反病毒工具-Wireshark

WireShark

简介

Wireshark是最流行的开源网络嗅探器之一,能在多种平台上抓取和分析网络包,比如Windows,Linux和Max等.《Wireshark网络分析就这么简单》-林沛满

反病毒工程师使用它来监视网络信息.有一些简单的规则用来识别ARP攻击的流量.

版本系统支持情况

32bit,64bit两种版本.

官网

www.wireshark.org

什么时候需要?

监视疑似恶意程序的网络活动
分析网络结构
查找网络故障
识别现有协议的应用,分析自定义协议的使用方式

用法

基本的步骤是:
1. 从Interface List中找到你需要调查监视的程序可能使用的网卡,你可以在这里设置你需要的包过滤规则,也可以一会儿再设置(Caption->Options).
2. 点击Start.

示例

查看真正的PPPOE账户密码
在如何更好地保护自己的客户端一文中谈到笔者校园网遭遇联通强迫安装客户端,且对用户使用无线网络的行为进行拦截.我需要找到真正的拨号账号和密码才能自力更生.
首先选中我们的网卡:
我们将通过对这块网卡上数据的监视来完成我们的工作.
准备好使用”联通校园网客户端”进行拨号.

打开监视,迅速进行拨号过程.
待拨号成功后.终止记录.这样我们就得到了所需的数据包.

结果如图:

好多内容我们得过滤一下结果：
在Filter 中输入“ppp”，如图：

联通校园网提供的账号和实际拨号账号的区别在途中已经标记很清楚了。

值得注意的是它使用了一个\0字符.这个字符无法在文本框输入,所以就规避了学生们能自由使用自己花钱买的网络的可能.
真是聪明用在这地方,不知道他那不懂技术的领导会不会在他自夸后多赏他一点吃的.想起了伟大的GFW.O(∩_∩)O
学习技术的根本目的是为更多人的福祉.

据此可以自己DIY一个拨号器完成最纯粹的拨号功能.
如果你想要把自己得到的包给其它朋友帮助分析,可以File->Save.

拓展学习

包过滤是wireshark的核心,如何从海量数据包找到能说明问题的那个呢?
包过滤规则的详情:http://wiki.wireshark.org/CaptureFilte
dalerkd对”包过滤规则”进行了翻译,你可以从这里查看到它:
Wireshark数据包过滤规则
《网络分析就这么简单》作者:林沛满的微博
此书贴近实际且直击要害.

注意

Wireshark并不具有包修改功能.如果你需要另一款工具scapy或者能提供一些帮助.