網絡流量捕捉：圖形化工具Wireshark

 

    1、Wireshark簡介

 

    Wireshark（前稱Ethereal）是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包，并盡可能顯示出最為詳細的網絡封包資料。網絡封包分析軟件的功能可想像成 "電工技師使用電表來量測電流、電壓、電阻" 的工作 - 只是將場景移植到網絡上，并將電線替換成網絡線。 　　

 

    網絡管理員使用Wireshark來檢測網絡問題，網絡安全工程師使用Wireshark來檢查資訊安全相關問題，開發(fā)者使用Wireshark來為新的通訊協(xié)定除錯，普通使用者使用Wireshark來學習網絡協(xié)定的相關知識當然，有的人也會“居心叵測”的用它來尋找一些敏感信息�！　�

 

    Wireshark不是入侵偵測軟件（Intrusion DetectionSoftware,IDS）。對于網絡上的異常流量行為，Wireshark不會產生警示或是任何提示。然而，仔細分析Wireshark擷取的封包能夠幫助使用者對于網絡行為有更清楚的了解。Wireshark不會對網絡封包產生內容的修改，它只會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網絡上。

 

    Linux網絡流量分析系統(tǒng)首先依賴于一套捕捉網絡數(shù)據(jù)包的函數(shù)庫。這套函數(shù)庫工作在在網絡分析系統(tǒng)模塊的最底層。作用是從網卡取得數(shù)據(jù)包或者根據(jù)過濾規(guī)則取出數(shù)據(jù)包的子集，再轉交給上層分析模塊。從協(xié)議上說，這套函數(shù)庫將一個數(shù)據(jù)包從鏈路層接收，至少將其還原至傳輸層以上，以供上層分析。

 

    在Linux系統(tǒng)中，1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包過濾器的一種的實現(xiàn)，BPF(BSD Packet Filter)。Libpcap是一個基于BPF的開放源碼的捕包函數(shù)庫�，F(xiàn)有的大部分Linux捕包系統(tǒng)都是基于這套函數(shù)庫或者是在它基礎上做一些針對性的改進。在window系統(tǒng)中，意大利人Fulvio Risso和Loris Degioanni提出并實現(xiàn)了Winpcap函數(shù)庫，作者稱之為NPF。由于NPF的主要思想就是來源于BPF，它的設計目標就是為windows系統(tǒng)提供一個功能強大的開發(fā)式數(shù)據(jù)包捕獲平臺，希望在Linux系統(tǒng)中的網絡分析工具經過簡單編譯以后也可以移植到windows中，因此這兩種捕包架構是非�，F(xiàn)實的。就實現(xiàn)來說提供的函數(shù)調用接口也是一致的。Ethereal網絡分析系統(tǒng)也需要一個底層的抓包平臺，在Linux中是采用Libpcap函數(shù)庫抓包，在windows系統(tǒng)中采用winpcap函數(shù)庫抓包。

 

    2、層次化的數(shù)據(jù)包協(xié)議分析方法

 

    取得捕包函數(shù)捕回的數(shù)據(jù)包后就需要進行協(xié)議分析和協(xié)議還原工作了。由于OSI的7層協(xié)議模型，協(xié)議數(shù)據(jù)是從上到下封裝后發(fā)送的。對于協(xié)議分析需要從下至上進行。首先對網絡層的協(xié)議識別后進行組包還原然后脫去網絡層協(xié)議頭。將里面的數(shù)據(jù)交給傳輸層分析，這樣一直進行下去直到應用層。由于網絡協(xié)議種類很多，就Ethereal所識別的500多種協(xié)議來說，為了使協(xié)議和協(xié)議間層次關系明顯。從而對數(shù)據(jù)流里的各個層次的協(xié)議能夠逐層處理。Ethereal系統(tǒng)采用了協(xié)議樹的方式。

 

    如果協(xié)議A的所有數(shù)據(jù)都是封裝在協(xié)議B里的，那么這個協(xié)議A就是協(xié)議B是另外一個協(xié)議的兒子節(jié)點(比如圖中的TCP和UDP協(xié)議就是IP協(xié)議的兒子節(jié)點)。我們將最低層的無結構數(shù)據(jù)流作為根接點。那么具有相同父節(jié)點的協(xié)議成為兄弟節(jié)點。那么這些擁有同樣父協(xié)議兄弟節(jié)點協(xié)議如何互相區(qū)分了？Ethereal系統(tǒng)采用協(xié)議的特征字來識別。每個協(xié)議會注冊自己的特征字。這些特征字給自己的子節(jié)點協(xié)議提供可以互相區(qū)分開來的標識。比如tcp協(xié)議的port字段注冊后。Tcp.port=21就可以認為是ftp協(xié)議，特征字可以是協(xié)議規(guī)范定義的任何一個字段。比如ip協(xié)議就可以定義proto字段為一個特征字。

 

    在Ethereal中注冊一個協(xié)議解析器首先要指出它的父協(xié)議是什么。另外還要指出自己區(qū)別于父節(jié)點下的兄弟接點協(xié)議的特征。比如ftp協(xié)議。在Ethereal中他的父接點是tcp協(xié)議，它的特征就是tcp協(xié)議的port字段為21。這樣當一個端口為21的tcp數(shù)據(jù)流來到時。首先由tcp協(xié)議注冊的解析模塊處理，處理完之后通過查找協(xié)議樹找到自己協(xié)議下面的子協(xié)議，判斷應該由那個子協(xié)議來執(zhí)行，找到正確的子協(xié)議后，就轉交給ftp注冊的解析模塊處理。這樣由根節(jié)點開始一層層解析下去。

由于采用了協(xié)議樹加特征字的設計，這個系統(tǒng)在協(xié)議解析上由了很強的擴展性，增加一個協(xié)議解析器只需要將解析函數(shù)掛到協(xié)議樹的相應節(jié)點上即可。

 

    3、基于插件技術的協(xié)議分析器

 

    所謂插件技術，就是在程序的設計開發(fā)過程中，把整個應用程序分成宿主程序和插件兩個部分，宿主程序與插件能夠相互通信，并且，在宿主程序不變的情況下，可以通過增減插件或修改插件來調整應用程序的功能。運用插件技術可以開發(fā)出伸縮性良好、便于維護的應用程序。它著名的應用實例有：媒體播放器winamp、微軟的網絡瀏覽器IE等。

 

    由于現(xiàn)在網絡協(xié)議種類繁多，為了可以隨時增加新的協(xié)議分析器，一般的協(xié)議分析器都采用插件技術，這樣如果需要對一個新的協(xié)議分析只需要開發(fā)編寫這個協(xié)議分析器并調用注冊函數(shù)在系統(tǒng)注冊就可以使用了。通過增加插件使程序有很強的可擴展性，各個功能模塊內聚。

 

    4、安裝Wireshark

 

    該軟件有極其方便和友好的圖形用戶界面，并且能夠使得用戶通過圖形界面的配置和選擇，針對多塊網卡、多個協(xié)議進行顯示，效果非常好。目前最新版本為：Wireshark 1.0.3。安裝該軟件請按照如下步驟進行：

 

    1.//將下載的最新版本軟件拷貝到臨時文件夾