HƯỚNG DẪN SỬ DỤNG PHẦN MỀM ETHEREAL 1 .M cl c 1. Gi i thi

Chia sẻ: Phan Thi Ngoc Giau | Ngày: | Loại File: PDF | Số trang:18

Thêm vào BST

Báo xấu

127
lượt xem 33
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

HƯỚNG DẪN SỬ DỤNG PHẦN MỀM ETHEREAL 1 M cl c 1. Gi i thi u.................................................................................................................... 3 1.1. 1.2. 1.3. 1.4. Ethereal là gì?............................................................................................................ 3 M c ñích s d ng ......................................................................................................... 3 Tính năng ...................................................................................................................... 3 Ethereal ñư c phát âm th nào?.............................................................................. 4 2. Cài ñ t Ethereal...................................................................................................... 4 2.1. 2.2. 2.3. 2.4. Các thành ph n ............................................................................................................ 4 Các...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: HƯỚNG DẪN SỬ DỤNG PHẦN MỀM ETHEREAL 1 .M cl c 1. Gi i thi

HƯỚNG DẪN SỬ DỤNG PHẦN MỀM ETHEREAL 1
M cl c 1. Gi i thi u.................................................................................................................... 3 Ethereal là gì?............................................................................................................ 3 1.1. 1.2. M c ñích s d ng ......................................................................................................... 3 1.3. Tính năng ...................................................................................................................... 3 Ethereal ñư c phát âm th nào?.............................................................................. 4 1.4. Cài ñ t Ethereal ...................................................................................................... 4 2. 2.1. Các thành ph n ............................................................................................................ 4 2.2. Các công c ................................................................................................................... 5 2.3. Các ch c năng khác ..................................................................................................... 5 2.4. V chương trình WinPCap.......................................................................................... 5 3. Giao di n ngư i dùng ................................................................................................ 5 3.1. Gi i thi u ...................................................................................................................... 5 3.2. C a s chính ................................................................................................................. 6 3.3. Thanh Menu ................................................................................................................. 6 3.4. Thanh công c chính (Main Toolbar) ........................................................................ 7 3.5. Thanh l c (Filter Toolbar)........................................................................................... 7 3.6. Ô li t kê gói tin (Packet List Pane) ............................................................................. 7 3.7. Ô chi ti t gói tin (Packet Details Pane)....................................................................... 8 3.8. Ô mã nh phân gói tin (Packet Bytes Pane) ............................................................... 8 3.9. Thanh tr ng thái (Statusbar) ...................................................................................... 9 4. Thu th p ñ ng d li u trong m ng (Capturing Live Network Data)....................... 9 4.1. Gi i thi u ...................................................................................................................... 9 4.2. Các tùy ch n (Menu Capture/ Options)................................................................... 11 4.3. B l c ........................................................................................................................... 13 5. Làm vi c v i các gói tin b t ñư c ............................................................................ 13 5.1. Xem các gói tin ñã b t................................................................................................ 13 5.2. L c các gói tin khi ñang xem..................................................................................... 14 5.3. T o các bi u th c l c hi n th .................................................................................... 15 5.4. H p tho i các bi u th c l c (Filter Expression Dialog box) ................................... 16 5.5. Tìm ki m các gói tin................................................................................................... 17 Ph l c – Phân tích gói tin HTTP............................... Error! Bookmark not defined. 6. Gi i thi u giao th c HTTP............................................. Error! Bookmark not defined. 6.1. Th c hành phân tích gói tin HTTP ............................... Error! Bookmark not defined. 6.2. 2
1. Gi i thi u Ethereal Ethereal là ph n m m thu th p các gói tin truy n trên m ng, sau ñó th c hi n phân tích ñ hi n th khuôn d ng d li u c a t ng gói tin dư i d ng tư ng minh nh t có th . Ethereal có th ñư c s d ng như m t thi t b giám sát nh ng gì ñư c truy n ñư ng dây m ng - t c là ho t ñ ng gi ng như m t chi c Vôn k trên ñư ng dây ñi n. Trư c ñây, nh ng công c như v y ho c ñ t ti n ho c ñ c quy n nhưng Ethereal l i là ph n m m mã ngu n m phân tích gói tin t t nh t hi n nay. Phiên b n m i nh t c a Ethereal có th t i t website http://www.ethereal.com/download.html. M c ñích s d ng Ngư i qu n tr m ng kh c ph c l i m ng • Kĩ sư an ninh m ng xem xét các v n ñ b o m t • Ngư i phát tri n phân tích và g r i ho t ñ ng c a các giao th c. • Ngư i dùng nghiên c u b n ch t giao th c m ng • … • Tính năng ðư c cài ñ t trên hai HðH ph bi n là UNIX và Windows • Thu th p ngay l p t c các gói tin lan t a ñ n card m ng • Hi n th các gói tin v i nh ng thông tin v giao th c chi ti t • Có th lưu gi d li u thu th p ñư c vào file ñ sau này s d ng l i • L c gói tin theo nhi u tiêu chu n • Tìm ki m gói tin theo nhi u tiêu chu n • Hi n th màu s c các gói tin d a trên cơ ch l c (ñ nhìn rõ hơn) • T o nhi u th ng kê khác nhau • Hình sau bi u di n các gói tin Ethereal ñã ñư c thu th p và s n sàng ñ phân tích. 3
Ethereal ñư c phát âm th nào? Ethereal có th ñư c phát âm theo 3 cách: • E’thereal: tr ng âm ‘the’ (xem thêm t ñi n Anh-Vi t) • Ether-real • E-the-real B n có th phát âm theo cách riêng c a mình, mi n là b n c m th y tho i mái. Ethereal User’s Guide ñưa ra cách phát âm chính th c là: “e-the-real”. 2. Cài ñ t Ethereal File cài ñ t chương trình cài ñ t Ethereal (File Ethereal-setup-x.y.z.exe) có th ñư c t i v t trang: http://www.Ethereal.com/download.html#releases Các thành ph n • Ethereal GTK 1 ho c 2: chương trình ñ h a phân tích giao th c m ng (Ethereal GTK2 ñư c khuy n ngh vì s d ng b công c hi n ñ i GTK2 GUI) 4
• GTK-Wimp: gi l p GTK2 windows • Tethereal: chương trình phân tích giao th c m ng d a trên dòng l nh Các công c • Editcap: chương trình ñ c file d li u ñã thu th p và ghi m t s ch n l c (ho c t t c ) các gói tin sang m t file d li u khác. • Text2Pcap: chương trình ñ c mã ASCII và ghi d li u vào m t file. • Mergecap: chương trình k t h p nhi u file d li u thành m t file duy nh t. • Capinfos: chương trình cung c p thông tin v các file d li u. Các ch c năng khác • Start Menu ShortCuts: thêm shortcuts vào Start Menu • Desktop Icon: thêm bi u tư ng Ethereal vào màn hình Desktop • Quick Launch Icon: thêm bi u tư ng Ethereal vào thanh Explorer Quick launch Chương trình WinPCap WinPCap là chương trình dùng ñ thu th p t c thì các lu ng d li u trong m ng. N u chưa cài ñ t WinPcap, b n ch có th s d ng Ethereal ñ m các file thu th p d li u có s n. Vì v y, Ethereal và WinPcap thư ng ñư c cài ñ t cùng nhau. Tuy nhiên, k t phiên b n Ethereal 0.10.12, b cài WinPcap ñã ñư c tích h p vào b cài Ethereal nên b n không c n ph i t i v và cài ñ t hai gói ph n m m riêng bi t n a Thông tin thêm v WinPcap: • http://wiki.Ethereal.com/WinPcap • http://www.winpcap.org 3. Giao di n ngư i dùng Gi i thi u Sau khi cài ñ t thành công, chúng ta b t ñ u nghiên c u giao di n cũng như cách s d ng c a chương trình Ethreal : • Giao di n ngư i dùng Ethereal • Cách b t các gói tin • Cách xem các gói tin • Cách l c gói tin 5
C a s chính C a s chính c a Ethereal cũng gi ng như trong các chương trình máy tính khác. Dư i ñây là giao di n mà ngư i dùng thư ng g p sau khi các gói tin ñư c b t và hi n th : Figure 1 – Giao di n t ng quát c a chương trình B c c c a c a s chính có th ñư c ch nh l i b ng cách thi t l p Preference. Thanh Menu • File: ch a các l nh m hay k t h p các file d li u thu th p, l nh lưu/ in/ k t xu t toàn b ho c m t ph n file d li u thu th p, l nh ñóng chương trình Ethereal. • Edit: ch a các l nh tìm gói tin, tham chi u th i gian ho c ñánh d u m t hay nhi u gói tin, thi t l p các tùy ch n. • View: ch a l nh ñi u khi n vi c hi n th d li u thu ñư c, bao g m vi c tô màu các gói tin, phóng to c font, bi u di n gói tin trong c a s riêng, m r ng ho c thu h p cây chi ti t gói tin… 6
• Capture: ch a l nh b t ñ u ho c k t thúc vi c thu th p các gói tin và l nh hi u ch nh b l c. • Analyze: ch a các l nh thao tác trên b l c hi n th , cho phép ho c không cho phép phân tích chi ti t các giao th c, ñ nh c u hình b gi i mã cho ngư i dùng và “l n” theo v t c a m t lu ng TCP. • Statistics: ch a các l nh hi n th các k t qu th ng kê khác nhau, bao g m b ng tóm t t c a các gói tin ñã ñư c b t, hi n th c u trúc phan t ng các giao th c. • Help: giúp ñ ngư i dùng s d ng các ch c năng cơ b n, xem danh sách các giao th c ñư c h tr , các trang hư ng d n, các trang web, và h p tho i About như thư ng l . Thanh công c chính (Main Toolbar) Thanh công c chính có các nút l nh giúp ngư i s d ng nhanh chóng ra các l nh c n thi t Thanh l c (Filter Toolbar) Thanh công c l c cung c p các thao tác tr c ti p trên b l c hi n th ñang ñư c s d ng. Ô li t kê gói tin (Packet List Pane) Ô li t kê gói tin hi n th tóm t t v m i gói tin b t ñư c. M i dòng trong danh sách ng v i m t gói tin trong file d li u thu th p. N u ch n m t dòng trong ô này, ô Packet Details và Packet Bytes s hi n th thông tin chi ti t v gói tin tương ng. Khi phân tích m t gói tin, Ethereal s l y thông tin t b phân tích giao th c và ñ t vào các c t. Vì thông tin v giao th c t ng cao s ghi ñè lên thông tin c a giao th c t ng th p nên b n s ch nhìn th y thông tin giao th c t ng cao nh t có th . Ví d , gi s m t gói tin TCP n m bên trong gói tin IP, gói tin IP l i n m bên trong frame Ethernet. B phân tích Ethernet ghi d li u c a mình (ch ng h n ñ a ch card m ng), sau ñó b 7
phân tích IP ghi ñè b ng d li u IP (ví d ñ a ch IP), và cu i cùng b phân tích TCP s ghi ñè lên thông tin v IP.. Có r t nhi u c t thông tin khác nhau và có th ch n hi n th c t nào b ng cách thi t l p tùy ch n (Preference settings). The default columns will show: No. The number of the packet in the capture file. This number won't change, even if a display • filter is used. Time The timestamp of the packet. The presentation format of this timestamp can be changed, • see Section 6.9, “Time display formats and time references”. Source The address where this packet is coming from. • Destination The address where this packet is going to. • Protocol The protocol name in a short (perhaps abbreviated) version. • Info Additional information about the packet content • Ô chi ti t gói tin (Packet Details Pane) Ô chi ti t gói tin hi n th chi ti t gói tin ñư c ch n ô li t kê gói tin. Giao th c và các trư ng c a gói tin ñư c bi u di n dư i d ng cây, có th d dàng m r ng ho c thu g n l i. Some protocol fields are specially displayed. Generated fields Ethereal itself will generate additional protocol fields which are surrounded • by brackets. The information in these fields is derived from the known context to other packets in the capture file. For example, Ethereal is doing a sequence/acknowledge analysis of each TCP stream, which is displayed in the [SEQ/ACK analysis] fields of the TCP protocol. Links If Ethereal detected a relationship to another packet in the capture file, it will generate a • link to that packet. Links are underlined and displayed in blue. If double-clicked, Ethereal jumps to the corresponding packet Ô mã nh phân gói tin (Packet Bytes Pane) Ô mã nh phân hi n th d li u bi u di n dư i d ng cơ s 16 c a gói tin ñư c ch n (là gói tin ñư c ch n trong ô gói tin chi ti t). 8
C t bên trái ghi v trí tương ñ i (offset) c a d li u trong gói tin, c t gi a là d li u ñư c bi u di n dư i d ng cơ s 16 và c t bên ph i là kí t ASCII tương ng (ho c d u ch m (‘.’) n u kí t không hi n th ñư c). Tùy thu c vào d li u gói tin, ñôi khi ô này ch a nhi u trang, ch ng h n như khi Ethereal ráp nhi u gói tin l i thành m t kh i d li u duy nh t. Trong trư ng h p này, m t vài tab s xu t hi n ñáy c a ô ñ có th l a ch n các trang c n xem. Thanh tr ng thái (Statusbar) Thanh tr ng thái bi u di n m t s thông tin thêm v tr ng thái hi n t i c a chương trình và các d li u thu th p ñư c. Thông thư ng ph n bên trái s hi n th thông tin liên quan ñ n ng c nh (tên, kích thư c c a file d li u thu th p, th i gian th c hi n thu th p), trong khi ph n bên ph i hi n th s lư ng gói tin hi n ñã thu th p ñư c. Các chú thích vi t t t: • P: s gói tin b t ñư c • D: s gói tin ñang ñư c hi n th • M: s gói tin ñư c ñánh d u 4. Thu th p t c thì d li u trong m ng 4.1 Gi i thi u Thu th p t c thì d li u trong m ng là m t trong nh ng tính năng ch y u c a Ethereal. Ethereal cung c p các ch c năng sau: • Thu th p thông tin t các ki u ki n trúc ph n c ng m ng khác nhau (Ethernet, Token Ring, ATM,…). • Ch m d t vi c thu th p thông tin khi m t trong s các ch tiêu sau ñ t ñư c: ñ l n d li u thu th p, th i gian thu th p hay t ng s gói tin b t ñư c. • Hi n th các gói tin ñã ñư c phân tích trong khi v n ti p t c thu th p thông tin. • L c gói tin, gi m ñ l n c a d li u. • Ghi ra nhi u file khác nhau. Có th l a ch n ñ ghi d li u thu ñư c l n lư t và theo th t xoay tròn vào các file và gi l i x file cu i cùng. ði u này c c kỳ có ích khi c n thu th p d li u trong th i gian dài. 9
Tuy nhiên, các tính năng sau chưa có trong Ethereal: • B t thông tin ñ ng th i t nhi u card m ng khác nhau (tuy nhiên, có th ch y nhi u chương trình Ethereal ng v i các card m ng khác nhau cùng lúc và sau ñó k t h p – các file d li u ñư c thu th p l i). • Ch m d t vi c b t thông tin (hay th c hi n m t hành ñ ng nào ñó) d a trên d li u ñư c thu th p. Các thao tác th c hi n vi c thu th p d li u (kh i ñ ng/ d ng/ kh i ñ ng l i) ñư c ch n t menu Capture trên thanh Menu. 4.2. Start Capturing ð thu th p gói tin trong Ethereal, chúng ta có th s d ng m t trong các phương th c sau: Nh n vào bi u tư ng trên thanh công c . Quá trình thu th p có th ñư c kh i t o sau khi • b m vào nút "Capture" trong h p h i tho i. Nh n vào bi u tư ng trên thanh công c ñ ñ t các tham s tùy ch n. • N u ñã ñ t h t các tham s , có th n vào nút trên thanh công c ñ b t ñ u quá trình thu • th p.. N u bi t ñư c tên c a card m ng ñư c , b n có th kh i t o Ethereal b ng cách ñánh l nh • ethereal -i eth0 -k L nh này kh i t o chương trình Ethereal thu th p các gói tin ñ n ñư c card eth0. 4.3. H p h i tho i "Capture Interfaces" Khi ch n "Interfaces..." t menu Capture, xu t hi n h p h i tho i "Capture Interfaces" như minh h a trên Hình ??. Description HðH s cung c p các tham s chi ti t cho card m ng này. IP Là ñ a ch IP ng v i card m ng. N u không xác ñ nh ñư c ñ a ch IP (ch ng h n do không có DHCP server) thì s là unknown. N u máy tính có hai ñ a ch IP, thì ch m t trong hai ñ a ch ñư c hi n th (nhưng không xác ñ nh ñư c là ñ a ch nào). 10
Packets S lư ng các packet b t ñư c k t khi m H p h i tho i. Packets/s S lư ng packet b t ñư c trong giây cu i cùng. Stop D ng quá trình thu th p. Capture B t ñ u quá trình thu th p v i c u hình t l n thu th p trư c. Prepare : M h p h i tho i Capture Options trên card m ng ñư c l a ch n. Close ðóng h p h i tho i. 4.2 Các tùy ch n (Menu Capture/ Options). Khi kh i ñ ng vi c b t d li u, Ethereal có th s hi n th m t h p tho i tùy ch n (Capture Options). N u không ch c v m t tuỳ ch n nào ñó, hãy ñ ch ñ m c ñ nh. Trong nhi u trư ng h p ñi u ñó s không nh hư ng nhi u ñ n k t qu hi n th . Khung Capture: • Interface: ch n card m ng b n s d ng. • IP address: ñ a ch IP ng v i card m ng. 11
• Link-layer header type: Trong nhi u trư ng h p hãy ñ m c ñ nh. • Buffer size: Nh p kích c b ñ m s d ng khi b t d li u. • Capture packets in promiscuous mode: T t ch ñ này n u b n ch mu n b t các d li u ñ n ho c ñi t máy tính c a b n. • Limit each packet to n bytes: Kích c d li u l n nh t c a m i gói tin. • Capture Filter: thi t l p b l c. Khung Caputure File(s) • File: tên file ñư c s d ng ñ ghi l i d li u thu th p. • Use multiple files: Thay vì dùng m t file duy nh t, Ethereal s t ñ ng chuy n sang file m i n u m t ñi u ki n nào ñó ñư c th a mãn. • Next file every n megabyte(s): Chuy n sang file m i sau khi thu th p ñư c byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) nào ñó. • Next file every n minute(s): Chuy n sang file m i sau m i kho ng th i gian là m t giây/ phút/ gi / ngày nào ñó. • Ring buffer with n files: T o m t vòng l n lư t các file d li u thu th p, sau khi ñã ghi vào file cu i cùng s quay l i ghi ñè vào file ñ u tiên. • Stop capture after n file(s): D ng vi c b t d li u sau khi ñã ghi ñ vào n file. Khung Stop Capture : • …after n packet(s): Ng ng vi c b t d li u sau khi ñã thu th p ñư c m t s lư ng nào ñó các gói tin. • …after n megabyte(s): Ng ng vi c b t d li u sau khi ñã thu th p ñư c m t s lư ng nào ñó d li u. • …after n minute(s): Ng ng vi c thu th p d li u sau m t s giây/ phút/ gi / ngày. Display Options Frame: • Update list of packets in real time: Yêu c u Ethereal c p nh t ô li t kê gói tin trong th i gian th c. N u không có l a ch n này, Ethereal s ch hi n th các gói tin sau khi ng ng quá trình thu th p d li u. • Automatic scrolling in live capture: Tùy ch n này cho phép Ethereal cu n ô li t kê gói tin khi có thêm gói tin m i, ñ ngư i s d ng luôn luôn nhìn th y gói tin m i nh t. • Hide capture info dialog: N u ñư c ch n, h p tho i hi n th thông tin thu th o d li u s ñư c n ñi. Name Resolution Frame: • Enable MAC name resolution: Gi i mã ñ a ch MAC trong quá trình thu th p. • Enable network name resolution: Gi i mã ñ a ch m ng trong quá trình thu th p. • Enable transport name resolution: Gi i mã ñ a ch t ng giao v n trong quá trình thu th p. 12
4.5 B l c Có th ñi n bi u th c l c vào trư ng Filter c a h p tho i Capture Options. Bi u th c có th ñư c xem là t h p c a các bi u th c nguyên th y (primitive) k t n i v i nhau theo các phép toán AND OR ho c NOT. Khuôn d ng t ng quát c a bi u th c: [not] primitive [and|or [not] primitive …] Ví d 1: B t thông tin ng d ng telnet ñ n ho c ñi t m t host c th nào ñó: tcp port 23 and host 10.0.0.5 Ví d 2: B t thông tin telnet không xu t phát t ñ a ch IP 10.0.05: tcp port 23 and not host 10.0.0.5 Dư i ñây là các bi u th c nguyên th y thư ng ñư c s d ng: • [src|dst] host : l c d a trên tên ho c ñ a ch IP c a máy tính. N u có thêm t khóa src (ho c dst) thì chúng ta ch l y nh ng gói tin có ñ a ch g i (ho c ñ a ch nh n) là host. N u không có hai t khóa này, h th ng s thu gi t t c gói tin có ñ a ch g i ho c nh n là host. • ether [src|dst] host : l c d a trên ñ a ch c a Ethernet host. T khóa src và dst gi ng như trên. • gateway host : l c các gói tin s d ng host như m t gateway (router). Có nghĩa là ñ a ch Ethernet là ñ a ch c a host nhưng ñ a ch IP không ph i là ñ a ch c a host. • [src|dst] net [{mask }|{len }] L c theo ñ a ch subnet c a m ng. T khóa src ho c dst ch ra r ng ch c n l y gói tin g i t (ho c ñ n) m t m ng c th nào ñó. Có th b n ph i ch ra m t n m ng ho c ti n t CIDR trong trư ng h p b n ñ a ch subnet khác subnet trên máy tính cài Ethereal. • [tcp|udp] [src|dst] port : l c theo c ng c a TCP và UDP. • less|greater : l c các gói tin theo m t ñ dài cho trư c. • ip|ether proto : l c d a trên các giao th c cho trư c thu c tâng Ethernet ho c t ng IP. 5. Làm vi c v i các gói tin b t ñư c 5.1 Xem các gói tin ñã b t Sau khi b n ñã b t ñư c m t s gói tin, hay khi m file d li u thu th p, chúng ta có th ch n và xem t ng gói tin ñư c hi n th trong ô li t kê các gói tin b ng cách nh n chu t vào. Chi ti t v gói tin s hi n th các ô phía dư i – theo d ng cây và d ng nh phân. Có th m r ng cây hi n th gói tin b ng cách n vào d u (+), khi ñó các thông tin chi ti t hơn v giao th c s hi n ra trên màn hình. 13
Ngoài ra, b n có th xem gói tin trong t ng c a s riêng. ði u này cho phép b n d dàng so sánh hai hay nhi u các gói tin. ð xem như v y, nh n chu t ph i vào gói tin và ch n Show Packet in New Window. L c các gói tin khi ñang xem B l c hi n th cho phép b n t p trung vào nh ng gói tin b n quan tâm và n ñi các gói tin khác. B n có th ch n các gói tin d a trên: • Giao th c • S xu t hi n m t trư ng • Giá tr c a trư ng 14
• So sánh gi a các trư ng • … và nhi u hơn th ! B n cũng có th l c trên nhi u trư ng khác n a b ng cách ch n h p tho i Add Expression… Ch ng h n, ñ thu h p danh sách gói tin thành nh ng gói tin ñi ho c ñ n ñ a ch IP 192.168.0.1, ta dùng bi u di n ip.addr = = 192.168.0.1. T o các bi u th c l c hi n th Ethereal cung c p ngôn ng l c hi n th ñơn gi n nhưng r t hi u qu . B n có th so sánh giá tr gi a các gói tin cũng như k t h p các bi u th c thành nh ng phép l c ph c t p. Các b ng sau cung c p nhi u thông tin ñ b n s d ng. 15
B ng các toán t so sánh: Vi t t t ti ng Anh Cú pháp c a C Mô t và ví d Equal eq == ip.addr==10.0.0.5 Not equal ne != ip.addr!=10.0.0.5 Greater than gt > frame.pkt_len > 10 Less than lt < frame.pkt_len < 128 Greater than or equal to ge >= frame.pkt_len ge 0x100 Less than or equal to le
• Field name: Li t kê các trư ng giao th c trong cây. • Relation: Ch n quan h b n mong mu n. Quan h is present là true n u trư ng b n ch n có trong gói tin. Các quan h khác c n thêm d li u giá tr (Value). • Value: ði n giá tr thích h p cho bi u th c. • Predefined values: M t s trư ng giao th c ñã ñ nh nghĩa s n các giá tr . B n ch vi c ch n m t trong s các giá tr ñó. Tìm ki m các gói tin B n có th d dàng tìm ki m các gói tin b ng cách ch n Find Packet… trong menu Edit. 17
• Display filter: ði n chu i l c hi n th . Ví d ñ tìm th t c b t tay (handshaking) t host 192.168.0.1, s d ng chu i sau: ip.addr = = 192.168.0.1 and tcp.flags.syn. • Hex Value: Tìm m t chu i byte nào ñó trong d li u gói tin. Ví d , dùng “00:00” ñ tìm gói tin ti p theo ch a hai byte không. • String: Tìm m t chu i trong d li u gói tin, v i nhi u tùy ch n khác nhau. 18