Phân tích hệ thống mạng với Wireshark trên Ubuntu 9.10

Tìm kiếm với từ khóa wireshark:

Sau đó chọn Wireshark, kích vào đó, sẽ hiện ra mũi tên hướng về bên phải:

 Sau đó, chọn Install:

Điền mật khẩu người sử dụng, Ubuntu sẽ tự động tải về và cài đặt ứng dụng:

Đóng cửa sổ Ubuntu Software Center và bắt đầu sử dụng:

Lưu ý: bạn nên khởi động Wireshark từ gốc (root privileges) để có đầy đủ quyền can thiệp vào các tác vụ hệ thống mạng, bởi vì nếu kích hoạt Wireshark ở chế độ mặc định với quyền điều khiển trung bình (normal user privileges), chúng ta sẽ phải điều chỉnh 1 vài thông số. Để bắt đầu, kích phải vào menu Applications, chọn Edit Menus:

Trong mục Menu Editor, chọn Internet > Wireshark, nhấn nút Properties:

Tại cửa sổ Launcher Properties, thêm tiền tố gksu trong trường Command để đổi thành gksu wireshark, sau đó Close và đóng cửa sổ Menu Editor:

Khởi động Wireshark bằng đường dẫn sau Applications > Internet > Wireshark:

Do chúng ta đang sử dụng Wireshark với đầy đủ quyền nên sẽ xuất hiện bảng thông báo như sau “Running as user "root" and group "root". This could be dangerous.”. Chọn OK:

Giao diện chính của chương trình:

Nhấn nút List the available capture interfaces

Một cửa sổ mới xuất hiện, hiển thị danh sách đầy đủ hệ thống mạng của người sử dụng, ví dụ như bạn muốn theo dõi tình hình mạng của thiết bị kết nối chính (trong ví dụ là eth0), chỉ việc nhấn nút Start trong dòng eth0:

Bạn có thể thấy đầy đủ thông tin về các gói dữ liệu và các địa chỉ khác nhau trong cửa sổ hiển thị:

Tất cả các dữ liệu được thu thập và ghi nhận đầy đủ cho đến khi người sử dụng chọn nút Stop:

Nếu muốn điều chỉnh các thông số cần thiết cho những lần tiếp theo, nhấn nút Show the capture options...

Cửa sổ mới hiện ra với đầy đủ các thông số kỹ thuật, chọn Start để bắt đầu:

Tất cả các kết quả dữ liệu thu thập được bằng địa chỉ mặc định, nếu bạn muốn tập trung vào 1 địa chỉ nhất định, có thể áp dụng những điều kiện lọc đối với kết quả bằng menu Analyze > Display Filters...:

Cửa sổ mới hiện ra, bạn có thể lựa chọn đúng phương thức và địa chỉ cần thao tác (ví dụ TCP), nhấn OK

Cửa sổ kết quả hiện ra, bạn chỉ nhìn thấy thông tin dữ liệu liên quan đến địa chỉ TCP, tất cả những giao thức ngoài đều bị loại bỏ: 

(Theo Unix Tutorials - QTM)