您所在的位置:网络安全 > 安全观察 > 巧妙运用Wireshark嗅探网络通信(1)

巧妙运用Wireshark嗅探网络通信(1)

2008-10-30 08:25 落英缤纷 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

Wireshark这个软件的前身为Ethereal,它是网络安全工作人员十分喜爱的强大工具。作为一款网络数据包分析器,它可以进入网络内部嗅探,在各个级别上检查通信的细节,包括连接水平信息以及组成单个数据包的比特位。

AD:

【51CTO.com 独家特稿】Wireshark这个软件的前身为Ethereal,它是网络安全工作人员十分喜爱的强大工具。作为一款网络数据包分析器,它可以进入网络内部嗅探,在各个级别上检查通信的细节,包括连接水平信息以及组成单个数据包的比特位。对数据包的深度检查准许此工具分析安全事件,也可以诊断网络设备的问题。更为可贵的是,这是一款免费的工具。

网络嗅探的原因

嗅探网络并不是简单地阅读人们的私有邮件信息。在使用Wireshark之前,使用它的单位应当确保拥有清晰定义的私有策略,这种策略可以描述单位的策略要求,清楚地说明使用网络的个人的权限,准许嗅探安全并进行故障诊断。使用Wireshark之类工具的任何人,如果不首先获取必要的许可将可能陷于法律上的困境。

然而,安全专业人士嗅探网络通信有两个重要的原因。首先,在分析网络攻击并设计应对措施时,深入数据包的细节可显示出其巨大的价值。

例如,如果发生了拒绝服务攻击,就可以用Wireshark来确认特定的攻击类型。然后,此工具就可以精确地构建能够阻止非法数据通信的防火墙规则。Wireshark的第二个主要应用是诊断安全设备的问题。如果运行着Wireshark的系统连接到防火墙的任何一端,就容易看出有哪些数据包成功地通过了设备,并确认防火墙是否是产生连接问题的主要原因。

需要记住的一点是, Wireshark可被用于善或恶两个方面。如果一位网络或安全管理人员掌握了此工具,那么它就是一款极有价值的故障诊断工具。然而,如果是一个居心不良的家伙学会了其使用,那么它就是一款强大的窃听工具,因为此工具可使任何人查看通过网络的每一个数据包。

安装Wireshark

安装Wireshark是一件很轻松的事情。此软件有多种操作系统的版本,如Windows、Macintosh OS X、Linux等。Wireshark网站上还有此软件的源代码供用户下载。

如图1是此软件的安装过程的一个截图,可看出它拥有许多插件和工具:

 
图1

其安装后的界面如图2:

 
图2

不过,并不是每一个用户都能够成功地安装此软件。下面笔者谈几个安装过程中的故障问题及其诊断:

如果系统提示配置不正确,用户需要检查源目录中的config.log文件,查看一下是哪里发生了故障。此文件的最后几行有助于决定问题的所在。

还有一些普遍的问题,如用户系统上没有安装GTK+系统,或者用户并没有安装GTK+的最新版本。如果用户的计算机并没有安装libpcap或Wincap,配置也会发生问题。

另外一个常见问题发生在最后的编译和链接阶段,系统告诉你:输出太长(Output too long)。这可能是由老版本的sed引起的。因为sed是libtool脚本用于构建最后的链接命令的工具,所以太旧的sed会导致各种各样的问题。用户可以从http://directory.fsf.org/GNU/sed.html下载其最新的版本来解决此问题。

如果用户无法决定问题的所在,可向wireshark-dev邮件列表求助。

进行一次简单的数据包捕获

  
图3

如上图3,在主界面中打开capture菜单中的interface命令,这时系统会打开下图4所示的对话框:

  
图4

如果用户需要配置高级选项,比方说需要捕获一个文件,或解析MAC地址和DNS域名,或者限制捕获的时间或大小,可以单击对应的options按钮,这时会弹出类似于下图5所示的对话框:

 
图5

内容导航
 第 1 页:网络嗅探的原因  第 2 页:Wireshark软件的使用



分享到:

热点职位

更多>>

热点专题

更多>>

读书

SQL应用与开发标准教程
本书主要介绍了SQL的数据库应用和开发技术,内容涉及关系数据库和SQL概述,SQL环境,SQL对于数据表的操作,数据库查询知识,SQL

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i