Wireshark數據抓包教程之Wireshark的基礎知識

Wireshark數據抓包教程之Wireshark的基礎知識

Wireshark的基礎知識

在這個網絡信息時代裏，計算機安全始終是一個讓人揪心的問題，網絡安全則有過之而無不及。Wireshark做爲國際知名的網絡數據抓包和分析工具，能夠普遍地應用各類領域，尤爲是網絡安全領域。藉助Wireshark，網絡安全工程師能夠快速的從數據抓包中找出各類潛在的安全問題。本章將詳細講解Wireshark的簡單使用。

Wireshark簡介

Wireshark（前稱Ethereal）是一個網絡封包分析軟件。網絡封包分析軟件的功能是截取網絡封包，並儘量顯示出最爲詳細的網絡封包資料。Wireshark使用WinPcan做爲接口，直接與網卡進行數據報文交換。下面介紹下它的做用和應用。

Wireshark的做用

Wireshark是一個最知名的開源應用程序的安全工具。Wireshark能夠運行在Windows、MAC OS X、Linux和UNIX操做系統上，它甚至能夠做爲一個Portable App運行。這裏將介紹Wireshark的做用。使用Wireshark能夠完成如下任務。

1.通常分析任務

• q  找出在一個網絡內的發送數據包最多的主機。

• q  查看網絡通訊。

• q  查看某個主機使用了哪些程序。

• q  瞭解基本正常的網絡通訊

• q  驗證特有的網絡操做。

• q  瞭解嘗試鏈接無線網絡的用戶。

• q  同時捕獲多個網絡的數據。

• q  實施無人值守數據捕獲。

• q  捕獲並分析到/來自一個特定主機或子網的數據。

• q  經過FTP或HTTP查看和從新配置文件傳輸。

• q  從其它捕獲工具導入跟蹤文件。

• q  使用最少的資源捕獲數據。

2.故障任務

• q  爲故障建立一個自定義的分析環境。

• q  肯定路徑、客戶端和服務延遲。

• q  肯定TCP問題。

• q  檢查HTTP代理問題。

• q  檢查應用程序錯誤響應。

• q  經過查看圖形顯示的結果，找出相關的網絡問題。

• q  肯定重載的緩衝區。

• q  比較緩慢的通訊到正常通訊的一個基準。

• q  找出重複的IP地址。

• q  肯定DHCP服務或網絡代理問題。

• q  肯定WLAN信號強度問題。

• q  檢測WLAN鏈接的次數。

• q  檢查各類網絡配置錯誤。

• q  肯定應用程序正在加載一個網絡片斷。

• 3.安全分析（網絡取證）任務

• q  爲網絡取證建立一個自定義分析環境。

• q  檢查使用非標準端口的應用程序。

• q  肯定到/來自可疑主機的數據。

• q  查看哪臺主機正在嘗試獲取一個IP地址。

• q  肯定「phone home」數據。

• q  肯定網絡偵查過程。

• q  全球定位和映射遠程目標地址。

• q  檢查可疑數據重定向。

• q  檢查單個TCP或UDP客戶端和服務器之間的會話。

• q  檢查到惡意畸形的幀。

• q  在網絡數據中找出攻擊簽名的關鍵因素。

4.應用程序分析任務

• q  瞭解應用程序和協議如何工做。

• q  圖形應用程序的帶寬使用狀況。

• q  肯定是否將支持應用程序的連接。

• q  更新/升級後檢查應用程序性能。

• q  從一個新安裝的應用程序中檢查錯誤響應。

• q  肯定哪一個用戶正在運行一個特定的應用程序。

• q  檢查應用程序如何使用傳輸協議，如TCP或UDP。

Wireshark的應用

理解了Wireshark的做用後，就會根據Wireshark的不一樣做用進行運用了，下面介紹它的應用。

• q  網絡管理員可使用Wireshark來檢測網絡問題。

• q  網絡安全工程師可使用Wireshark來檢查安全隱患的相關問題。

• q  開發者可使用Wireshark來測試協議的執行狀況。

• q  普通使用者可使用Wireshark來學習網絡協定的相關知識。

獲取Wireshark

在大部分操做系統中，默認是沒有安裝Wireshark工具的。若是要使用該工具，首先須要學習安裝Wireshark。在安裝以前就得了解如何獲取Wireshark。Wireshark的官方網站是http://www.wireshark.org。咱們能夠從該網站中獲取到Wireshark。

Wireshark的相關版本

登陸上述給出的Wireshark官方網站，如圖1.1所示：

圖1.1  Wireshark官方網站    圖1.2  Wireshark下載界面

單擊圖中的Download按鈕，進入下載頁面，如圖1.2所示。

從該界面能夠看到WIreshark的相關版本。有穩定版本（目前最新版本爲1.12.6）、開發版（目前最新版本爲1.99.7）。單擊穩定版和開發版展開後均可以看到有關Wireshark的相關版本。只不過穩定版下載的Wireshark都是英文版的。開發版裏有中文版的。本書中主要介紹的是Wireshark中文版。所以以開發版爲例給你們講解。單擊展開WIreshark開發版，查看相關的版本，如圖1.3所示。

圖1.3  Wireshark開發版 圖1.4  Windows 7操做系統

從該界面能夠看到Wireshark開發版提供了Windows（32位和64位）、OS X和源碼包的下載地址。根據本身的操做系統下載相應的軟件包。

如何識別操做系統

經過上一節的學習能夠下載適合本身的Wireshark了，其中OS X用在蘋果系統中、源碼包用在Linux系統中。這兩種系統比較好識別，這裏就不作介紹了。這裏簡單介紹下如何識別Windows系統，查看是32位仍是64位。

1.Windows 7操做系統

右鍵單擊桌面上的「計算機」圖標，選擇「屬性」命令，打開「系統」窗口，如圖1.4所示：

從該圖中系統類型能夠看出，該系統是64位操做系統，所以能夠在圖1.3中能夠選擇Windows Installer(64-bit)軟件包來安裝Wireshark。

提示：若是桌面上沒有計算機的話，能夠右鍵單擊桌面空白處，選擇「個性化」命令，在彈出的界面左欄中單擊「更改桌面圖標」，彈出桌面圖標設置界面，如圖1.5所示

圖1.5  桌面圖標設置

單擊「計算機」前面的複選框後，便可把「計算機」圖標添加到桌面上。

2.Windows XP操做系統

右鍵單擊桌面上的「個人電腦」，選擇「屬性」如圖1.6所示。在系統中，若是顯示有「x64 Edition」，則電腦安裝的是64位版本的Windows XP。若是未顯示有「x64 Edition」，則安裝的是32位版本的Windows XP。從該圖中能夠看到未顯示有「x64 Edition」，說明給系統是32位系統。所以在圖1.3中能夠選擇Windows Installer(32-bit)軟件包來安裝Wireshark。

提示：若是桌面上沒有個人電腦的話，能夠右鍵單擊桌面空白處，選擇「屬性」，在屬性界面中切換到桌面選項卡，而後單擊「自定義桌面(D)...」按鈕，彈出「桌面項目」對話框，如圖1.7所示：

圖1.6  Windows XP                        圖1.7  桌面選項

單擊「個人電腦(M)」前面的複選框，便可把「個人電腦」圖標添加到桌面上。

本文選自：Wireshark數據抓包基礎教程大學霸內部資料，轉載請註明出處，尊重技術尊重IT人！