Wireshark資料抓包教程之Wireshark的基礎知識

大學霸發表於2015-07-14

Wireshark資料抓包教程之Wireshark的基礎知識

Wireshark的基礎知識

在這個網路資訊時代裡,電腦保安始終是一個讓人揪心的問題,網路安全則有過之而無不及。Wireshark作為國際知名的網路資料抓包和分析工具,可以廣泛地應用各種領域,尤其是網路安全領域。藉助Wireshark,網路安全工程師可以快速的從資料抓包中找出各種潛在的安全問題。本章將詳細講解Wireshark的簡單使用。

Wireshark簡介

Wireshark(前稱Ethereal)是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPcan作為介面,直接與網路卡進行資料包文交換。下面介紹下它的作用和應用。

Wireshark的作用

Wireshark是一個最知名的開源應用程式的安全工具。Wireshark可以執行在WindowsMAC OS XLinuxUNIX作業系統上,它甚至可以作為一個Portable App執行。這裡將介紹Wireshark的作用。使用Wireshark可以完成以下任務。

1.一般分析任務


  • q  找出在一個網路內的傳送資料包最多的主機。
  • q  檢視網路通訊。
  • q  檢視某個主機使用了哪些程式。
  • q  瞭解基本正常的網路通訊
  • q  驗證特有的網路操作。
  • q  瞭解嘗試連線無線網路的使用者。
  • q  同時捕獲多個網路的資料。
  • q  實施無人值守資料捕獲。
  • q  捕獲並分析到/來自一個特定主機或子網的資料。
  • q  透過FTP或HTTP檢視和重新配置檔案傳輸。
  • q  從其它捕獲工具匯入跟蹤檔案。
  • q  使用最少的資源捕獲資料。


2.故障任務


  • q  為故障建立一個自定義的分析環境。
  • q  確定路徑、客戶端和服務延遲。
  • q  確定TCP問題。
  • q  檢查HTTP代理問題。
  • q  檢查應用程式錯誤響應。
  • q  透過檢視圖形顯示的結果,找出相關的網路問題。
  • q  確定過載的緩衝區。
  • q  比較緩慢的通訊到正常通訊的一個基準。
  • q  找出重複的IP地址。
  • q  確定DHCP服務或網路代理問題。
  • q  確定WLAN訊號強度問題。
  • q  檢測WLAN連線的次數。
  • q  檢查各種網路配置錯誤。
  • q  確定應用程式正在載入一個網路片段。
  • 3.安全分析(網路取證)任務
  • q  為網路取證建立一個自定義分析環境。
  • q  檢查使用非標準埠的應用程式。
  • q  確定到/來自可疑主機的資料。
  • q  檢視哪臺主機正在嘗試獲取一個IP地址。
  • q  確定“phone home”資料。
  • q  確定網路偵查過程。
  • q  全球定位和對映遠端目標地址。
  • q  檢查可疑資料重定向。
  • q  檢查單個TCP或UDP客戶端和伺服器之間的會話。
  • q  檢查到惡意畸形的幀。
  • q  在網路資料中找出攻擊簽名的關鍵因素。


4.應用程式分析任務


  • q  瞭解應用程式和協議如何工作。
  • q  圖形應用程式的頻寬使用情況。
  • q  確定是否將支援應用程式的連結。
  • q  更新/升級後檢查應用程式效能。
  • q  從一個新安裝的應用程式中檢查錯誤響應。
  • q  確定哪個使用者正在執行一個特定的應用程式。
  • q  檢查應用程式如何使用傳輸協議,如TCP或UDP。


Wireshark的應用

理解了Wireshark的作用後,就會根據Wireshark的不同作用進行運用了,下面介紹它的應用。


  • q  網路管理員可以使用Wireshark來檢測網路問題。
  • q  網路安全工程師可以使用Wireshark來檢查安全隱患的相關問題。
  • q  開發者可以使用Wireshark來測試協議的執行情況。
  • q  普通使用者可以使用Wireshark來學習網路協定的相關知識。


獲取Wireshark

在大部分作業系統中,預設是沒有安裝Wireshark工具的。如果要使用該工具,首先需要學習安裝Wireshark。在安裝之前就得了解如何獲取WiresharkWireshark的官方網站是。我們可以從該網站中獲取到Wireshark

Wireshark的相關版本

登入上述給出的Wireshark官方網站,如圖1.1所示:


1.1  Wireshark官方網站    1.2  Wireshark下載介面

單擊圖中的Download按鈕,進入下載頁面,如圖1.2所示。

從該介面可以看到WIreshark的相關版本。有穩定版本(目前最新版本為1.12.6)、開發版(目前最新版本為1.99.7)。單擊穩定版和開發版展開後都可以看到有關Wireshark的相關版本。只不過穩定版下載的Wireshark都是英文版的。開發版裡有中文版的。本書中主要介紹的是Wireshark中文版。因此以開發版為例給大家講解。單擊展開WIreshark開發版,檢視相關的版本,如圖1.3所示。


1.3  Wireshark開發版 1.4  Windows 7作業系統

從該介面可以看到Wireshark開發版提供了Windows32位和64位)、OS X和原始碼包的下載地址。根據自己的作業系統下載相應的軟體包。

如何識別作業系統

透過上一節的學習可以下載適合自己的Wireshark了,其中OS X用在蘋果系統中、原始碼包用在Linux系統中。這兩種系統比較好識別,這裡就不做介紹了。這裡簡單介紹下如何識別Windows系統,檢視是32位還是64位。

1.Windows 7作業系統

右鍵單擊桌面上的“計算機”圖示,選擇“屬性”命令,開啟“系統”視窗,如圖1.4所示:

從該圖中系統型別可以看出,該系統是64位作業系統,因此可以在圖1.3中可以選擇Windows Installer(64-bit)軟體包來安裝Wireshark

提示:如果桌面上沒有計算機的話,可以右鍵單擊桌面空白處,選擇“個性化”命令,在彈出的介面左欄中單擊“更改桌面圖示”,彈出桌面圖示設定介面,如圖1.5所示


1.5  桌面圖示設定

單擊“計算機”前面的核取方塊後,即可把“計算機”圖示新增到桌面上。

2.Windows XP作業系統

右鍵單擊桌面上的“我的電腦”,選擇“屬性”如圖1.6所示。在系統中,如果顯示有“x64 Edition”,則電腦安裝的是64位版本的Windows XP。如果未顯示有“x64 Edition”,則安裝的是32位版本的Windows XP。從該圖中可以看到未顯示有“x64 Edition”,說明給系統是32位系統。因此在圖1.3中可以選擇Windows Installer(32-bit)軟體包來安裝Wireshark

提示:如果桌面上沒有我的電腦的話,可以右鍵單擊桌面空白處,選擇“屬性”,在屬性介面中切換到桌面選項卡,然後單擊“自定義桌面(D)...”按鈕,彈出“桌面專案”對話方塊,如圖1.7所示:


1.6  Windows XP                        1.7  桌面選項

單擊“我的電腦(M)”前面的核取方塊,即可把“我的電腦”圖示新增到桌面上。

本文選自:Wireshark資料抓包基礎教程大學霸內部資料,轉載請註明出處,尊重技術尊重IT人!

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29597077/viewspace-1732557/,如需轉載,請註明出處,否則將追究法律責任。

相關文章