Dò gói tin là gì?
Tcpdump, Wireshark, và cách hàng xóm của bạn theo dõi bạn

Chia sẻ
Tò mò có thể giết chết con mèo, nhưng không giết được hacker.
Packet sniffing là một kỹ thuật cực kỳ phổ biến trong thế giới an ninh mạng. Nó bao gồm việc giám sát và bắt giữ các gói dữ liệu đi qua một mạng nhất định. Điều làm cho packet sniffing khác với phân tích gói dữ liệu về cơ bản là mục đích của chúng: cái trước “ngửi” dữ liệu thuộc người dùng khác, do đó là sự chặn dữ liệu trái phép, trong khi phân tích gói dữ liệu là phân tích hợp pháp về luồng dữ liệu.
Thường dựa trên các công cụ như tcpdump và Wireshark, packet sniffing và phân tích được sử dụng rộng rãi để giám sát tình trạng của một hệ thống nhất định và có thể sử dụng cho cả hai mục đích:
-
Mục đích hợp pháp như giải quyết các sự cố kết nối và xác định việc truyền lại TCP; phân tích hiệu suất (độ trễ, thông lượng và mất gói); và điều tra pháp lý và gỡ lỗi ứng dụng để tái hiện các sự cố.
-
Mục đích độc hại như bắt giữ thông tin xác thực được truyền dưới dạng văn bản thuần túy (ví dụ: FTP/HTTP không có TLS); đánh cắp cookie phiên hoặc token API để chiếm đoạt tài khoản; và gián điệp cùng với thu thập siêu dữ liệu để lập bản đồ cơ sở hạ tầng và kỹ thuật xã hội.
Mạng hoạt động như thế nào?
Để hiểu packet sniffing là gì, trước tiên chúng ta nên hiểu mạng là gì. Mạng máy tính đơn giản là một tập hợp các thiết bị kết nối với nhau, có khả năng trao đổi thông tin.
Việc giao tiếp diễn ra theo cách có tổ chức và tiêu chuẩn hóa, tuân theo một mô hình khái niệm gọi là Open Systems Interconnection (OSI), chia việc truyền dữ liệu thành 7 lớp sau:
Lớp (OSI) | Role / Function | Example — Encapsulation (web browsing) |
|---|---|---|
| Interface between the user and the network; protocols that software uses to communicate (HTTP, SMTP, FTP, etc.). | The browser (e.g., Brave) generates an HTTP GET request to |
| Formatting, encoding, encryption, and compression of data so applications can understand data (UTF‑8, JPEG, TLS). | The HTTP request is encoded in UTF‑8 and, if HTTPS, the payload is encrypted with TLS before being sent. |
| Manages communication sessions between applications: establishing, maintaining, and terminating dialogues. | The browser reuses the same session/dialogue for multiple HTTP requests (keep‑alive), or manages a TLS session between client and server. |
| End‑to‑end transport; reliable delivery, flow control, and multiplexing (TCP/UDP). | HTTP data is segmented and sent via TCP; source/destination ports (e.g., client: random, server: 443 for HTTPS). |
| Logical addressing and routing between networks (IPv4/IPv6). | TCP segments are encapsulated in IP packets with src=192.168.1.100 and dst=93.184.216.34; routers forward the packet through the Internet. |
| Frames, physical addressing (MAC), error detection, and media access (Ethernet, Wi‑Fi). | IP packets are encapsulated in Ethernet frames containing source/destination MAC addresses; switches deliver frames within the LAN. |
| Transmission of bits over the physical medium: electrical, optical, or radio signals; corresponds to cables, connectors, and network cards. | Ethernet frames are converted into electrical pulses (or Wi‑Fi signals) and transmitted through the cable (or air) to the next node. |
Trình dò gói tin trong luồng dữ liệu
Khi người dùng truy cập một trang web hoặc gửi tin nhắn, thông tin được phân mảnh thành các gói dữ liệu. Mỗi gói mang một phần của cuộc giao tiếp và chứa thông tin mặc định là công khai, như địa chỉ nguồn và đích cũng như các cờ điều khiển. Do đó, trong quá trình định tuyến, các gói có thể bị chặn và khai thác cho nhiều mục đích khác nhau.
Đây là lúc các trình dò xuất hiện: các chương trình hoặc thiết bị có thể "nghe lén" từng gói dữ liệu khi chúng di chuyển qua mạng, theo dõi và ghi lại lưu lượng. Những công cụ này có thể quan sát toàn bộ giao tiếp đi qua một điểm nhất định trong cơ sở hạ tầng nếu mạng không được bảo vệ đúng cách.
Do đó, kỹ thuật dò gói tin là một dạng của phân tích lưu lượng bao gồm chặn và ghi lại các gói đang truyền, có thể phục vụ nhiều mục đích: từ chẩn đoán sự cố và tối ưu hiệu suất đến gián điệp giao tiếp và đánh cắp thông tin nhạy cảm.
Trình dò
Trình đf (Sniffer) là cơ chế — phần mềm hoặc phần cứng — giúp thực hiện việc theo dõi gói tin. Nó hoạt động như một bản ghi lưu lượng mạng, quan sát các gói dữ liệu đi qua một giao diện và cung cấp cho quá trình phân tích.
Trong các mạng hiện đại, sniffer chủ yếu được sử dụng theo hai cách khác nhau:
- Ngữ cảnh hợp pháp trong đó quản trị viên mạng sử dụng các công cụ như tcpdump (dòng lệnh, tập trung vào việc bắt dữ liệu) hoặc Wireshark (giao diện đồ họa, với giải mã nâng cao) để chẩn đoán lỗi, kiểm tra cấu hình và thực hiện phân tích pháp y. Do đó, đây là việc sử dụng công cụ kiểm tra gói tin để xác minh tình trạng và bảo mật của hệ thống.
- Ngữ cảnh độc hại trong đó cộng đồng hacker sử dụng các sniffer được tùy chỉnh để bắt thông tin xác thực, token phiên và dữ liệu nhạy cảm khác, từ đó thực hiện gián điệp hoặc các cuộc tấn công tinh vi hơn.
Do đó, sự khác biệt không nằm ở công nghệ mà là ở ý định của người vận hành.
Kỹ thuật phát sóng và theo dõi gói
Kỹ thuật theo dõi phát sóng tận dụng hoạt động của mạng Ethernet trong môi trường chia sẻ. Mỗi khi máy gửi dữ liệu, dữ liệu được đóng gói trong một khung MAC chứa địa chỉ vật lý của người nhận.
Thẻ giao diện mạng (NIC) là thành phần phần cứng chịu trách nhiệm cho giao tiếp này: nó kết nối máy tính với mạng, chuyển đổi dữ liệu thành tín hiệu điện hoặc sóng radio, và có địa chỉ MAC 48 bit duy nhất. 24 bit đầu xác định nhà sản xuất và 24 bit cuối xác định số seri của thẻ. Địa chỉ này đóng vai trò là “định danh” vật lý của máy trong mạng.

Thông thường, NIC chỉ chấp nhận các khung có đích đến là địa chỉ MAC của nó và loại bỏ phần còn lại. Tuy nhiên, sniffer thay đổi hành vi này bằng cách đưa thẻ vào chế độ promiscuous. Ở trạng thái này, NIC chấp nhận tất cả các khung đến, bất kể người nhận là ai, và chuyển chúng cho hệ điều hành để phân tích.
Trong các mạng dựa trên hub hoặc các phương tiện phát tán khác, điều này có nghĩa là một máy tính duy nhất có thể quan sát hầu hết tất cả lưu lượng cục bộ. Trong các mạng hiện đại sử dụng switch, cô lập cổng giới hạn khả năng quan sát này, yêu cầu các công cụ bổ sung như sao chép cổng (port mirroring), TAPs hoặc kỹ thuật thao túng lưu lượng (ví dụ: giả mạo ARP) để thu thập hiệu quả.
Tóm lại, theo dõi phát sóng là khai thác khả năng của thẻ mạng để chấp nhận các gói không thuộc về nó, biến kiến trúc phát sóng của mạng thành cơ hội để giám sát giao tiếp của người khác.
Sử dụng hợp pháp và bất hợp pháp của dò gói tin
Nếu giữ định nghĩa dò gói tin là việc người dùng bắt các gói giao tiếp mà họ không có quyền truy cập, thì tất cả hoạt động sniffer sẽ được coi là độc hại. Tuy nhiên, như thường thấy trong lĩnh vực bảo mật thông tin, cùng một công cụ và kỹ thuật có thể dùng để tấn công, bảo vệ hoặc tối ưu hóa.
Do đó, ta có thể gọi các thực hành hợp pháp giám sát mạng, sử dụng các công cụ như Wireshark và tcpdump, là phân tích gói tin. Những người hưởng lợi từ việc kiểm tra các gói dữ liệu trên mạng với những công cụ này bao gồm:
- Nhà phát triển: chẩn đoán phản hồi chậm, truyền lại, và điểm nghẽn; xác nhận định dạng dữ liệu và tiêu đề; tái tạo yêu cầu và đo độ trễ trong quá trình gỡ lỗi.
- Quản trị hệ thống: có được snapshot chính xác tình trạng mạng hiện tại (băng thông, thất thoát, tắc nghẽn), điều chỉnh tham số hiệu suất và sử dụng bộ lọc nâng cao để duy trì hiệu quả hạ tầng.
- Nhà phân tích an ninh: tiến hành điều tra pháp y dựa trên lưu lượng đã thu thập, nhận diện hành vi bất thường, xác nhận các vectơ lấy cắp dữ liệu và tạo ra bằng chứng vững chắc để phản hồi sự cố.
- Sinh viên: quan sát hoạt động của các giao thức (như DHCP, TCP, TLS) một cách thực tế trong phòng thí nghiệm hoặc môi trường kiểm soát, biến khái niệm trừu tượng thành trải nghiệm cụ thể và thúc đẩy việc học.
Mặt khác, theo dõi gói tin với mục đích độc hại sử dụng các công cụ này đem lại lợi ích cho tội phạm mạng theo hai cách:
- Tấn công thụ động: kẻ tấn công chỉ quan sát lưu lượng để do thám (bản đồ các host, cổng và dịch vụ), bắt dữ liệu dạng văn bản thuần túy (HTTP, FTP, Telnet, một số luồng VoIP) để lấy thông tin xác thực, token, hoặc cookie, và thu thập siêu dữ liệu hữu ích để lên kế hoạch cho các giai đoạn tấn công tiếp theo (thời gian, mẫu giao tiếp, điểm cuối bị lộ). Hình thức này mang tính lén lút và khó phát hiện vì không làm thay đổi luồng dữ liệu quan sát.
- Tấn công chủ động: kẻ tấn công hành động để tăng khả năng quan sát hoặc thao túng lưu lượng — ví dụ, sử dụng giả mạo ARP để chuyển hướng các gói, chèn hoặc sửa đổi gói nhằm giả mạo phiên làm việc hoặc gây lỗi, và tạo điều kiện cho việc chặn và thay đổi dữ liệu. Các phương pháp này là bước khởi đầu trong cuộc tấn công nổi tiếng Man in The Middle và là một trong những cuộc tấn công hiệu quả nhất để chiếm đoạt dữ liệu và thông tin xác thực.
Kỹ thuật phòng chống dò gói tin
Các thực hành phòng thủ tốt nhất chống lại sniffing bao gồm:
1. Sử dụng mã hóa đầu cuối
Mã hóa đầu cuối đảm bảo rằng ngay cả khi kẻ tấn công chặn các gói mạng, họ cũng không thể đọc được nội dung. Các giao thức bảo mật như HTTPS, TLS và SSH giúp bảo vệ giao tiếp mật.
2. Triển khai phân đoạn mạng
Chia mạng thành các phân đoạn nhỏ giúp giảm khả năng kẻ tấn công truy cập toàn hệ thống. Phương pháp phi tập trung hóa này giới hạn thiệt hại do việc chặn dữ liệu thành công gây ra.
3. Bật các cơ chế xác thực an toàn
Xác thực đa yếu tố (MFA) và chính sách mật khẩu mạnh có thể ngăn chặn kẻ tấn công sử dụng thông tin xác thực bị đánh cắp để truy cập dữ liệu nhạy cảm.
4. Triển khai công cụ giám sát mạng
Theo dõi lưu lượng mạng thường xuyên bằng hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) có thể giúp xác định hoạt động đáng ngờ và giảm thiểu mối đe dọa trước khi chúng gây hại.
5. Sử dụng Mạng Riêng Ảo (VPN)
VPN mã hóa lưu lượng internet, khiến hacker khó chặn hoặc xem xét các gói mạng. Điều này đặc biệt áp dụng cho nhân viên làm việc từ xa và những người truy cập mạng công ty qua Wi-Fi công cộng.
Để có sự bảo vệ tốt nhất chống lại phân tích gói tin, việc sử dụng VPN phi tập trung là rất cần thiết. VPN truyền thống dựa trên các máy chủ tập trung, khiến địa chỉ IP của bạn có thể bị liên kết với các hoạt động trực tuyến của bạn qua một proxy duy nhất của công ty VPN. Với một VPN phi tập trung như NymVPN, các gói dữ liệu của bạn được đi qua một mạng đa điểm trung chuyển, phi tập trung để khiến bạn không thể bị liên kết với điểm đến hoặc hoạt động của mình.
6. Thường xuyên cập nhật phần mềm và các bản vá bảo mật
Phần mềm lỗi thời thường chứa các lỗ hổng mà kẻ tấn công có thể lợi dụng để triển khai trình dò gói tin. Việc giữ cho hệ điều hành, thiết bị mạng và ứng dụng luôn được cập nhật giúp giảm nguy cơ các cuộc tấn công như vậy.
Phần kết luận
Dò gói tin vừa là một trong những công cụ mạnh mẽ nhất vừa là nguy hiểm nhất trong lĩnh vực an ninh mạng. Khi được sử dụng hợp pháp — trong môi trường phát triển, quản trị hệ thống, giảng dạy hoặc phân tích pháp y — nó trở thành công cụ không thể thiếu để hiểu, gỡ lỗi và củng cố các mạng máy tính. Mặt khác, khi bị lợi dụng với ý đồ xấu, nó trở thành một cơ chế lén lút để do thám và đánh cắp thông tin nhạy cảm.
Bản chất hai mặt này làm nổi bật một điểm cốt lõi: công nghệ không phải là tốt hay xấu, thậm chí không trung lập; nó phụ thuộc vào mục đích sử dụng của người dùng, như Melvin Kranzberg đã chỉ ra. Các tổ chức và người dùng phải áp dụng các biện pháp phòng thủ mạnh mẽ — như mã hóa, phân đoạn mạng, xác thực mạnh và giám sát liên tục — để giảm bề mặt tấn công và ngăn chặn hành động của kẻ dò gói tin ác ý.
Cuối cùng, việc hiểu cách thức hoạt động, ứng dụng và rủi ro của dò gói tin không chỉ là một bài tập học thuật mà còn là bước thiết yếu cho bất kỳ ai quan tâm đến việc bảo vệ dữ liệu và duy trì toàn vẹn thông tin liên lạc trong thế giới số ngày nay.
Phần mềm dò gói tin thu thập lưu lượng truy cập không được bảo vệ
Nym mã hóa và trộn dữ liệu của bạn nên không có gì để thu thập được.

Dò gói tin: Câu hỏi thường gặp
Dò gói tin được sử dụng để thu thập dữ liệu truyền tải trên mạng. Mặc dù đó thông thường là một công cụ hợp pháp để khắc phục sự cố hoặc giám sát hiệu suất mạng, nhưng nó cũng có thể bị tin tặc lạm dụng để đánh cắp thông tin nhạy cảm như mật khẩu và mã phiên.
Khi lưu lượng truy cập không được mã hóa, các phần mềm dò gói tin có thể chặn và đọc các gói dữ liệu thô, bao gồm cả thông tin đăng nhập và tin nhắn cá nhân. Ngay cả trên các trang web bảo mật, siêu dữ liệu như địa chỉ IP và dấu thời gian vẫn có thể bị lộ nếu không được mã hóa đúng cách.
Luôn sử dụng kết nối mã hóa (HTTPS, SSL, TLS) và kết nối thông qua VPN đáng tin cậy. NymVPN cung cấp định tuyến phi tập trung giúp ẩn cả dữ liệu và siêu dữ liệu của bạn, khiến cho các phần mềm gián điệp không thể theo dõi hoạt động hoặc định danh thiết bị của bạn.
Có. Các mạng Wi-Fi mở thường là mục tiêu của việc nghe lén gói dữ liệu vì dữ liệu thường được truyền đi mà không được mã hóa. Sử dụng NymVPN hoặc các công cụ mã hóa mạnh mẽ khác giúp ngăn chặn việc nghe lén và đảm bảo thông tin cá nhân của bạn luôn được bảo mật.
