本文逐步介绍了如何利用Wireshark的强大功能,监测你的家庭网络和网络。
计算机安全始终是一个让人揪心的问题,网络安全则有过之而无不及。网络是黑客们最爱下手的一个目标。这完全是由于机器与机器之间没有物理链接:所有信号都以无线电波的方式传送。要加密安全,首要步骤之一就是,目前的活动是什么状况,哪些机器参与了活动。你应该首先使用的工具是Wireshark。
Wireshark经常用于分析以太网网络,但是许多人可能没有认识到一点:它有几个选项是专门针对无线网络和802.11协议的。你试图分析自己的无线网络时,会看到一些可用的选项。最后,你会看到如何创建规则,进一步加强自己的网络安全。
你需要明白的一个问题是,实际上所能看到的完全依赖你的无缝网卡。比较新的网卡可能功能齐全,而比较旧的网卡(或不大常见的网卡)可能无法支持所有可能的捕捉选项。如果你发现遇到了问题,不妨访问Wireshark维基(http://www.linuxuser.co.uk/tutorials/wiki.wireshark.org),看看有没有解决办法。
Wireshark
第1步:安装
与大多数开源软件一样,Wireshark也适用于所有最流行的。你的发行版应该有程序包可用:在上,程序包就叫"wireshark"。与往常一样,你可以下载最新的源代码,从头开始构建。
第2步:启动
你需要关注如何启动Wireshark。如果你作为普通用户来启动它,那么只能看到直接发送到你机器的流量。如果你想查看其他流量,或者进行其他有意思的操作,就需要作为root用户来运行。你可以使用sudo wireshark命令来运行它,也可以先作为root用户,使用dumpcap收集数据,然后使用Wireshark进行分析。
第3步:保存数据
由于你用Wireshark可以进行许多方面的分析,可能应该保存捕捉的数据。为此,只要点击File(文件)>Save(保存),就可以保存数据,数据的保存格式有20多种。
第4步:离线捕捉
在一些情况下,你也许无法使用Wireshark来进行那种实际的捕捉。在远程上就可能是这样,这种环境下运行图形化程序可能实在让人觉得太痛苦。这种情况下,你可以使用"dumpcap"来捕捉实际的数据包数据。有各个选项可以用来选择你想捕捉的数据。
第5步:装入数据
如果你想,数据来自之前的版本或者来自离线捕捉会话,只要点击File(文件)>Open(打开),就可以装入数据。你可以选择要不要为介质访问控制()、网络或传输名称进行名称解析。
第6步:选择接口
你已准备就绪,第一步是选择Wireshark将侦听哪些接口。你可以从主屏幕选择接口,点击最左边的接口图标。或者你可以点击Capture(捕捉)>Interfaces…(接口…)。你可以选择任何组合的接口,包括捕捉来自所有可用接口的数据的伪接口。
第7步:开始捕捉
当你开启了接口屏幕后,还可以点击选项按钮,对捕捉的内容进行微调。一旦这一切安排妥当,你可以点击"start",开始捕捉数据了。你会在主窗口中看到一个越来越长的列表,里面是已捕捉的网络数据包,这时你可以对它们进行处理了。
第8步:查看活动数据
一旦你收集了一些数据,而且视你的网络忙碌程度而定,这些数据可能相当多,就可以快速查看当前出现的情况。前两列为你显示了数据包数量和每个数据包的捕捉时间。随后三列为你显示了源地址和目的地地址,以及每个数据包的协议。最后一列为你显示了单行的数据包信息,让你可以识别感兴趣的数据包。
第9步:名称解析
在默认情况下,Wireshark只为MAC和传输进行名称解析。这意味着,你得到的是原始的IP地址。视你的网络情况而定,把这些IP地址解析为主机名称可能更合适。你可以在接口选项屏幕开启该功能,进行新的捕捉。你还可以把它应用于已经捕捉的数据,只要点击View(查看)>Name Resolution(名称解析)>Enable for Network Layer(是否解析网络层地址),然后重新装入数据即可。
第10步:查看数据包的详细信息
当你选择了数据包,会看到屏幕底部显示了相关数据。视屏幕大小而定,你可能需要用另一个窗口来打开该,为此只需双击感兴趣的数据包。
第11步:设置混杂模式
你之所以监测无线网络,最感兴趣的是想看看网络上有什么情况。这意味着需要把网卡设置成(promiscuous mode),这就要求Wireshark作为root用户来运行。这个选项可以在接口的选项屏幕中进行设置。
第12步:设置捕捉过滤器
默认情况下,Wireshark捕捉一切看得见的数据,这可能正是你一开始想要做的事情。但是一旦你了解了流量的类型,就可以设置捕捉过滤器,那样你仅仅捕捉发往/来自特定机器的流量,或特定的协议。