📝 ทำไมต้องเริ่มที่ Packet?
Network ส่วนใหญ่มักเริ่มที่ทฤษฎีที่จับต้องไม่ได้ แต่ในการทำงานจริง โดยเฉพาะการแก้ไขปัญหา (Troubleshooting) และความปลอดภัย (Security) “Packet ไม่เคยโกหกใคร” ในบทความแรกนี้ เราจะมาดูวิธีการดึงข้อมูลดิบจากสายสัญญาณด้วยเครื่องมือที่ทรงพลังที่สุดบน Linux นั่นคือ Tshark
🛠 เครื่องมือที่ใช้ใน Lab นี้
- OS: Linux (Arch/Kali)
- Tool: Tshark (Terminal-based Wireshark)
🔍 ขั้นตอนการวิเคราะห์ (Analysis)
การตรวจสอบ Interface: ก่อนจะเริ่มดักจับข้อมูล เราต้องรู้ก่อนว่าเราจะฟังที่ช่องทางไหน
tshark -D## 📝 ทำไมต้องเริ่มที่ Packet?ลองจับ Packet แรก (The First Capture): ลองดักจับข้อมูล HTTP หรือ ICMP (Ping) เพื่อดูโครงสร้างเบื้องต้น
sudo tshark -i eth0 -c 5
- สิ่งที่ต้องสังเกต: ในการสอนคนอื่น ให้เขาพยายามมองหา 3 ส่วนนี้ในทุกๆ Packet:
Source/Destination: ใครคุยกับใคร?
Protocol: คุยกันด้วยภาษาอะไร? (TCP, UDP, ICMP)
Info: สาระสำคัญที่เขาส่งหากันคืออะไร?
สำหรับผู้เริ่มเรียน: ลองใช้ Tshark จับ Packet ตอนที่คุณ ping google.com แล้วอธิบายว่าทำไมถึงต้องมีการส่ง Request และ Reply