Wireshark数据抓包教程之Wireshark的基础知识

Wireshark数据抓包教程之Wireshark的基础知识

Wireshark的基础知识

在这个网络信息时代里,计算机安全始终是一个让人揪心的问题,网络安全则有过之而无不及。Wireshark作为国际知名的网络数据抓包和分析工具。能够广泛地应用各种领域,尤其是网络安全领域。借助Wireshark,网络安全project师能够高速的从数据抓包中找出各种潜在的安全问题。

本章将具体解说Wireshark的简单使用。

Wireshark简单介绍

Wireshark(前称Ethereal)是一个网络封包分析软件。

网络封包分析软件的功能是截取网络封包,并尽可能显示出最为具体的网络封包资料。Wireshark使用WinPcan作为接口。直接与网卡进行数据报文交换。以下介绍下它的作用和应用。

Wireshark的作用

Wireshark是一个最知名的开源应用程序的安全工具。

Wireshark能够执行在WindowsMAC OS XLinuxUNIX操作系统上,它甚至能够作为一个Portable App执行。这里将介绍Wireshark的作用。

使用Wireshark能够完毕下面任务。

1.一般分析任务

  • q  找出在一个网络内的发送数据包最多的主机。

  • q  查看网络通信。

  • q  查看某个主机使用了哪些程序。

  • q  了解基本正常的网络通信

  • q  验证特有的网络操作。

  • q  了解尝试连接无线网络的用户。

  • q  同一时候捕获多个网络的数据。

  • q  实施无人值守数据捕获。

  • q  捕获并分析到/来自一个特定主机或子网的数据。

  • q  通过FTPHTTP查看和又一次配置文件传输。

  • q  从其他捕获工具导入跟踪文件。

  • q  使用最少的资源捕获数据。

2.故障任务

  • q  为故障创建一个自己定义的分析环境。

  • q  确定路径、client和服务延迟。

  • q  确定TCP问题。

  • q  检查HTTP代理问题。

  • q  检查应用程序错误响应。

  • q  通过查看图形显示的结果。找出相关的网络问题。

  • q  确定重载的缓冲区。

  • q  比較缓慢的通信到正常通信的一个基准。

  • q  找出反复的IP地址。

  • q  确定DHCP服务或网络代理问题。

  • q  确定WLAN信号强度问题。

  • q  检測WLAN连接的次数。

  • q  检查各种网络配置错误。

  • q  确定应用程序正在载入一个网络片段。

  • 3.安全分析(网络取证)任务

  • q  为网络取证创建一个自己定义分析环境。

  • q  检查使用非标准port的应用程序。

  • q  确定到/来自可疑主机的数据。

  • q  查看哪台主机正在尝试获取一个IP地址。

  • q  确定“phone home”数据。

  • q  确定网络侦查过程。

  • q  全球定位和映射远程目标地址。

  • q  检查可疑数据重定向。

  • q  检查单个TCPUDPclient和server之间的会话。

  • q  检查到恶意畸形的帧。

  • q  在网络数据中找出攻击签名的关键因素。

4.应用程序分析任务

  • q  了解应用程序和协议怎样工作。

  • q  图形应用程序的带宽使用情况。

  • q  确定是否将支持应用程序的链接。

  • q  更新/升级后检查应用程序性能。

  • q  从一个新安装的应用程序中检查错误响应。

  • q  确定哪个用户正在执行一个特定的应用程序。

  • q  检查应用程序怎样使用传输协议,如TCPUDP

Wireshark的应用

理解了Wireshark的作用后。就会依据Wireshark的不同作用进行运用了。以下介绍它的应用。

  • q  网络管理员能够使用Wireshark来检測网络问题。

  • q  网络安全project师能够使用Wireshark来检查安全隐患的相关问题。

  • q  开发人员能够使用Wireshark来測试协议的运行情况。

  • q  普通使用者能够使用Wireshark来学习网络协定的相关知识。

获取Wireshark

在大部分操作系统中。默认是没有安装Wireshark工具的。假设要使用该工具。首先须要学习安装Wireshark。在安装之前就得了解怎样获取Wireshark

Wireshark的官方站点是http://www.wireshark.org。我们能够从该站点中获取到Wireshark

Wireshark的相关版本号

登录上述给出的Wireshark官方站点,如图1.1所看到的:


1.1  Wireshark官方站点    1.2  Wireshark下载界面

单击图中的Downloadbutton,进入下载页面。如图1.2所看到的。

从该界面能够看到WIreshark的相关版本号。

有稳定版本号(眼下最新版本号为1.12.6)、开发版(眼下最新版本号为1.99.7)。

单击稳定版和开发版展开后都能够看到有关Wireshark的相关版本号。仅仅只是稳定版下载的Wireshark都是英文版的。开发版里有中文版的。

本书中主要介绍的是Wireshark中文版。

因此以开发版为例给大家解说。单击展开WIreshark开发版。查看相关的版本号,如图1.3所看到的。


1.3  Wireshark开发版 1.4  Windows 7操作系统

从该界面能够看到Wireshark开发版提供了Windows32位和64位)、OS X和源代码包的下载地址。依据自己的操作系统下载对应的软件包。

怎样识别操作系统

通过上一节的学习能够下载适合自己的Wireshark了,当中OS X用在苹果系统中、源代码包用在Linux系统中。这两种系统比較好识别。这里就不做介绍了。这里简介下怎样识别Windows系统,查看是32位还是64位。

1.Windows 7操作系统

右键单击桌面上的“计算机”图标,选择“属性”命令。打开“系统”窗体,如图1.4所看到的:

从该图中系统类型能够看出,该系统是64位操作系统,因此能够在图1.3中能够选择Windows Installer(64-bit)软件包来安装Wireshark

提示:假设桌面上没有计算机的话,能够右键单击桌面空白处,选择“个性化”命令。在弹出的界面左栏中单击“更改桌面图标”。弹出桌面图标设置界面,如图1.5所看到的


1.5  桌面图标设置

单击“计算机”前面的复选框后,就可以把“计算机”图标加入到桌面上。

2.Windows XP操作系统

右键单击桌面上的“我的电脑”,选择“属性”如图1.6所看到的。在系统中。假设显示有“x64 Edition”。则电脑安装的是64位版本号的Windows XP

假设未显示有“x64 Edition”。则安装的是32位版本号的Windows XP。从该图中能够看到未显示有“x64 Edition”。说明给系统是32位系统。因此在图1.3中能够选择Windows Installer(32-bit)软件包来安装Wireshark

提示:假设桌面上没有我的电脑的话,能够右键单击桌面空白处。选择“属性”,在属性界面中切换到桌面选项卡,然后单击“自己定义桌面(D)...”button,弹出“桌面项目”对话框,如图1.7所看到的:


1.6  Windows XP                        1.7  桌面选项

单击“我的电脑(M)”前面的复选框。就可以把“我的电脑”图标加入到桌面上。

本文选自:Wireshark数据抓包基础教程大学霸内部资料,转载请注明出处。尊重技术尊重IT人。


posted @ 2017-07-24 12:15  yxysuanfa  阅读(1107)  评论(0编辑  收藏  举报