網(wǎng)絡(luò)流量捕捉：圖形化工具Wireshark

 

    1、Wireshark簡(jiǎn)介

 

    Wireshark（前稱Ethereal）是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。網(wǎng)絡(luò)封包分析軟件的功能可想像成 "電工技師使用電表來(lái)量測(cè)電流、電壓、電阻" 的工作 - 只是將場(chǎng)景移植到網(wǎng)絡(luò)上，并將電線替換成網(wǎng)絡(luò)線。 　　

 

    網(wǎng)絡(luò)管理員使用Wireshark來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題，網(wǎng)絡(luò)安全工程師使用Wireshark來(lái)檢查資訊安全相關(guān)問(wèn)題，開(kāi)發(fā)者使用Wireshark來(lái)為新的通訊協(xié)定除錯(cuò)，普通使用者使用Wireshark來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識(shí)當(dāng)然，有的人也會(huì)“居心叵測(cè)”的用它來(lái)尋找一些敏感信息。　　

 

    Wireshark不是入侵偵測(cè)軟件（Intrusion DetectionSoftware,IDS）。對(duì)于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析Wireshark擷取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出目前流通的封包資訊。 Wireshark本身也不會(huì)送出封包至網(wǎng)絡(luò)上。

 

    Linux網(wǎng)絡(luò)流量分析系統(tǒng)首先依賴于一套捕捉網(wǎng)絡(luò)數(shù)據(jù)包的函數(shù)庫(kù)。這套函數(shù)庫(kù)工作在在網(wǎng)絡(luò)分析系統(tǒng)模塊的最底層。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過(guò)濾規(guī)則取出數(shù)據(jù)包的子集，再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說(shuō)，這套函數(shù)庫(kù)將一個(gè)數(shù)據(jù)包從鏈路層接收，至少將其還原至傳輸層以上，以供上層分析。

 

    在Linux系統(tǒng)中，1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包過(guò)濾器的一種的實(shí)現(xiàn)，BPF(BSD Packet Filter)。Libpcap是一個(gè)基于BPF的開(kāi)放源碼的捕包函數(shù)庫(kù)。現(xiàn)有的大部分Linux捕包系統(tǒng)都是基于這套函數(shù)庫(kù)或者是在它基礎(chǔ)上做一些針對(duì)性的改進(jìn)。在window系統(tǒng)中，意大利人Fulvio Risso和Loris Degioanni提出并實(shí)現(xiàn)了Winpcap函數(shù)庫(kù)，作者稱之為NPF。由于NPF的主要思想就是來(lái)源于BPF，它的設(shè)計(jì)目標(biāo)就是為windows系統(tǒng)提供一個(gè)功能強(qiáng)大的開(kāi)發(fā)式數(shù)據(jù)包捕獲平臺(tái)，希望在Linux系統(tǒng)中的網(wǎng)絡(luò)分析工具經(jīng)過(guò)簡(jiǎn)單編譯以后也可以移植到windows中，因此這兩種捕包架構(gòu)是非�，F(xiàn)實(shí)的。就實(shí)現(xiàn)來(lái)說(shuō)提供的函數(shù)調(diào)用接口也是一致的。Ethereal網(wǎng)絡(luò)分析系統(tǒng)也需要一個(gè)底層的抓包平臺(tái)，在Linux中是采用Libpcap函數(shù)庫(kù)抓包，在windows系統(tǒng)中采用winpcap函數(shù)庫(kù)抓包。

 

    2、層次化的數(shù)據(jù)包協(xié)議分析方法

 

    取得捕包函數(shù)捕回的數(shù)據(jù)包后就需要進(jìn)行協(xié)議分析和協(xié)議還原工作了。由于OSI的7層協(xié)議模型，協(xié)議數(shù)據(jù)是從上到下封裝后發(fā)送的。對(duì)于協(xié)議分析需要從下至上進(jìn)行。首先對(duì)網(wǎng)絡(luò)層的協(xié)議識(shí)別后進(jìn)行組包還原然后脫去網(wǎng)絡(luò)層協(xié)議頭。將里面的數(shù)據(jù)交給傳輸層分析，這樣一直進(jìn)行下去直到應(yīng)用層。由于網(wǎng)絡(luò)協(xié)議種類(lèi)很多，就Ethereal所識(shí)別的500多種協(xié)議來(lái)說(shuō)，為了使協(xié)議和協(xié)議間層次關(guān)系明顯。從而對(duì)數(shù)據(jù)流里的各個(gè)層次的協(xié)議能夠逐層處理。Ethereal系統(tǒng)采用了協(xié)議樹(shù)的方式。

 

    如果協(xié)議A的所有數(shù)據(jù)都是封裝在協(xié)議B里的，那么這個(gè)協(xié)議A就是協(xié)議B是另外一個(gè)協(xié)議的兒子節(jié)點(diǎn)(比如圖中的TCP和UDP協(xié)議就是IP協(xié)議的兒子節(jié)點(diǎn))。我們將最低層的無(wú)結(jié)構(gòu)數(shù)據(jù)流作為根接點(diǎn)。那么具有相同父節(jié)點(diǎn)的協(xié)議成為兄弟節(jié)點(diǎn)。那么這些擁有同樣父協(xié)議兄弟節(jié)點(diǎn)協(xié)議如何互相區(qū)分了？Ethereal系統(tǒng)采用協(xié)議的特征字來(lái)識(shí)別。每個(gè)協(xié)議會(huì)注冊(cè)自己的特征字。這些特征字給自己的子節(jié)點(diǎn)協(xié)議提供可以互相區(qū)分開(kāi)來(lái)的標(biāo)識(shí)。比如tcp協(xié)議的port字段注冊(cè)后。Tcp.port=21就可以認(rèn)為是ftp協(xié)議，特征字可以是協(xié)議規(guī)范定義的任何一個(gè)字段。比如ip協(xié)議就可以定義proto字段為一個(gè)特征字。

 

    在Ethereal中注冊(cè)一個(gè)協(xié)議解析器首先要指出它的父協(xié)議是什么。另外還要指出自己區(qū)別于父節(jié)點(diǎn)下的兄弟接點(diǎn)協(xié)議的特征。比如ftp協(xié)議。在Ethereal中他的父接點(diǎn)是tcp協(xié)議，它的特征就是tcp協(xié)議的port字段為21。這樣當(dāng)一個(gè)端口為21的tcp數(shù)據(jù)流來(lái)到時(shí)。首先由tcp協(xié)議注冊(cè)的解析模塊處理，處理完之后通過(guò)查找協(xié)議樹(shù)找到自己協(xié)議下面的子協(xié)議，判斷應(yīng)該由那個(gè)子協(xié)議來(lái)執(zhí)行，找到正確的子協(xié)議后，就轉(zhuǎn)交給ftp注冊(cè)的解析模塊處理。這樣由根節(jié)點(diǎn)開(kāi)始一層層解析下去。

由于采用了協(xié)議樹(shù)加特征字的設(shè)計(jì)，這個(gè)系統(tǒng)在協(xié)議解析上由了很強(qiáng)的擴(kuò)展性，增加一個(gè)協(xié)議解析器只需要將解析函數(shù)掛到協(xié)議樹(shù)的相應(yīng)節(jié)點(diǎn)上即可。

 

    3、基于插件技術(shù)的協(xié)議分析器

 

    所謂插件技術(shù)，就是在程序的設(shè)計(jì)開(kāi)發(fā)過(guò)程中，把整個(gè)應(yīng)用程序分成宿主程序和插件兩個(gè)部分，宿主程序與插件能夠相互通信，并且，在宿主程序不變的情況下，可以通過(guò)增減插件或修改插件來(lái)調(diào)整應(yīng)用程序的功能。運(yùn)用插件技術(shù)可以開(kāi)發(fā)出伸縮性良好、便于維護(hù)的應(yīng)用程序。它著名的應(yīng)用實(shí)例有：媒體播放器winamp、微軟的網(wǎng)絡(luò)瀏覽器IE等。

 

    由于現(xiàn)在網(wǎng)絡(luò)協(xié)議種類(lèi)繁多，為了可以隨時(shí)增加新的協(xié)議分析器，一般的協(xié)議分析器都采用插件技術(shù)，這樣如果需要對(duì)一個(gè)新的協(xié)議分析只需要開(kāi)發(fā)編寫(xiě)這個(gè)協(xié)議分析器并調(diào)用注冊(cè)函數(shù)在系統(tǒng)注冊(cè)就可以使用了。通過(guò)增加插件使程序有很強(qiáng)的可擴(kuò)展性，各個(gè)功能模塊內(nèi)聚。

 

    4、安裝Wireshark

 

    該軟件有極其方便和友好的圖形用戶界面，并且能夠使得用戶通過(guò)圖形界面的配置和選擇，針對(duì)多塊網(wǎng)卡、多個(gè)協(xié)議進(jìn)行顯示，效果非常好。目前最新版本為：Wireshark 1.0.3。安裝該軟件請(qǐng)按照如下步驟進(jìn)行：

 

    1.//將下載的最新版本軟件拷貝到臨時(shí)文件夾