三、Wireshark应用实例简介
Wireshark的初级使用还是非常简单的,但是高级应用和技巧就需要我们在日常工作中去积累和运用了。下面笔者简单介绍三个小应用,希望可以达到抛砖引玉的目的。
(1)检测网中是否有MSN或QQ在使用
有的时候我们企业不希望员工在上班时通过MSN或QQ聊天,并针对这些IM交流软件进行了封锁,但是封锁和突破总是对立的,很多员工会找到代理工具或者其他方法来突破限制。不过不管他采用何种方法都无法逃避Wireshark的火眼金睛。
我们打开Wireshark并设置好监控网卡,之后扫描网络中的数据,收集一段时间后停止捕获来查看数据包,如果网络中有MSN或者QQ在使用,Wireshark会记录这些数据通话,在protocol协议处显示为ICQ的通讯就是OICQ,而显示为MSNMS的话则说明此数据包是MSN发送接收的,并且通过具体内容我们还可以看到MSN的通话对象的邮件地址(如图7)。
|
图7 |
(2)按需捕获制订扫描规则
可能有的读者会遇到捕获后发现的数据包过多,无法分析的问题。实际上Wireshark容许我们制订过滤规则,也就是说让Wireshark只捕获我们感兴趣的数据包。具体方法是在主界面选择“Capture(捕获)->Capture filter(捕获规则)”,然后根据系统自带的过滤规则或者自己研究他的规则语句来指定适合自己的捕获规则(如图8)。
|
图8 |
这里假设我们只希望针对ARP数据包来检测,来查看网络中是否有ARP病毒的存在,首先需要我们设置ARP过滤规则,然后在捕获窗口中的Capture filter处选择制订的过滤规则ARP,最后点“Start”开始扫描。
这样Wireshark将只针对ARP数据包进行捕获,其他数据包将不进行任何记录。具体捕获详细情况我们在捕获窗口中可以一目了然(如图9)。
|
图9 |
(3)检测明文数据包
正如前面所说Wireshark可以针对网络中的明文数据包内容进行分析,例如我们在使用telnet来管理路由交换设备时所有的传输数据都是基于明文的,这样通过Wireshark可以将telnet输入的指令分析出来。
首先检测网络数据包,如果在检测过程中有人进行telnet操作,那么在数据包显示窗口中会看到对应的telnet协议,以及通讯双方的IP地址信息(如图10)。
|
图10 |
直接查看捕获的每个telnet数据包中的DATA字段就可以看到明文字符了,这就是用户telnet时输入的信息(如图11)。
|
图11 |
Wireshark是功能强大的网络数据捕获工具,他可以帮助我们分析网络数据流量,在第一时间发现蠕虫病毒,木马程序以及ARP欺骗等问题的根源。相信各位网络管理员一经使用就会爱上他而离不开他。
