上面基本是以局域网为例的。下面看看Wireshark对于互联网数据的分析。Wireshark和其它的图形化嗅探器使用基本类似的界面,整个窗口被分成三个部分:最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。 使用Wireshark可以很方便地对截获的数据包进行分析,包括该数据包的源地址、目的地址、所属协议等。图5是在Wireshark中对一个HTTP数据包进行分析时的情形。在图最上边的数据包列表中,显示了被截获的数据包的基本信息。
图5用Wireshark分析互联网数据包内容
图5中间是协议树,通过协议树可以得到被截获的数据包的更多信息,如主机的MAC地址(Ethernet II)、IP地址(Internet Protocol)、TCP端口号(Transmission Control Protocol),以及HTTP协议的具体内容(Hypertext Trnasfer Protocol)。通过扩展协议树中的相应节点,可以得到该数据包中携带的更详尽的信息。图18-14最下边是以十六制显示的数据包的具体内容,这是被截获的数据包在物理媒体上传输时的最终形式,当在协议树中选中某行时,与其对应的十六进制代码同样会被选中,这样就可以很方便地对各种协议的数据包进行分析。图6 是一个详细封包分析。是点击该封包选择“Mark Pactet”。
图6 一个封包分析
从图中可以看出,当前选中数据包的源地址是221.217.132.33,目的地址为202.106.124.50,该数据包所属的协议是超文本传输协议(HTTP)。要获取更加详细信息可以是点击该封包选择“Follow TCP stearm ”。如图18-16。
图7使用Follow TCP stearm 查看详细信息
更详细的信息表明该数据包中含有一个HTTP的GET命令,访问的网站是:www.it168.com 。客户端使用的Firefox浏览器,操纵系统Linux。
总结
Wireshark提供的图形化用户界面非常友好,管理员可以很方便地查看到每个数据包的详细信息,协议树及其对应的十六进制表示对分析每个数据包的目的很有帮助,配合使用Wireshark和Tcpdump能够基本满足网络管理员在Linux系统上的所有安全要示。
更多Wireshark更高级的使用技术,读者可以参考此书:
Nessus.Snort.and.Ethereal.Power.Tools.Customizing.Open.Source.Security.Applications
Nessus.Snort.and.Ethereal.Power.Tools.Customizing.Open.Source.Security.Applications 封面
