

  4. Nhấn vào “Chụp”.

  5. Nhấn vào “Giao diện”. Bây giờ bạn sẽ thấy một cửa sổ bật lên trên màn hình của mình.
  6. Chọn giao diện. Bạn có thể muốn phân tích lưu lượng truy cập qua trình điều khiển ethernet của mình.

  7. Sau khi bạn đã chọn giao diện, hãy nhấn vào “Bắt đầu” hoặc nhấn vào “Ctrl + E.”

  8. Bây giờ, hãy quay lại trình duyệt của bạn và truy cập URL mà bạn muốn thu thập lưu lượng truy cập.

  9. Khi bạn đã hoàn tất, hãy ngừng thu hút lưu lượng truy cập. Quay lại Wireshark và nhấn “Ctrl + E.”

  10. Lưu lượng truy cập đã bắt được. Nếu bạn gặp sự cố mạng và muốn gửi lưu lượng đã thu thập được đến bộ phận hỗ trợ, hãy lưu nó vào tệp định dạng * .pcap.

Chụp các gói tin trong Wireshark

Bên cạnh việc thu thập lưu lượng truy cập http, bạn có thể nắm bắt bất kỳ dữ liệu mạng nào bạn cần trong Wireshark. Đây là cách bạn có thể làm điều này:

  1. Mở Wireshark.

  2. Bạn sẽ thấy danh sách các kết nối mạng khả dụng mà bạn có thể kiểm tra. Chọn kết nối bạn quan tâm. Nếu muốn, bạn có thể phân tích nhiều kết nối mạng cùng một lúc bằng cách nhấn “Shift + Nhấp chuột trái”.

  3. Bây giờ bạn có thể bắt đầu bắt các gói tin. Bạn có thể thực hiện việc này theo một số cách: Cách đầu tiên là nhấn vào biểu tượng vây cá mập ở góc trên cùng bên trái. Thao tác thứ hai là nhấn vào “Chụp” và sau đó nhấn vào “Bắt đầu”. Cách thứ ba để bắt đầu chụp là nhấn “Ctrl + E.”

Trong khi chụp, Wireshark sẽ hiển thị tất cả các gói đã chụp trong thời gian thực. Sau khi chụp xong các gói, bạn có thể sử dụng các nút / phím tắt tương tự để ngừng thu.

Bộ lọc Wireshark

Một trong những lý do khiến Wireshark là một trong những trình phân tích giao thức nổi tiếng nhất hiện nay là khả năng áp dụng nhiều bộ lọc khác nhau cho các gói tin đã được capture. Bộ lọc Wireshark có thể được chia thành bộ lọc chụp và hiển thị.

Chụp bộ lọc

Các bộ lọc này được áp dụng trước khi thu thập dữ liệu. Nếu Wireshark nắm bắt dữ liệu không khớp với các bộ lọc, nó sẽ không lưu chúng và bạn sẽ không nhìn thấy chúng. Vì vậy, nếu bạn biết mình đang tìm kiếm gì, bạn có thể sử dụng bộ lọc chụp để thu hẹp tìm kiếm của mình.

Dưới đây là một số bộ lọc chụp được sử dụng nhiều nhất mà bạn có thể sử dụng:

  • host 192.168.1.2 - Chụp tất cả lưu lượng liên quan đến 192.168.1.2.
  • cổng 443 - Thu thập tất cả lưu lượng liên quan đến cổng 443.
  • không phải cổng 53 - Ghi lại tất cả lưu lượng ngoại trừ lưu lượng được liên kết với cổng 53.

Bộ lọc hiển thị

Tùy thuộc vào những gì bạn đang phân tích, các gói đã chụp của bạn có thể rất khó đi qua. Nếu bạn biết những gì bạn đang tìm kiếm hoặc nếu bạn muốn thu hẹp tìm kiếm của mình và loại trừ dữ liệu bạn không cần, bạn có thể sử dụng bộ lọc hiển thị.

Dưới đây là một số bộ lọc hiển thị mà bạn có thể sử dụng:

  • http - Nếu bạn đã nắm bắt một số gói tin khác nhau, nhưng bạn chỉ muốn xem lưu lượng truy cập dựa trên http, bạn có thể áp dụng bộ lọc hiển thị này và Wireshark sẽ chỉ hiển thị cho bạn những gói tin đó.
  • http.response.code == 404 - Nếu bạn gặp sự cố khi tải một số trang web nhất định, bộ lọc này có thể hữu ích. Nếu bạn áp dụng nó, Wireshark sẽ chỉ hiển thị các gói trong đó “404: Trang không tìm thấy” là một phản hồi.

Điều quan trọng cần lưu ý là sự khác biệt giữa bộ lọc chụp và bộ lọc hiển thị. Như bạn đã thấy, bạn áp dụng các bộ lọc chụp trước và hiển thị các bộ lọc sau khi chụp các gói. Với bộ lọc chụp, bạn loại bỏ tất cả các gói không phù hợp với bộ lọc. Với bộ lọc hiển thị, bạn không loại bỏ bất kỳ gói nào. Bạn chỉ cần ẩn chúng khỏi danh sách trong Wireshark.

Các tính năng bổ sung của Wireshark

Mặc dù nắm bắt và lọc các gói là điều làm cho Wireshark trở nên nổi tiếng, nó cũng cung cấp các tùy chọn khác nhau có thể giúp việc lọc và khắc phục sự cố của bạn dễ dàng hơn, đặc biệt nếu bạn là người mới làm quen với lĩnh vực này.

Tùy chọn màu sắc

Bạn có thể tô màu các gói trong Danh sách gói theo các bộ lọc hiển thị khác nhau. Điều này cho phép bạn nhấn mạnh các gói tin mà bạn muốn phân tích.

Có hai loại quy tắc tô màu: tạm thời và vĩnh viễn. Các quy tắc tạm thời chỉ được áp dụng cho đến khi bạn đóng chương trình và các quy tắc vĩnh viễn sẽ được lưu cho đến khi bạn thay đổi lại chúng.

Bạn có thể tải xuống các quy tắc tô màu mẫu tại đây hoặc bạn có thể tự tạo.

Chế độ lăng nhăng

Wireshark ghi lại lưu lượng truy cập đến hoặc từ thiết bị mà nó đang chạy. Bằng cách bật chế độ quảng bá, bạn có thể nắm bắt được phần lớn lưu lượng truy cập trên mạng LAN của mình.

Dòng lệnh

Nếu bạn đang chạy hệ thống của mình mà không có GUI (Giao diện người dùng đồ họa), bạn có thể sử dụng Giao diện dòng lệnh của Wireshark. Bạn có thể nắm bắt các gói và xem lại chúng trên GUI.

Số liệu thống kê

Wireshark cung cấp một menu "Thống kê" mà bạn có thể sử dụng để phân tích các gói đã bắt được. Ví dụ: bạn có thể xem thuộc tính tệp, phân tích lưu lượng giữa hai địa chỉ IP, v.v.

Câu hỏi thường gặp

Làm cách nào để đọc dữ liệu được ghi lại trong WireShark?

Sau khi bạn chụp xong các gói, Wireshark sẽ hiển thị tất cả chúng trong ngăn danh sách gói. Nếu bạn muốn tập trung vào một ảnh chụp cụ thể, hãy nhấp đúp vào ảnh đó và bạn có thể đọc thêm thông tin về nó.

Bạn có thể quyết định mở một ảnh chụp cụ thể trong một cửa sổ riêng để phân tích dễ dàng hơn:

1. Chọn gói bạn muốn đọc.

2. Nhấp chuột phải vào nó.

3. Nhấn vào “Xem”.

4. Nhấn vào “Hiển thị gói trong cửa sổ mới.”

Dưới đây là một số chi tiết từ ngăn danh sách gói sẽ giúp bạn đọc các bản chụp:

1. Không. - Số lượng một gói tin được chụp.

2. Thời gian - Phần này cho bạn biết thời điểm gói tin được chụp liên quan đến thời điểm bạn bắt đầu chụp. Bạn có thể tùy chỉnh và điều chỉnh giá trị trong menu "Cài đặt".

3. Nguồn - Đây là nguồn gốc của một gói được bắt dưới dạng một địa chỉ.

4. Đích - Địa chỉ đích của một gói tin được bắt.

5. Giao thức - Loại gói tin được bắt.

6. Độ dài - Điều này cho bạn biết độ dài của một gói tin được chụp. Điều này được thể hiện bằng byte.

7. Thông tin - Thông tin bổ sung về một gói tin được chụp. Loại thông tin bạn nhìn thấy ở đây phụ thuộc vào loại gói tin được chụp.

Tất cả các cột trên có thể được thu hẹp bằng cách sử dụng bộ lọc hiển thị. Tùy thuộc vào những gì bạn quan tâm, bạn có thể diễn giải quá trình chụp Wireshark dễ dàng hơn và nhanh hơn bằng cách áp dụng các bộ lọc khác nhau.

Trong một thế giới của cá, hãy là một Wireshark

Bây giờ, bạn đã học cách nắm bắt lưu lượng truy cập http trong Wireshark, cùng với thông tin hữu ích về chương trình. Nếu bạn muốn kiểm tra mạng của mình, khắc phục sự cố hoặc đảm bảo mọi thứ đều theo thứ tự, Wireshark là công cụ phù hợp với bạn. Nó dễ sử dụng và diễn giải, và hoàn toàn miễn phí.

Bạn đã sử dụng Wireshark trước đây chưa? Hãy cho chúng tôi trong phần bình luận dưới đây.