Wireshark資料抓包教程之Wireshark的基礎知識

Wireshark的基礎知識

在這個網路資訊時代裡，電腦保安始終是一個讓人揪心的問題，網路安全則有過之而無不及。Wireshark作為國際知名的網路資料抓包和分析工具，可以廣泛地應用各種領域，尤其是網路安全領域。藉助Wireshark，網路安全工程師可以快速的從資料抓包中找出各種潛在的安全問題。本章將詳細講解Wireshark的簡單使用。

Wireshark簡介

Wireshark（前稱Ethereal）是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPcan作為介面，直接與網路卡進行資料包文交換。下面介紹下它的作用和應用。

Wireshark的作用

Wireshark是一個最知名的開源應用程式的安全工具。Wireshark可以執行在Windows、MAC OS X、Linux和UNIX作業系統上，它甚至可以作為一個Portable App執行。這裡將介紹Wireshark的作用。使用Wireshark可以完成以下任務。

1.一般分析任務

• q  找出在一個網路內的傳送資料包最多的主機。
• q  檢視網路通訊。
• q  檢視某個主機使用了哪些程式。
• q  瞭解基本正常的網路通訊
• q  驗證特有的網路操作。
• q  瞭解嘗試連線無線網路的使用者。
• q  同時捕獲多個網路的資料。
• q  實施無人值守資料捕獲。
• q  捕獲並分析到/來自一個特定主機或子網的資料。
• q  透過FTP或HTTP檢視和重新配置檔案傳輸。
• q  從其它捕獲工具匯入跟蹤檔案。
• q  使用最少的資源捕獲資料。

2.故障任務

• q  為故障建立一個自定義的分析環境。
• q  確定路徑、客戶端和服務延遲。
• q  確定TCP問題。
• q  檢查HTTP代理問題。
• q  檢查應用程式錯誤響應。
• q  透過檢視圖形顯示的結果，找出相關的網路問題。
• q  確定過載的緩衝區。
• q  比較緩慢的通訊到正常通訊的一個基準。
• q  找出重複的IP地址。
• q  確定DHCP服務或網路代理問題。
• q  確定WLAN訊號強度問題。
• q  檢測WLAN連線的次數。
• q  檢查各種網路配置錯誤。
• q  確定應用程式正在載入一個網路片段。
• 3.安全分析（網路取證）任務
• q  為網路取證建立一個自定義分析環境。
• q  檢查使用非標準埠的應用程式。
• q  確定到/來自可疑主機的資料。
• q  檢視哪臺主機正在嘗試獲取一個IP地址。
• q  確定“phone home”資料。
• q  確定網路偵查過程。
• q  全球定位和對映遠端目標地址。
• q  檢查可疑資料重定向。
• q  檢查單個TCP或UDP客戶端和伺服器之間的會話。
• q  檢查到惡意畸形的幀。
• q  在網路資料中找出攻擊簽名的關鍵因素。

4.應用程式分析任務

• q  瞭解應用程式和協議如何工作。
• q  圖形應用程式的頻寬使用情況。
• q  確定是否將支援應用程式的連結。
• q  更新/升級後檢查應用程式效能。
• q  從一個新安裝的應用程式中檢查錯誤響應。
• q  確定哪個使用者正在執行一個特定的應用程式。
• q  檢查應用程式如何使用傳輸協議，如TCP或UDP。

Wireshark的應用

理解了Wireshark的作用後，就會根據Wireshark的不同作用進行運用了，下面介紹它的應用。

• q  網路管理員可以使用Wireshark來檢測網路問題。
• q  網路安全工程師可以使用Wireshark來檢查安全隱患的相關問題。
• q  開發者可以使用Wireshark來測試協議的執行情況。
• q  普通使用者可以使用Wireshark來學習網路協定的相關知識。

獲取Wireshark

在大部分作業系統中，預設是沒有安裝Wireshark工具的。如果要使用該工具，首先需要學習安裝Wireshark。在安裝之前就得了解如何獲取Wireshark。Wireshark的官方網站是。我們可以從該網站中獲取到Wireshark。

Wireshark的相關版本

登入上述給出的Wireshark官方網站，如圖1.1所示：

圖1.1  Wireshark官方網站    圖1.2  Wireshark下載介面

單擊圖中的Download按鈕，進入下載頁面，如圖1.2所示。

從該介面可以看到WIreshark的相關版本。有穩定版本（目前最新版本為1.12.6）、開發版（目前最新版本為1.99.7）。單擊穩定版和開發版展開後都可以看到有關Wireshark的相關版本。只不過穩定版下載的Wireshark都是英文版的。開發版裡有中文版的。本書中主要介紹的是Wireshark中文版。因此以開發版為例給大家講解。單擊展開WIreshark開發版，檢視相關的版本，如圖1.3所示。

圖1.3  Wireshark開發版 圖1.4  Windows 7作業系統

從該介面可以看到Wireshark開發版提供了Windows（32位和64位）、OS X和原始碼包的下載地址。根據自己的作業系統下載相應的軟體包。

如何識別作業系統

透過上一節的學習可以下載適合自己的Wireshark了，其中OS X用在蘋果系統中、原始碼包用在Linux系統中。這兩種系統比較好識別，這裡就不做介紹了。這裡簡單介紹下如何識別Windows系統，檢視是32位還是64位。

1.Windows 7作業系統

右鍵單擊桌面上的“計算機”圖示，選擇“屬性”命令，開啟“系統”視窗，如圖1.4所示：

從該圖中系統型別可以看出，該系統是64位作業系統，因此可以在圖1.3中可以選擇Windows Installer(64-bit)軟體包來安裝Wireshark。

提示：如果桌面上沒有計算機的話，可以右鍵單擊桌面空白處，選擇“個性化”命令，在彈出的介面左欄中單擊“更改桌面圖示”，彈出桌面圖示設定介面，如圖1.5所示

圖1.5  桌面圖示設定

單擊“計算機”前面的核取方塊後，即可把“計算機”圖示新增到桌面上。

2.Windows XP作業系統

右鍵單擊桌面上的“我的電腦”，選擇“屬性”如圖1.6所示。在系統中，如果顯示有“x64 Edition”，則電腦安裝的是64位版本的Windows XP。如果未顯示有“x64 Edition”，則安裝的是32位版本的Windows XP。從該圖中可以看到未顯示有“x64 Edition”，說明給系統是32位系統。因此在圖1.3中可以選擇Windows Installer(32-bit)軟體包來安裝Wireshark。

提示：如果桌面上沒有我的電腦的話，可以右鍵單擊桌面空白處，選擇“屬性”，在屬性介面中切換到桌面選項卡，然後單擊“自定義桌面(D)...”按鈕，彈出“桌面專案”對話方塊，如圖1.7所示：

圖1.6  Windows XP                        圖1.7  桌面選項

單擊“我的電腦(M)”前面的核取方塊，即可把“我的電腦”圖示新增到桌面上。

本文選自：Wireshark資料抓包基礎教程大學霸內部資料，轉載請註明出處，尊重技術尊重IT人！