Hướng dẫn sử dụng tshark để giám sát lượng truy cập vào server

1. Giới thiệu về tshark

Tshark là một công cụ dòng lệnh được phát triển bởi Wireshark, giúp người dùng có thể thực hiện phân tích và giám sát giao thức mạng trên hệ điều hành Linux. Tshark cho phép người dùng capture và decode các gói tin mạng, cung cấp thông tin chi tiết về các giao thức mạng, địa chỉ IP, cổng, thông tin packet length, và nhiều thông tin khác.

Với tshark, người dùng có khả năng thực hiện capture dữ liệu từ multiple interfaces, lưu trữ dữ liệu vào các file, thực hiện filter dựa trên các tiêu chí nhất định, và thực hiện việc analyse dữ liệu để phân tích hoạt động mạng.

2. Cách cài đặt tshark trên Ubuntu 22.04

a. Cập nhật Ubuntu:

Trước khi cài đặt tshark, bạn nên cập nhật hệ thống Ubuntu lên phiên bản mới nhất để đảm bảo các package được cài đặt là phiên bản mới nhất. Bạn có thể thực hiện cập nhật bằng lệnh sau:

sudo apt update
sudo apt upgrade

b. Cài đặt tshark:

Sau khi đã cập nhật hệ thống, bạn có thể cài đặt tshark bằng cách sử dụng Ubuntu package manager - apt. Dưới đây là các bước chi tiết để cài đặt tshark:

Mở terminal trên Ubuntu.
Chạy lệnh sau để cài đặt tshark:

sudo apt install tshark

Khi được yêu cầu, nhập mật khẩu sudo để xác nhận quá trình cài đặt.
Tiến hành cài đặt tshark bằng cách chờ quá trình hoàn tất.

c. Kiểm tra phiên bản tshark:

Sau khi cài đặt thành công, bạn có thể kiểm tra phiên bản tshark đã cài đặt bằng lệnh sau:

tshark --version

Lệnh trên sẽ hiển thị phiên bản của tshark mà bạn đã cài đặt trên hệ thống Ubuntu 22.04.

d. Kiểm tra tshark hoạt động:

Để đảm bảo tshark đã cài đặt thành công và hoạt động đúng, bạn có thể thử chạy một lệnh đơn giản như sau:

tshark -v

Nếu tshark hoạt động chính xác, bạn sẽ thấy thông tin chi tiết về tshark và không có lỗi xuất hiện.

Thông qua quá trình cài đặt trên, bạn có thể dễ dàng cài đặt tshark trên hệ điều hành Ubuntu 22.04 và sẵn sàng sử dụng công cụ này cho việc giám sát mạng một cách hiệu quả.

3. Hướng dẫn sử dụng tshark để giám sát IP truy cập đến server và xem địa chỉ MAC của thiết bị truy cập

Để giám sát IP truy cập đến server và xem địa chỉ MAC của các thiết bị truy cập vào server bằng tshark trên Ubuntu 22.04, bạn có thể sử dụng các filter và tùy chỉnh lệnh theo yêu cầu. Dưới đây là hướng dẫn cụ thể:

a. Sử dụng lệnh sau để capture và hiển thị thông tin IP và MAC của các thiết bị truy cập đến server:

sudo tshark -i <interface_name> -f 'host <server_ip>' -T fields -e ip.src -e eth.src

<interface_name>: Tên interface mà bạn muốn sử dụng để capture (ví dụ: eth0, wlan0).
<server_ip>: Địa chỉ IP của server cần giám sát.
Lệnh trên sẽ hiển thị danh sách các địa chỉ IP và địa chỉ MAC của các thiết bị truy cập đến server mà bạn đã chỉ định.

b. Để dừng quá trình capture, bạn có thể nhấn `Ctrl + C` trong terminal.

Khi thực hiện các bước trên, tshark sẽ giúp bạn giám sát và hiển thị danh sách các địa chỉ IP và MAC của các thiết bị truy cập vào server một cách chi tiết.

4. Một số chức năng filter trên tshark để tối ưu giám sát

Tshark cung cấp nhiều options filter để bạn có thể tùy chỉnh quá trình giám sát và phân tích dữ liệu mạng một cách hiệu quả. Dưới đây là một số filter phổ biến mà bạn có thể sử dụng để tối ưu giám sát trên tshark:

host <ip_address>: Lọc theo địa chỉ IP.
- ```
tshark -i <interface> host <ip_address>
```

port <port_number>: Lọc theo cổng.

tshark -i <interface> port <port service>

src <ip_address>: Lọc theo địa chỉ nguồn.
- ```
tshark -i <interface> src host <ip_address>
```

dst <ip_address>: Lọc theo địa chỉ đích.
- ```
tshark -i <interface> dst host <ip_address>
```

src host <ip_address> and dst host <ip_address>: Kết hợp lọc theo địa chỉ nguồn và đích.
- ```
tshark -i <interface> src host <ip_address> and dst host <ip_address>
```

src port 54321 or dst port 80: Kết hợp lọc theo port nguồn và đích.
- ```
tshark -i <interface> src port 54321 or dst port 80
```

Bằng cách sử dụng các filter này, bạn có thể lọc và tùy chỉnh dữ liệu mạng hiệu quả để giám sát lượng truy cập vào server và theo dõi hoạt động mạng một cách chính xác.