Wireshark的了解与使用
Wireshark是世界领先的网络流量分析器,是任何安全专业人员或系统管理员的必备工具。此免费软件可让您实时分析网络流量,通常是解决网络问题的最佳工具。
Wireshark可以帮助排除故障的常见问题包括丢失数据包,延迟问题以及网络上的恶意活动。它允许您将您的网络流量放在显微镜下,并提供工具来过滤和深入了解该流量,放大问题的根本原因。管理员使用它来识别丢失数据包的故障网络设备,由机器在全球中途路由流量导致的延迟问题,以及针对您的组织的数据泄露甚至黑客攻击。
Wireshark是一个功能强大的工具,需要熟悉网络基础知识。对于大多数现代企业而言,这意味着了解TCP / IP堆栈,如何读取和解释数据包报头,以及路由,端口转发和DHCP如何工作。
Wireshark可以做什么
Wireshark拦截流量并将该二进制流量转换为人类可读的格式。这样可以轻松识别通过网络的流量,流量,频率,特定跃点之间的延迟等等。
虽然Wireshark支持超过两千个网络协议,其中许多是深奥的,不常见的或旧的,现代安全专业人员会发现分析IP数据包是最直接有用的。网络上的大多数数据包可能是TCP,UDP和ICMP。
鉴于跨越典型业务网络的大量流量,Wireshark帮助您过滤流量的工具使其特别有用。捕获过滤器将仅收集您感兴趣的流量类型,显示过滤器将帮助您放大要检查的流量。网络协议分析器提供搜索工具,包括正则表达式和彩色突出显示,以便于查找您要查找的内容。
有时,找到异常流量的最佳方法是捕获所有内容并建立基线。
现在我们进入测试
Windows Server 2008 R2 192.168.124.138
Windows Server 2003 192.168.124.133
Windows 7 192.168.124.129(装有Wireshark)
Windows XP 192.168.124.128(装有Wireshark)
首先选择网卡,点击开始
Wireshark分析数据包一共有3个步骤:选择数据包,分析协议,分析数据包内容
选择数据包:我们用其它几台虚拟机去Ping本机时会看到它们的IP以及ICMP协议
分析协议:在协议分析窗口中直接获得的信息是帧头,IP头,TCP头和应用层协议中的内容,如MAC地址,IP地址和端口号,TCP的标志位等。另外,Wireshark还会给出部分协议的一些摘要的信息,可以在大量的数据中选取需要的部分。
分析数据包内容:首先要了解数据包的结构,这里所说的数据包是指捕获的一个“帧”
通过FTP用Windows 7 连接Windows Server 2008 R2 ,这时可以通过Wireshark嗅探到发送的信息,这些信息在净载数据中
当然如果你不想看到那么多数据 想选择性的看某样数据的时候可以设置条件
也可以查看它所支持的协议 它可以支持OSI模型2-7层大量的协议
这里是Wireshark嗅探到我们登录FTP的密码
至此,本实验结束,为了防范网络监听行为,应该尽量避免使用明文传输口令等敏感信息,而是使用网络加密机制,例如用SSH代替telnet协议。这样就算攻击者嗅探到数据也无法获知数据的真实信息。