說起Wireshark就不得不提Ethereal了,Ethereal和在Windows系統(tǒng)中常用的sniffer pro并稱網(wǎng)絡(luò)嗅探工具雙雄,不過和sniffer pro不同的是Ethereal在Linux類系統(tǒng)中應(yīng)用更為廣泛。而Wireshark軟件則是Ethereal的后續(xù)版本,他是2006年在Ethereal被收購后推出的最新網(wǎng)絡(luò)嗅探軟件,在功能上比前身更加強(qiáng)大。官方主頁: http://www./ Wireshark是功能強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)捕獲工具,他可以幫助我們分析網(wǎng)絡(luò)數(shù)據(jù)流量,在第一時(shí)間發(fā)現(xiàn)蠕蟲病毒,木馬程序以及ARP欺騙等問題的根源。 這個(gè)軟件是開源代碼的??梢栽趌inux和windows下使用,在windows下編譯需要安裝cygwin。 簡單使用教程 使用Wireshark時(shí)最常見的問題,是當(dāng)您使用默認(rèn)設(shè)置時(shí),會(huì)得到大量冗余信息,以至于很難找到自己需要的部分。 ◆設(shè)置Wireshark的過濾規(guī)則
在用Wireshark截獲數(shù)據(jù)包之前,應(yīng)該為其設(shè)置相應(yīng)的過濾規(guī)則,可以只捕獲感興趣的數(shù)據(jù)包。Wireshark使用與Tcpdump相似的過濾規(guī)則,并且可以很方便地存儲(chǔ)已經(jīng)設(shè)置好的過濾規(guī)則。要為Wireshark配置過濾規(guī)則,首先單擊“Capture”選單,然后選擇“Capture Filters...”菜單項(xiàng),打開“Wireshark :Capture Filter”對(duì)話框。因?yàn)榇藭r(shí)還沒有添加任何過濾規(guī)則,因而該對(duì)話框右側(cè)的列表框是空的(如圖2所示)。在Wireshark中添加過濾器時(shí),需要為該過濾器指定名字及規(guī)則。
例如,要在主機(jī)192.168.0.3和192.168.0.11間創(chuàng)建過濾器,可以在“Filter name”編輯框內(nèi)輸入過濾器名字“cjh”,在“Filter string”編輯框內(nèi)輸入過濾規(guī)則“host 192.168.0.3 and 192.168.0.11”,然后單擊“新建”按鈕即可。
在 Wireshark中使用的過濾規(guī)則和Tcpdump幾乎完全一致,這是因?yàn)閮烧叨蓟趐cap庫的緣故。Wireshark能夠同時(shí)維護(hù)很多個(gè)過濾器。網(wǎng)絡(luò)管理員可以根據(jù)實(shí)際需要選用不同的過濾器,這在很多情況下是非常有用的。例如,一個(gè)過濾器可能用于截獲兩個(gè)主機(jī)間的數(shù)據(jù)包,而另一個(gè)則可能用于截獲 ICMP包來診斷網(wǎng)絡(luò)故障。單擊“保存”按鈕,會(huì)到對(duì)話框。單擊“關(guān)閉”按鈕完成設(shè)置。 1. 指定過濾器
要將過濾器應(yīng)用于嗅探過程,需要在截獲數(shù)據(jù)包之前或之后指定過濾器。要為嗅探過程指定過濾器,并開始截獲數(shù)據(jù)包,可以單擊“Capture”選單,選擇 “Start...”選單項(xiàng),打開“iterface”對(duì)話框,單擊該對(duì)話框中的“Filter:”按鈕,然后選擇要使用的網(wǎng)絡(luò)接口,如圖5所示。
l注意:在“Capture Options”對(duì)話框中,“Update list of packets in real time”復(fù)選框被選中了。這樣可以使每個(gè)數(shù)據(jù)包在被截獲時(shí)就實(shí)時(shí)顯示出來,而不是在嗅探過程結(jié)束之后才顯示所有截獲的數(shù)據(jù)包。
在選擇了所需要的過濾器后,單擊“確定”按鈕,整個(gè)嗅探過程就開始了。Wireshark可以實(shí)時(shí)顯示截獲的數(shù)據(jù)包,因此能夠幫助網(wǎng)絡(luò)管理員及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀況,從而使其對(duì)網(wǎng)絡(luò)性能和流量能有一個(gè)比較準(zhǔn)確的把握。如圖6 。
圖 6 Wireshark實(shí)時(shí)顯示截獲的數(shù)據(jù)包 Capture Options其他選項(xiàng):
Interface(接口)
這個(gè)字段指定在哪個(gè)接口進(jìn)行捕獲。這是一個(gè)下拉字段,只能從中選擇Wireshark 識(shí)別出來的接口,默認(rèn)是第一塊支持捕獲的非loopback 接口卡。如果沒有接口卡,那么第一個(gè)默認(rèn)就是第一塊loopback 接口卡。在某些系統(tǒng)中,loopback 接口卡不能用來捕獲(loopback 接口卡在Windows平臺(tái)是不可用的)。
lIP address(IP 地址)
所選接口卡的IP 地址。如果不能解析出IP 地址,則顯示"unknown"
lLink-layer header type(鏈路層頭類型)
除非你在極個(gè)別的情況下可能用到這個(gè)字段,大多數(shù)情況下保持默認(rèn)值。具體的描述,見”
lBuffer size: n megabyte(s) (緩沖區(qū)大小:n 兆)
輸入捕獲時(shí)使用的buffer 的大小。這是核心buffer 的大小,捕獲的數(shù)據(jù)首先保存在這里,直到寫入磁盤。如果遇到包丟失的情況,增加這個(gè)值可能解決問題。
lCapture packets in promiscuous mode (在混雜模式捕獲包)
這個(gè)選項(xiàng)允許設(shè)置是否將網(wǎng)卡設(shè)置在混雜模式。如果不指定,Wireshark 僅僅捕獲那些進(jìn)入你的計(jì)算機(jī)的或送出你的計(jì)算機(jī)的包。(而不是LAN 網(wǎng)段上的所有包).
lLimit each packet to n bytes (限制每一個(gè)包為n 字節(jié))
這個(gè)字段設(shè)置每一個(gè)數(shù)據(jù)包的最大捕獲的數(shù)據(jù)量。有時(shí)稱作snaplen 。如果disable 這個(gè)選項(xiàng)默認(rèn)是65535, 對(duì)于大多數(shù)協(xié)議來講中夠了。
lCapture Filter(捕獲過濾)
這個(gè)字段指定一個(gè)捕獲過濾。 “在捕獲時(shí)進(jìn)行過濾”部分進(jìn)行討論。默認(rèn)是空的,即沒過過濾。也可以點(diǎn)擊標(biāo)為Capture Filter 的按鈕, Wireshark 將彈出Capture Filters(捕獲過濾)對(duì)話框,來建立或者選擇一個(gè)過濾。
四、用Wireshark分析互聯(lián)網(wǎng)數(shù)據(jù)包實(shí)例
上面基本是以局域網(wǎng)為例的。下面看看Wireshark對(duì)于互聯(lián)網(wǎng)數(shù)據(jù)的分析。Wireshark和其它的圖形化嗅探器使用基本類似的界面,整個(gè)窗口被分成三個(gè)部分:最上面為數(shù)據(jù)包列表,用來顯示截獲的每個(gè)數(shù)據(jù)包的總結(jié)性信息;中間為協(xié)議樹,用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息;最下邊是以十六進(jìn)制形式表示的數(shù)據(jù)包內(nèi)容,用來顯示數(shù)據(jù)包在物理層上傳輸時(shí)的最終形式。使用Wireshark可以很方便地對(duì)截獲的數(shù)據(jù)包進(jìn)行分析,包括該數(shù)據(jù)包的源地址、目的地址、所屬協(xié)議等。圖7是在Wireshark中對(duì)一個(gè)HTTP數(shù)據(jù)包進(jìn)行分析時(shí)的情形。在圖最上邊的數(shù)據(jù)包列表中,顯示了被截獲的數(shù)據(jù)包的基本信息。
圖 7中間是協(xié)議樹,通過協(xié)議樹可以得到被截獲的數(shù)據(jù)包的更多信息,如主機(jī)的MAC地址(Ethernet II)、IP地址(Internet Protocol)、TCP端口號(hào)(Transmission Control Protocol),以及HTTP協(xié)議的具體內(nèi)容(Hypertext Trnasfer Protocol)。通過擴(kuò)展協(xié)議樹中的相應(yīng)節(jié)點(diǎn),可以得到該數(shù)據(jù)包中攜帶的更詳盡的信息。
圖 8最下邊是以十六制顯示的數(shù)據(jù)包的具體內(nèi)容,這是被截獲的數(shù)據(jù)包在物理媒體上傳輸時(shí)的最終形式,當(dāng)在協(xié)議樹中選中某行時(shí),與其對(duì)應(yīng)的十六進(jìn)制代碼同樣會(huì)被選中,這樣就可以很方便地對(duì)各種協(xié)議的數(shù)據(jù)包進(jìn)行分析。圖6 是一個(gè)詳細(xì)封包分析。是點(diǎn)擊該封包選擇“Mark Pactet”。從圖中可以看出,當(dāng)前選中數(shù)據(jù)包的源地址是221.217.132.33,目的地址為202.106.124.50,該數(shù)據(jù)包所屬的協(xié)議是超文本傳輸協(xié)議(HTTP)。要獲取更加詳細(xì)信息可以是點(diǎn)擊該封包選擇“Follow TCP stearm ”。 |
|