Wireshark数据抓包教程之Wireshark的基础知识
Wireshark数据抓包教程之Wireshark的基础知识
Wireshark的基础知识
在这个网络信息时代里,计算机安全始终是一个让人揪心的问题,网络安全则有过之而无不及。Wireshark作为国际知名的网络数据抓包和分析工具。能够广泛地应用各种领域,尤其是网络安全领域。借助Wireshark,网络安全project师能够高速的从数据抓包中找出各种潜在的安全问题。
本章将具体解说Wireshark的简单使用。
Wireshark简单介绍
Wireshark(前称Ethereal)是一个网络封包分析软件。
网络封包分析软件的功能是截取网络封包,并尽可能显示出最为具体的网络封包资料。Wireshark使用WinPcan作为接口。直接与网卡进行数据报文交换。以下介绍下它的作用和应用。
Wireshark的作用
Wireshark是一个最知名的开源应用程序的安全工具。
Wireshark能够执行在Windows、MAC OS X、Linux和UNIX操作系统上,它甚至能够作为一个Portable App执行。这里将介绍Wireshark的作用。
使用Wireshark能够完毕下面任务。
1.一般分析任务
-
q 找出在一个网络内的发送数据包最多的主机。
-
q 查看网络通信。
-
q 查看某个主机使用了哪些程序。
-
q 了解基本正常的网络通信
-
q 验证特有的网络操作。
-
q 了解尝试连接无线网络的用户。
-
q 同一时候捕获多个网络的数据。
-
q 实施无人值守数据捕获。
-
q 捕获并分析到/来自一个特定主机或子网的数据。
-
q 通过FTP或HTTP查看和又一次配置文件传输。
-
q 从其他捕获工具导入跟踪文件。
-
q 使用最少的资源捕获数据。
2.故障任务
-
q 为故障创建一个自己定义的分析环境。
-
q 确定路径、client和服务延迟。
-
q 确定TCP问题。
-
q 检查HTTP代理问题。
-
q 检查应用程序错误响应。
-
q 通过查看图形显示的结果。找出相关的网络问题。
-
q 确定重载的缓冲区。
-
q 比較缓慢的通信到正常通信的一个基准。
-
q 找出反复的IP地址。
-
q 确定DHCP服务或网络代理问题。
-
q 确定WLAN信号强度问题。
-
q 检測WLAN连接的次数。
-
q 检查各种网络配置错误。
-
q 确定应用程序正在载入一个网络片段。
-
3.安全分析(网络取证)任务
-
q 为网络取证创建一个自己定义分析环境。
-
q 检查使用非标准port的应用程序。
-
q 确定到/来自可疑主机的数据。
-
q 查看哪台主机正在尝试获取一个IP地址。
-
q 确定“phone home”数据。
-
q 确定网络侦查过程。
-
q 全球定位和映射远程目标地址。
-
q 检查可疑数据重定向。
-
q 检查单个TCP或UDPclient和server之间的会话。
-
q 检查到恶意畸形的帧。
-
q 在网络数据中找出攻击签名的关键因素。
4.应用程序分析任务
-
q 了解应用程序和协议怎样工作。
-
q 图形应用程序的带宽使用情况。
-
q 确定是否将支持应用程序的链接。
-
q 更新/升级后检查应用程序性能。
-
q 从一个新安装的应用程序中检查错误响应。
-
q 确定哪个用户正在执行一个特定的应用程序。
-
q 检查应用程序怎样使用传输协议,如TCP或UDP。
Wireshark的应用
理解了Wireshark的作用后。就会依据Wireshark的不同作用进行运用了。以下介绍它的应用。
-
q 网络管理员能够使用Wireshark来检測网络问题。
-
q 网络安全project师能够使用Wireshark来检查安全隐患的相关问题。
-
q 开发人员能够使用Wireshark来測试协议的运行情况。
-
q 普通使用者能够使用Wireshark来学习网络协定的相关知识。
获取Wireshark
在大部分操作系统中。默认是没有安装Wireshark工具的。假设要使用该工具。首先须要学习安装Wireshark。在安装之前就得了解怎样获取Wireshark。
Wireshark的官方站点是http://www.wireshark.org。我们能够从该站点中获取到Wireshark。
Wireshark的相关版本号
登录上述给出的Wireshark官方站点,如图1.1所看到的:
图1.1 Wireshark官方站点 图1.2 Wireshark下载界面
单击图中的Downloadbutton,进入下载页面。如图1.2所看到的。
从该界面能够看到WIreshark的相关版本号。
有稳定版本号(眼下最新版本号为1.12.6)、开发版(眼下最新版本号为1.99.7)。
单击稳定版和开发版展开后都能够看到有关Wireshark的相关版本号。仅仅只是稳定版下载的Wireshark都是英文版的。开发版里有中文版的。
本书中主要介绍的是Wireshark中文版。
因此以开发版为例给大家解说。单击展开WIreshark开发版。查看相关的版本号,如图1.3所看到的。
图1.3 Wireshark开发版 图1.4 Windows 7操作系统
从该界面能够看到Wireshark开发版提供了Windows(32位和64位)、OS X和源代码包的下载地址。依据自己的操作系统下载对应的软件包。
怎样识别操作系统
通过上一节的学习能够下载适合自己的Wireshark了,当中OS X用在苹果系统中、源代码包用在Linux系统中。这两种系统比較好识别。这里就不做介绍了。这里简介下怎样识别Windows系统,查看是32位还是64位。
1.Windows 7操作系统
右键单击桌面上的“计算机”图标,选择“属性”命令。打开“系统”窗体,如图1.4所看到的:
从该图中系统类型能够看出,该系统是64位操作系统,因此能够在图1.3中能够选择Windows Installer(64-bit)软件包来安装Wireshark。
提示:假设桌面上没有计算机的话,能够右键单击桌面空白处,选择“个性化”命令。在弹出的界面左栏中单击“更改桌面图标”。弹出桌面图标设置界面,如图1.5所看到的
图1.5 桌面图标设置
单击“计算机”前面的复选框后,就可以把“计算机”图标加入到桌面上。
2.Windows XP操作系统
右键单击桌面上的“我的电脑”,选择“属性”如图1.6所看到的。在系统中。假设显示有“x64 Edition”。则电脑安装的是64位版本号的Windows XP。
假设未显示有“x64 Edition”。则安装的是32位版本号的Windows XP。从该图中能够看到未显示有“x64 Edition”。说明给系统是32位系统。因此在图1.3中能够选择Windows Installer(32-bit)软件包来安装Wireshark。
提示:假设桌面上没有我的电脑的话,能够右键单击桌面空白处。选择“属性”,在属性界面中切换到桌面选项卡,然后单击“自己定义桌面(D)...”button,弹出“桌面项目”对话框,如图1.7所看到的:
图1.6 Windows XP 图1.7 桌面选项
单击“我的电脑(M)”前面的复选框。就可以把“我的电脑”图标加入到桌面上。
本文选自:Wireshark数据抓包基础教程大学霸内部资料,转载请注明出处。尊重技术尊重IT人。