Wireshark数据抓包教程之Wireshark的基础知识

Wireshark的基础知识

在这个网络信息时代里，计算机安全始终是一个让人揪心的问题，网络安全则有过之而无不及。Wireshark作为国际知名的网络数据抓包和分析工具，可以广泛地应用各种领域，尤其是网络安全领域。借助Wireshark，网络安全工程师可以快速的从数据抓包中找出各种潜在的安全问题。本章将详细讲解Wireshark的简单使用。

Wireshark简介

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPcan作为接口，直接与网卡进行数据报文交换。下面介绍下它的作用和应用。

Wireshark的作用

Wireshark是一个最知名的开源应用程序的安全工具。Wireshark可以运行在Windows、MAC OS X、Linux和UNIX操作系统上，它甚至可以作为一个Portable App运行。这里将介绍Wireshark的作用。使用Wireshark可以完成以下任务。

1.一般分析任务

• q  找出在一个网络内的发送数据包最多的主机。
• q  查看网络通信。
• q  查看某个主机使用了哪些程序。
• q  了解基本正常的网络通信
• q  验证特有的网络操作。
• q  了解尝试连接无线网络的用户。
• q  同时捕获多个网络的数据。
• q  实施无人值守数据捕获。
• q  捕获并分析到/来自一个特定主机或子网的数据。
• q  通过FTP或HTTP查看和重新配置文件传输。
• q  从其它捕获工具导入跟踪文件。
• q  使用最少的资源捕获数据。

2.故障任务

• q  为故障创建一个自定义的分析环境。
• q  确定路径、客户端和服务延迟。
• q  确定TCP问题。
• q  检查HTTP代理问题。
• q  检查应用程序错误响应。
• q  通过查看图形显示的结果，找出相关的网络问题。
• q  确定重载的缓冲区。
• q  比较缓慢的通信到正常通信的一个基准。
• q  找出重复的IP地址。
• q  确定DHCP服务或网络代理问题。
• q  确定WLAN信号强度问题。
• q  检测WLAN连接的次数。
• q  检查各种网络配置错误。
• q  确定应用程序正在加载一个网络片段。
• 3.安全分析（网络取证）任务
• q  为网络取证创建一个自定义分析环境。
• q  检查使用非标准端口的应用程序。
• q  确定到/来自可疑主机的数据。
• q  查看哪台主机正在尝试获取一个IP地址。
• q  确定“phone home”数据。
• q  确定网络侦查过程。
• q  全球定位和映射远程目标地址。
• q  检查可疑数据重定向。
• q  检查单个TCP或UDP客户端和服务器之间的会话。
• q  检查到恶意畸形的帧。
• q  在网络数据中找出攻击签名的关键因素。

4.应用程序分析任务

• q  了解应用程序和协议如何工作。
• q  图形应用程序的带宽使用情况。
• q  确定是否将支持应用程序的链接。
• q  更新/升级后检查应用程序性能。
• q  从一个新安装的应用程序中检查错误响应。
• q  确定哪个用户正在运行一个特定的应用程序。
• q  检查应用程序如何使用传输协议，如TCP或UDP。

Wireshark的应用

理解了Wireshark的作用后，就会根据Wireshark的不同作用进行运用了，下面介绍它的应用。

• q  网络管理员可以使用Wireshark来检测网络问题。
• q  网络安全工程师可以使用Wireshark来检查安全隐患的相关问题。
• q  开发者可以使用Wireshark来测试协议的执行情况。
• q  普通使用者可以使用Wireshark来学习网络协定的相关知识。

获取Wireshark

在大部分操作系统中，默认是没有安装Wireshark工具的。如果要使用该工具，首先需要学习安装Wireshark。在安装之前就得了解如何获取Wireshark。Wireshark的官方网站是http://www.wireshark.org。我们可以从该网站中获取到Wireshark。

Wireshark的相关版本

登录上述给出的Wireshark官方网站，如图1.1所示：

图1.1  Wireshark官方网站    图1.2  Wireshark下载界面

单击图中的Download按钮，进入下载页面，如图1.2所示。

从该界面可以看到WIreshark的相关版本。有稳定版本（目前最新版本为1.12.6）、开发版（目前最新版本为1.99.7）。单击稳定版和开发版展开后都可以看到有关Wireshark的相关版本。只不过稳定版下载的Wireshark都是英文版的。开发版里有中文版的。本书中主要介绍的是Wireshark中文版。因此以开发版为例给大家讲解。单击展开WIreshark开发版，查看相关的版本，如图1.3所示。

图1.3  Wireshark开发版 图1.4  Windows 7操作系统

从该界面可以看到Wireshark开发版提供了Windows（32位和64位）、OS X和源码包的下载地址。根据自己的操作系统下载相应的软件包。

如何识别操作系统

通过上一节的学习可以下载适合自己的Wireshark了，其中OS X用在苹果系统中、源码包用在Linux系统中。这两种系统比较好识别，这里就不做介绍了。这里简单介绍下如何识别Windows系统，查看是32位还是64位。

1.Windows 7操作系统

右键单击桌面上的“计算机”图标，选择“属性”命令，打开“系统”窗口，如图1.4所示：

从该图中系统类型可以看出，该系统是64位操作系统，因此可以在图1.3中可以选择Windows Installer(64-bit)软件包来安装Wireshark。

提示：如果桌面上没有计算机的话，可以右键单击桌面空白处，选择“个性化”命令，在弹出的界面左栏中单击“更改桌面图标”，弹出桌面图标设置界面，如图1.5所示

图1.5  桌面图标设置

单击“计算机”前面的复选框后，即可把“计算机”图标添加到桌面上。

2.Windows XP操作系统

右键单击桌面上的“我的电脑”，选择“属性”如图1.6所示。在系统中，如果显示有“x64 Edition”，则电脑安装的是64位版本的Windows XP。如果未显示有“x64 Edition”，则安装的是32位版本的Windows XP。从该图中可以看到未显示有“x64 Edition”，说明给系统是32位系统。因此在图1.3中可以选择Windows Installer(32-bit)软件包来安装Wireshark。

提示：如果桌面上没有我的电脑的话，可以右键单击桌面空白处，选择“属性”，在属性界面中切换到桌面选项卡，然后单击“自定义桌面(D)...”按钮，弹出“桌面项目”对话框，如图1.7所示：

图1.6  Windows XP                        图1.7  桌面选项

单击“我的电脑(M)”前面的复选框，即可把“我的电脑”图标添加到桌面上。

本文选自：Wireshark数据抓包基础教程大学霸内部资料，转载请注明出处，尊重技术尊重IT人！