Wireshark数据抓包教程之Wireshark的基础知识

Wireshark数据抓包教程之Wireshark的基础知识

Wireshark的基础知识

在这个网络信息时代里，计算机安全始终是一个让人揪心的问题，网络安全则有过之而无不及。Wireshark做为国际知名的网络数据抓包和分析工具，能够普遍地应用各类领域，尤为是网络安全领域。借助Wireshark，网络安全工程师能够快速的从数据抓包中找出各类潜在的安全问题。本章将详细讲解Wireshark的简单使用。

Wireshark简介

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽量显示出最为详细的网络封包资料。Wireshark使用WinPcan做为接口，直接与网卡进行数据报文交换。下面介绍下它的做用和应用。

Wireshark的做用

Wireshark是一个最知名的开源应用程序的安全工具。Wireshark能够运行在Windows、MAC OS X、Linux和UNIX操做系统上，它甚至能够做为一个Portable App运行。这里将介绍Wireshark的做用。使用Wireshark能够完成如下任务。

1.通常分析任务

• q  找出在一个网络内的发送数据包最多的主机。

• q  查看网络通讯。

• q  查看某个主机使用了哪些程序。

• q  了解基本正常的网络通讯

• q  验证特有的网络操做。

• q  了解尝试链接无线网络的用户。

• q  同时捕获多个网络的数据。

• q  实施无人值守数据捕获。

• q  捕获并分析到/来自一个特定主机或子网的数据。

• q  经过FTP或HTTP查看和从新配置文件传输。

• q  从其它捕获工具导入跟踪文件。

• q  使用最少的资源捕获数据。

2.故障任务

• q  为故障建立一个自定义的分析环境。

• q  肯定路径、客户端和服务延迟。

• q  肯定TCP问题。

• q  检查HTTP代理问题。

• q  检查应用程序错误响应。

• q  经过查看图形显示的结果，找出相关的网络问题。

• q  肯定重载的缓冲区。

• q  比较缓慢的通讯到正常通讯的一个基准。

• q  找出重复的IP地址。

• q  肯定DHCP服务或网络代理问题。

• q  肯定WLAN信号强度问题。

• q  检测WLAN链接的次数。

• q  检查各类网络配置错误。

• q  肯定应用程序正在加载一个网络片断。

• 3.安全分析（网络取证）任务

• q  为网络取证建立一个自定义分析环境。

• q  检查使用非标准端口的应用程序。

• q  肯定到/来自可疑主机的数据。

• q  查看哪台主机正在尝试获取一个IP地址。

• q  肯定“phone home”数据。

• q  肯定网络侦查过程。

• q  全球定位和映射远程目标地址。

• q  检查可疑数据重定向。

• q  检查单个TCP或UDP客户端和服务器之间的会话。

• q  检查到恶意畸形的帧。

• q  在网络数据中找出攻击签名的关键因素。

4.应用程序分析任务

• q  了解应用程序和协议如何工做。

• q  图形应用程序的带宽使用状况。

• q  肯定是否将支持应用程序的连接。

• q  更新/升级后检查应用程序性能。

• q  从一个新安装的应用程序中检查错误响应。

• q  肯定哪一个用户正在运行一个特定的应用程序。

• q  检查应用程序如何使用传输协议，如TCP或UDP。

Wireshark的应用

理解了Wireshark的做用后，就会根据Wireshark的不一样做用进行运用了，下面介绍它的应用。

• q  网络管理员可使用Wireshark来检测网络问题。

• q  网络安全工程师可使用Wireshark来检查安全隐患的相关问题。

• q  开发者可使用Wireshark来测试协议的执行状况。

• q  普通使用者可使用Wireshark来学习网络协定的相关知识。

获取Wireshark

在大部分操做系统中，默认是没有安装Wireshark工具的。若是要使用该工具，首先须要学习安装Wireshark。在安装以前就得了解如何获取Wireshark。Wireshark的官方网站是http://www.wireshark.org。咱们能够从该网站中获取到Wireshark。

Wireshark的相关版本

登陆上述给出的Wireshark官方网站，如图1.1所示：

图1.1  Wireshark官方网站    图1.2  Wireshark下载界面

单击图中的Download按钮，进入下载页面，如图1.2所示。

从该界面能够看到WIreshark的相关版本。有稳定版本（目前最新版本为1.12.6）、开发版（目前最新版本为1.99.7）。单击稳定版和开发版展开后均可以看到有关Wireshark的相关版本。只不过稳定版下载的Wireshark都是英文版的。开发版里有中文版的。本书中主要介绍的是Wireshark中文版。所以以开发版为例给你们讲解。单击展开WIreshark开发版，查看相关的版本，如图1.3所示。

图1.3  Wireshark开发版 图1.4  Windows 7操做系统

从该界面能够看到Wireshark开发版提供了Windows（32位和64位）、OS X和源码包的下载地址。根据本身的操做系统下载相应的软件包。

如何识别操做系统

经过上一节的学习能够下载适合本身的Wireshark了，其中OS X用在苹果系统中、源码包用在Linux系统中。这两种系统比较好识别，这里就不作介绍了。这里简单介绍下如何识别Windows系统，查看是32位仍是64位。

1.Windows 7操做系统

右键单击桌面上的“计算机”图标，选择“属性”命令，打开“系统”窗口，如图1.4所示：

从该图中系统类型能够看出，该系统是64位操做系统，所以能够在图1.3中能够选择Windows Installer(64-bit)软件包来安装Wireshark。

提示：若是桌面上没有计算机的话，能够右键单击桌面空白处，选择“个性化”命令，在弹出的界面左栏中单击“更改桌面图标”，弹出桌面图标设置界面，如图1.5所示

图1.5  桌面图标设置

单击“计算机”前面的复选框后，便可把“计算机”图标添加到桌面上。

2.Windows XP操做系统

右键单击桌面上的“个人电脑”，选择“属性”如图1.6所示。在系统中，若是显示有“x64 Edition”，则电脑安装的是64位版本的Windows XP。若是未显示有“x64 Edition”，则安装的是32位版本的Windows XP。从该图中能够看到未显示有“x64 Edition”，说明给系统是32位系统。所以在图1.3中能够选择Windows Installer(32-bit)软件包来安装Wireshark。

提示：若是桌面上没有个人电脑的话，能够右键单击桌面空白处，选择“属性”，在属性界面中切换到桌面选项卡，而后单击“自定义桌面(D)...”按钮，弹出“桌面项目”对话框，如图1.7所示：

图1.6  Windows XP                        图1.7  桌面选项

单击“个人电脑(M)”前面的复选框，便可把“个人电脑”图标添加到桌面上。

本文选自：Wireshark数据抓包基础教程大学霸内部资料，转载请注明出处，尊重技术尊重IT人！