网络嗅探的原因
2009-08-21 20:28
323 查看
摘自56cto.com
嗅探网络并不是简单地阅读人们的私有邮件信息。在使用Wireshark之前,使用它的单位应当确保拥有清晰定义的私有策略,这种策略可以描述单位的策略要求,清楚地说明使用网络的个人的权限,准许嗅探安全并进行故障诊断。使用Wireshark之类工具的任何人,如果不首先获取必要的许可将可能陷于法律上的困境。
然而,安全专业人士嗅探网络通信有两个重要的原因。首先,在分析网络攻击并设计应对措施时,深入数据包的细节可显示出其巨大的价值。
例如,如果发生了拒绝服务攻击,就可以用Wireshark来确认特定的攻击类型。然后,此工具就可以精确地构建能够阻止非法数据通信的防火墙规则。Wireshark的第二个主要应用是诊断安全设备的问题。如果运行着Wireshark的系统连接到防火墙的任何一端,就容易看出有哪些数据包成功地通过了设备,并确认防火墙是否是产生连接问题的主要原因。
需要记住的一点是, Wireshark可被用于善或恶两个方面。如果一位网络或安全管理人员掌握了此工具,那么它就是一款极有价值的故障诊断工具。然而,如果是一个居心不良的家伙学会了其使用,那么它就是一款强大的窃听工具,因为此工具可使任何人查看通过网络的每一个数据包。
安装Wireshark
安装Wireshark是一件很轻松的事情。此软件有多种操作系统的版本,如Windows、Macintosh OS X、Linux等。Wireshark网站上还有此软件的源代码供用户下载。
如图1是此软件的安装过程的一个截图,可看出它拥有许多插件和工具:
其安装后的界面如图2:
不过,并不是每一个用户都能够成功地安装此软件。下面笔者谈几个安装过程中的故障问题及其诊断:
如果系统提示配置不正确,用户需要检查源目录中的config.log文件,查看一下是哪里发生了故障。此文件的最后几行有助于决定问题的所在。
还有一些普遍的问题,如用户系统上没有安装GTK+系统,或者用户并没有安装GTK+的最新版本。如果用户的计算机并没有安装libpcap或Wincap,配置也会发生问题。
另外一个常见问题发生在最后的编译和链接阶段,系统告诉你:输出太长(Output too long)。这可能是由老版本的sed引起的。因为sed是libtool脚本用于构建最后的链接命令的工具,所以太旧的sed会导致各种各样的问题。用户可以从http://directory.fsf.org/GNU/sed.html下载其最新的版本来解决此问题。
如果用户无法决定问题的所在,可向wireshark-dev邮件列表求助。
进行一次简单的数据包捕获
如上图3,在主界面中打开capture菜单中的interface命令,这时系统会打开下图4所示的对话框:
如果用户需要配置高级选项,比方说需要捕获一个文件,或解析MAC地址和DNS域名,或者限制捕获的时间或大小,可以单击对应的options按钮,这时会弹出类似于下图5所示的对话框:
可以看出,除了对捕获文件进行设置,还可以设置捕获过滤器,如下图6所示:
设置完成后,单击ok回到上图5所示界面,然后单击“开始”按钮,看到下图7所示的窗口:
对结果的解析
如上图8,Wireshark窗口的顶部空格的每一行都对应着网络上的单独一个数据包。默认情况下,此空格会显示数据包的时间、源地址和目标地址,所使用的协议及关于数据包的一些信息。通过单击此窗格中的某一行,用户可以获悉更详细的信息。用户会导致底层的空格充满信息。
再如下图9示所示:
中间的空格包含着上部空格中选择的某数据包的详细信息。“+”图标揭示了包含在数据包内的每一层信息的不同的细节水平。在上面的例子中,笔者选择了一个DNS响应数据包。笔者扩展了数据包的DNS响应部分,目的是为了显示其初始是请求dns解析,此响应告诉我们可用的IP地址包括64.236.91.21。底部的窗格以十六进制及ASCII形式显示出数据包的内容。
在分析数据包时,颜色起着很重要的作用。在上面的例子中,每一行都以一定的颜色表示。深蓝色的行对应着DNS通信,浅蓝色的行是UDP SNMP通信,绿色行表示HTTP通信。此软件包括一个复杂的颜色编码方案。要查看或设置颜色方案,单击view菜单下的coloring rules,如下图10所示:
其打开后的效果如图11:
这是默认的颜色设置规则。成为一名专家的最好方法是亲自动手捕获网络通信。由于此工具的功能过于强大,所以在用户捕获任何一个网络的数据通信之前,最好先获得相关许可。
嗅探网络并不是简单地阅读人们的私有邮件信息。在使用Wireshark之前,使用它的单位应当确保拥有清晰定义的私有策略,这种策略可以描述单位的策略要求,清楚地说明使用网络的个人的权限,准许嗅探安全并进行故障诊断。使用Wireshark之类工具的任何人,如果不首先获取必要的许可将可能陷于法律上的困境。
然而,安全专业人士嗅探网络通信有两个重要的原因。首先,在分析网络攻击并设计应对措施时,深入数据包的细节可显示出其巨大的价值。
例如,如果发生了拒绝服务攻击,就可以用Wireshark来确认特定的攻击类型。然后,此工具就可以精确地构建能够阻止非法数据通信的防火墙规则。Wireshark的第二个主要应用是诊断安全设备的问题。如果运行着Wireshark的系统连接到防火墙的任何一端,就容易看出有哪些数据包成功地通过了设备,并确认防火墙是否是产生连接问题的主要原因。
需要记住的一点是, Wireshark可被用于善或恶两个方面。如果一位网络或安全管理人员掌握了此工具,那么它就是一款极有价值的故障诊断工具。然而,如果是一个居心不良的家伙学会了其使用,那么它就是一款强大的窃听工具,因为此工具可使任何人查看通过网络的每一个数据包。
安装Wireshark
安装Wireshark是一件很轻松的事情。此软件有多种操作系统的版本,如Windows、Macintosh OS X、Linux等。Wireshark网站上还有此软件的源代码供用户下载。
如图1是此软件的安装过程的一个截图,可看出它拥有许多插件和工具:
图1 |
其安装后的界面如图2:
|
图2 |
不过,并不是每一个用户都能够成功地安装此软件。下面笔者谈几个安装过程中的故障问题及其诊断:
如果系统提示配置不正确,用户需要检查源目录中的config.log文件,查看一下是哪里发生了故障。此文件的最后几行有助于决定问题的所在。
还有一些普遍的问题,如用户系统上没有安装GTK+系统,或者用户并没有安装GTK+的最新版本。如果用户的计算机并没有安装libpcap或Wincap,配置也会发生问题。
另外一个常见问题发生在最后的编译和链接阶段,系统告诉你:输出太长(Output too long)。这可能是由老版本的sed引起的。因为sed是libtool脚本用于构建最后的链接命令的工具,所以太旧的sed会导致各种各样的问题。用户可以从http://directory.fsf.org/GNU/sed.html下载其最新的版本来解决此问题。
如果用户无法决定问题的所在,可向wireshark-dev邮件列表求助。
进行一次简单的数据包捕获
图3 |
如上图3,在主界面中打开capture菜单中的interface命令,这时系统会打开下图4所示的对话框:
图4 |
如果用户需要配置高级选项,比方说需要捕获一个文件,或解析MAC地址和DNS域名,或者限制捕获的时间或大小,可以单击对应的options按钮,这时会弹出类似于下图5所示的对话框:
|
图5 |
可以看出,除了对捕获文件进行设置,还可以设置捕获过滤器,如下图6所示:
图6 |
设置完成后,单击ok回到上图5所示界面,然后单击“开始”按钮,看到下图7所示的窗口:
|
图7 |
对结果的解析
|
图8 |
如上图8,Wireshark窗口的顶部空格的每一行都对应着网络上的单独一个数据包。默认情况下,此空格会显示数据包的时间、源地址和目标地址,所使用的协议及关于数据包的一些信息。通过单击此窗格中的某一行,用户可以获悉更详细的信息。用户会导致底层的空格充满信息。
再如下图9示所示:
图9 |
中间的空格包含着上部空格中选择的某数据包的详细信息。“+”图标揭示了包含在数据包内的每一层信息的不同的细节水平。在上面的例子中,笔者选择了一个DNS响应数据包。笔者扩展了数据包的DNS响应部分,目的是为了显示其初始是请求dns解析,此响应告诉我们可用的IP地址包括64.236.91.21。底部的窗格以十六进制及ASCII形式显示出数据包的内容。
在分析数据包时,颜色起着很重要的作用。在上面的例子中,每一行都以一定的颜色表示。深蓝色的行对应着DNS通信,浅蓝色的行是UDP SNMP通信,绿色行表示HTTP通信。此软件包括一个复杂的颜色编码方案。要查看或设置颜色方案,单击view菜单下的coloring rules,如下图10所示:
|
图10 |
其打开后的效果如图11:
|
图11 |
这是默认的颜色设置规则。成为一名专家的最好方法是亲自动手捕获网络通信。由于此工具的功能过于强大,所以在用户捕获任何一个网络的数据通信之前,最好先获得相关许可。
相关文章推荐
- 毕业后的五年拉开大家差距的原因在哪里
- Jquery.ajax报parseerror Invalid JSON异常的原因和解决办法:不能解析
- centos下file_put_contents()无法写入文件的原因
- 在应用程序级别之外使用注册为 allowDefinition='MachineToApplication' 的节是错误的原因
- For input string "1"异常的解决,以及原因。
- linux中某个端口拒绝远程主机连接原因及解决方法
- 网络嗅探软件sniffer原理及具体软件介绍 2004年的
- 阿里巴巴62亿控股文化中国背后原因解读
- 配置hibernate时出错原因及解决方案
- div 背景图片没法显示的原因
- “<”,javasciprt下jquery函数$.post执行无响应的原因
- JCL 挂掉原因
- windows media player不能用的原因
- des 填充信息的保护,正确加密与解密,中文签名错误异常原因
- 程序员“不会”修电脑的原因
- 网站导致浏览器崩溃的原因总结(多款浏览器) 推荐
- scatter 文件使用原因和在ds-5中的应用
- jQuery .Ajax() 方法在IE浏览器返回No Transport错误原因?
- eclipse启动tomcat访问主页出错原因?
- 竞价账户烧钱的七大原因和处理办法