巧妙运用Wireshark嗅探网络通信

网络嗅探的原因

嗅探网络并不是简单地阅读人们的私有邮件信息。在使用Wireshark之前，使用它的单位应当确保拥有清晰定义的私有策略，这种策略可以描述单位的策略要求，清楚地说明使用网络的个人的权限，准许嗅探安全并进行故障诊断。使用Wireshark之类工具的任何人，如果不首先获取必要的许可将可能陷于法律上的困境。

然而，安全专业人士嗅探网络通信有两个重要的原因。首先，在分析网络攻击并设计应对措施时，深入数据包的细节可显示出其巨大的价值。

例如，如果发生了拒绝服务攻击，就可以用Wireshark来确认特定的攻击类型。然后，此工具就可以精确地构建能够阻止非法数据通信的防火墙规则。Wireshark的第二个主要应用是诊断安全设备的问题。如果运行着Wireshark的系统连接到防火墙的任何一端，就容易看出有哪些数据包成功地通过了设备，并确认防火墙是否是产生连接问题的主要原因。

需要记住的一点是, Wireshark可被用于善或恶两个方面。如果一位网络或安全管理人员掌握了此工具，那么它就是一款极有价值的故障诊断工具。然而，如果是一个居心不良的家伙学会了其使用，那么它就是一款强大的窃听工具，因为此工具可使任何人查看通过网络的每一个数据包。

安装Wireshark

安装Wireshark是一件很轻松的事情。此软件有多种操作系统的版本，如Windows、Macintosh OS X、Linux等。Wireshark网站上还有此软件的源代码供用户下载。

如图1是此软件的安装过程的一个截图，可看出它拥有许多插件和工具：

图1

其安装后的界面如图2：

图2

不过，并不是每一个用户都能够成功地安装此软件。下面笔者谈几个安装过程中的故障问题及其诊断：

如果系统提示配置不正确，用户需要检查源目录中的config.log文件，查看一下是哪里发生了故障。此文件的最后几行有助于决定问题的所在。

还有一些普遍的问题，如用户系统上没有安装GTK+系统，或者用户并没有安装GTK+的最新版本。如果用户的计算机并没有安装libpcap或Wincap，配置也会发生问题。

另外一个常见问题发生在最后的编译和链接阶段，系统告诉你：输出太长（Output too long）。这可能是由老版本的sed引起的。因为sed是libtool脚本用于构建最后的链接命令的工具，所以太旧的sed会导致各种各样的问题。用户可以从http://directory.fsf.org/GNU/sed.html下载其最新的版本来解决此问题。

如果用户无法决定问题的所在，可向wireshark-dev邮件列表求助。

进行一次简单的数据包捕获

图3

如上图3，在主界面中打开capture菜单中的interface命令，这时系统会打开下图4所示的对话框：

图4

如果用户需要配置高级选项，比方说需要捕获一个文件，或解析MAC地址和DNS域名，或者限制捕获的时间或大小，可以单击对应的options按钮，这时会弹出类似于下图5所示的对话框：

图5

可以看出，除了对捕获文件进行设置，还可以设置捕获过滤器,如下图6所示:

图6

设置完成后,单击ok回到上图5所示界面，然后单击“开始”按钮，看到下图7所示的窗口：