◆歐國成

Wireshark在網(wǎng)絡(luò)安全管理中的應(yīng)用

◆歐國成

（羅定職業(yè)技術(shù)學(xué)院 廣東 527200）

為提升網(wǎng)絡(luò)安全保障能力，介紹了網(wǎng)絡(luò)分析器Wireshark的應(yīng)用場景、常用的數(shù)據(jù)包分析功能及統(tǒng)計功能。以具體實驗說明如何利用Wireshark發(fā)現(xiàn)ARP欺騙攻擊、偵測DoS攻擊，并給出相應(yīng)的處理方法。實驗證明，利用Wireshark能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)運行狀況、及時發(fā)現(xiàn)網(wǎng)絡(luò)異常、快速診斷網(wǎng)絡(luò)故障，在網(wǎng)絡(luò)安全管理中能夠發(fā)揮十分重要的作用。

Wireshark；網(wǎng)絡(luò)管理；ARP欺騙攻擊；DoS攻擊

截至2019年6月，我國互聯(lián)網(wǎng)普及率達61.2%，網(wǎng)民規(guī)模達8.54億。隨著我國的網(wǎng)絡(luò)化水平不斷提高，網(wǎng)絡(luò)安全保障能力也必須同步提升，才能維護廣大網(wǎng)民的合法權(quán)益。然而，病毒木馬、網(wǎng)絡(luò)詐騙、拒絕服務(wù)攻擊、信息泄露等網(wǎng)絡(luò)安全問題屢屢出現(xiàn)，嚴重威脅網(wǎng)民利用網(wǎng)絡(luò)開展工作、學(xué)習(xí)、娛樂等活動的安全。監(jiān)控網(wǎng)絡(luò)運行狀況、及時發(fā)現(xiàn)網(wǎng)絡(luò)異常、診斷并排除網(wǎng)絡(luò)故障、保證網(wǎng)絡(luò)服務(wù)正常是網(wǎng)絡(luò)管理員的日常工作內(nèi)容。而網(wǎng)絡(luò)管理工具是網(wǎng)絡(luò)管理員工作中的好幫手，其中網(wǎng)絡(luò)分析器是必不可少的工具之一。

1 網(wǎng)絡(luò)分析器Wireshark

網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)分析器能及時發(fā)現(xiàn)各種網(wǎng)絡(luò)異常，防范網(wǎng)絡(luò)攻擊事件。Wireshark憑借其開源、免費、功能強大等特點，成為最流行的網(wǎng)絡(luò)分析器之一[1]。Wireshark具有強大的網(wǎng)絡(luò)封包獲取能力，并能提供強大的網(wǎng)絡(luò)封包分析功能及統(tǒng)計功能，在網(wǎng)絡(luò)安全管理中得到廣泛應(yīng)用。楊萍等利用Wireshark進行網(wǎng)絡(luò)安全風險評估，提高計算機網(wǎng)絡(luò)的運行安全水平[2]；任皓利用Wireshark發(fā)現(xiàn)實施ARP欺騙攻擊的可疑主機[3]；辛偉偉等通過Wireshark捕獲和分析DHCP數(shù)據(jù)包來定位網(wǎng)絡(luò)故障[4]；左曉靜通過Wireshark抓取TCP數(shù)據(jù)包，分析TCP協(xié)議的工作過程[5]；吳志森通過Wireshark對ICMP數(shù)據(jù)包進行嗅探并且記錄，對網(wǎng)絡(luò)中安全問題進行優(yōu)化，防止數(shù)據(jù)被非法竊取[6]。

1.1 Wireshark應(yīng)用場景

把安裝了Wireshark軟件的主機稱為監(jiān)控主機，網(wǎng)絡(luò)管理員需要把監(jiān)控主機的網(wǎng)卡設(shè)置為混雜模式并確保網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)過監(jiān)控主機的網(wǎng)卡，才能利用Wireshark捕獲網(wǎng)絡(luò)數(shù)據(jù)包。在實際應(yīng)用中，常見的Wireshark應(yīng)用場景有以下3種：

（1）捕獲本機數(shù)據(jù)包。打開監(jiān)控主機上的Wireshark應(yīng)用程序，網(wǎng)卡會自動把工作模式切換為混雜模式，選擇待監(jiān)控的網(wǎng)絡(luò)接口后就可以捕獲到本機數(shù)據(jù)包。

（2）捕獲集線器網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)包。由于集線器是典型的廣播通信網(wǎng)絡(luò)設(shè)備，因此網(wǎng)絡(luò)管理員只需把監(jiān)控主機連接到集線器的任意一個端口上，就可以捕獲集線器網(wǎng)絡(luò)中所有主機的數(shù)據(jù)包。

（3）捕獲交換機網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)包。交換機網(wǎng)絡(luò)屬于點對點通信網(wǎng)絡(luò)，要想捕獲網(wǎng)絡(luò)中其他主機的數(shù)據(jù)包，網(wǎng)絡(luò)管理員需要在交換機上設(shè)置端口鏡像，把其他端口的數(shù)據(jù)復(fù)制到監(jiān)控主機所連接的交換機端口上。

1.2 Wireshark分析功能

啟動監(jiān)控主機上的Wireshark軟件，選擇待監(jiān)控的網(wǎng)絡(luò)接口后就可以捕獲到大量的網(wǎng)絡(luò)數(shù)據(jù)包。網(wǎng)絡(luò)管理員要想在大量的捕獲數(shù)據(jù)包中找出異常數(shù)據(jù)包，通過人工查找的方式是很難實現(xiàn)的。Wireshark提供了強大的數(shù)據(jù)包分析功能，包括定義過濾器、追蹤數(shù)據(jù)流、專家信息等。下面分別介紹這幾種常用的Wireshark分析功能。

（1）定義過濾器。該功能可以幫助用戶在大量數(shù)據(jù)包中迅速找到想要的數(shù)據(jù)包，用戶可以通過協(xié)議類型、數(shù)據(jù)方向、IP地址、端口號等多種規(guī)則定義過濾器，過濾器包括捕獲過濾器和顯示過濾器兩種。捕獲過濾器在捕獲數(shù)據(jù)前定義，可以按照用戶的設(shè)置捕獲指定的數(shù)據(jù)包。顯示過濾器可以幫助用戶在捕獲到的數(shù)據(jù)中篩選出指定的數(shù)據(jù)包并顯示在窗口中。

（2）追蹤流。該功能可以自動設(shè)置并應(yīng)用顯示過濾器規(guī)則，能夠幫助用戶在大量的捕獲數(shù)據(jù)包中輕松地追蹤到同一個TCP流、UDP流、TLS流、HTTP流等數(shù)據(jù)信息，方便用戶對數(shù)據(jù)包作進一步的分析。

（3）專家信息。Wireshark的專家信息功能可以幫助網(wǎng)絡(luò)管理員快速準確地找到網(wǎng)絡(luò)故障點，進行下一步的處理。專家信息包括錯誤信息（Error）、警告信息（Warning）、注意信息（Note）、聊天信息（Chat）等。在網(wǎng)絡(luò)管理中，管理員需要重點關(guān)注錯誤信息和警告信息。在專家信息窗口中，可以清晰地看到錯誤、警告數(shù)據(jù)包的分組、摘要、協(xié)議類型、數(shù)量等信息。

1.3 Wireshark統(tǒng)計功能

Wireshark同時提供了強大的數(shù)據(jù)包統(tǒng)計功能，包括捕獲文件屬性、已解析的地址、協(xié)議分級、網(wǎng)絡(luò)節(jié)點和會話、I/O圖表等統(tǒng)計功能。下面對常用的Wireshark統(tǒng)計功能作簡要介紹。

（1）捕獲文件屬性統(tǒng)計。單擊Wireshark統(tǒng)計菜單中的捕獲文件屬性命令，可以獲得捕獲文件的細節(jié)和描述。捕獲文件細節(jié)包括文件名稱、長度、封裝、捕獲時間、接口、分組統(tǒng)計等。在分組統(tǒng)計中，可以清楚地知道分組數(shù)量、時間跨度、平均分組速度、平均分組大小等信息。

（2）已解析地址統(tǒng)計。Wireshark提供地址解析功能，在已解析的地址窗口中，可以看到解析后的數(shù)據(jù)包地址、名稱、端口名稱、端口號、端口類型等信息。

（3）協(xié)議分級統(tǒng)計。Wireshark協(xié)議分級統(tǒng)計列出每種協(xié)議的分組數(shù)量、按分組百分比、字節(jié)大小、按字節(jié)百分比、分組速度等信息。網(wǎng)絡(luò)管理員通過協(xié)議分級統(tǒng)計功能可以掌握網(wǎng)絡(luò)中的數(shù)據(jù)包組成結(jié)構(gòu)，當網(wǎng)絡(luò)出現(xiàn)故障時能快速掌握攻擊數(shù)據(jù)包的協(xié)議類型。

（4）網(wǎng)絡(luò)節(jié)點和會話統(tǒng)計。網(wǎng)絡(luò)節(jié)點統(tǒng)計詳細描述了通信會話中每個節(jié)點接收和發(fā)送的數(shù)據(jù)包和字節(jié)數(shù)，方便網(wǎng)絡(luò)管理員快速找出網(wǎng)絡(luò)中哪個節(jié)點最占用網(wǎng)絡(luò)資源。網(wǎng)絡(luò)會話統(tǒng)計記錄了每個會話的分組交換情況，包括會話雙方的地址、會話分組數(shù)量、會話方向及分組大小等信息，方便網(wǎng)絡(luò)管理員快速找出網(wǎng)絡(luò)中哪個會話最占用網(wǎng)絡(luò)資源。

（5）I/O圖表統(tǒng)計。在Wireshark I/O圖表窗口中，網(wǎng)絡(luò)管理員能夠看到網(wǎng)絡(luò)吞吐量的實時圖像顯示，包括所有數(shù)據(jù)包的分時流量情況以及錯誤數(shù)據(jù)包的分布情況。I/O圖表功能為網(wǎng)絡(luò)管理員進行網(wǎng)絡(luò)運行狀況監(jiān)控提供了極大的便利。

2 Wireshark在網(wǎng)絡(luò)安全管理中的應(yīng)用

Wireshark具有強大的網(wǎng)絡(luò)封包捕獲能力、分析能力及統(tǒng)計能力，能夠在網(wǎng)絡(luò)安全管理中發(fā)揮重要的作用。下面以具體實驗介紹Wireshark在網(wǎng)絡(luò)安全管理中的實際應(yīng)用，實驗網(wǎng)絡(luò)拓撲圖如圖1所示。

圖1 實驗網(wǎng)絡(luò)拓撲圖

其中，路由器Router的內(nèi)網(wǎng)IP為192.168.3.1，作為內(nèi)網(wǎng)主機的網(wǎng)關(guān)；PC1模擬被黑客控制的肉雞，它的內(nèi)網(wǎng)IP地址為192.168.3.36；PC2模擬內(nèi)網(wǎng)合法用戶的主機，其內(nèi)網(wǎng)IP地址為192.168.3.37；監(jiān)控主機是網(wǎng)絡(luò)管理員使用的安裝了Wireshark軟件的主機。

2.1 發(fā)現(xiàn)ARP欺騙攻擊

正常情況下，PC2要與外網(wǎng)通信時，首先要通過ARP協(xié)議，獲得網(wǎng)關(guān)的MAC地址，然后把數(shù)據(jù)發(fā)送到網(wǎng)關(guān)，再通過網(wǎng)關(guān)轉(zhuǎn)發(fā)至外網(wǎng)傳輸。ARP欺騙攻擊原理如圖2所示。

肉雞PC1向PC2發(fā)起ARP欺騙攻擊，聲稱網(wǎng)關(guān)的MAC地址改成了自己的MAC地址，導(dǎo)致PC2原本要發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)發(fā)給了PC1。同時PC1向網(wǎng)關(guān)發(fā)起ARP欺騙攻擊，聲稱PC2的MAC地址改成了自己的MAC地址，導(dǎo)致網(wǎng)關(guān)原本要發(fā)送給PC2的數(shù)據(jù)發(fā)給了PC1。這樣，肉雞PC1就能截獲PC2與網(wǎng)關(guān)之間的通信。

圖2 ARP欺騙攻擊原理

實驗中，PC1利用偽造的MAC地址向PC2和網(wǎng)關(guān)發(fā)起雙向ARP欺騙攻擊，使得PC2不能與外界通信。

網(wǎng)絡(luò)管理員收到PC2用戶的網(wǎng)絡(luò)故障報告后，利用Wireshark捕獲網(wǎng)絡(luò)中的ARP數(shù)據(jù)包，得到Wireshark的專家信息和I/O圖表信息，如圖3所示。

圖3 利用Wireshark發(fā)現(xiàn)ARP欺騙攻擊

通過MAC地址警告信息和I/O圖表信息中的ARP數(shù)據(jù)包流量，可以清楚地看到PC2和網(wǎng)關(guān)的MAC地址都是ef:ef:ef:4f:10:9f，因此可以判定PC2和網(wǎng)關(guān)遭受了ARP欺騙攻擊，且攻擊者偽造的MAC地址為：ef:ef:ef:4f:10:9f。

網(wǎng)絡(luò)管理員要處理這個網(wǎng)絡(luò)故障，需要在PC2上利用“arp -s”命令把網(wǎng)關(guān)的IP地址和網(wǎng)關(guān)的MAC地址進行靜態(tài)綁定，同時在網(wǎng)關(guān)路由器上把PC2的IP地址和PC2的MAC地址也進行靜態(tài)綁定即可。

2.2 偵測DoS攻擊

拒絕服務(wù)（DoS）攻擊就是通過各種方式消耗攻擊目標的可用資源，其目的是令攻擊目標無法提供正常的網(wǎng)絡(luò)服務(wù)，常見的DoS攻擊有死亡之Ping、SYN Flood、UDP Flood、ICMP Flood、Land、Teardrop等。實驗中，肉雞PC1向PC2的80端口發(fā)起SYN Flood攻擊，利用大量隨機產(chǎn)生的源IP地址，瘋狂向PC2發(fā)送SYN包，請求與PC2建立TCP連接，在收到PC2的SYN＋ACK包后而不返回確認ACK包，使得PC2不斷重發(fā)SYN＋ACK包，直到超時為止，以此來消耗PC2的系統(tǒng)資源，導(dǎo)致PC2不能響應(yīng)正常的TCP連接請求。

網(wǎng)絡(luò)管理員可以利用Wireshark捕獲網(wǎng)絡(luò)中的TCP數(shù)據(jù)包，通過捕獲的數(shù)據(jù)包、Wireshark警告、會話統(tǒng)計以及I/O圖表功能，能快速偵測到網(wǎng)絡(luò)中的PC2主機遭受DoS攻擊，如圖4所示。

在圖4中，（a）展示了Wireshark捕獲到大量RST=1，ACK=1的TCP數(shù)據(jù)包，數(shù)據(jù)包的源IP地址均為192.168.3.37（PC2的IP），源端口均為80端口，目標IP地址為隨機的IP地址，目標端口均為46287端口；（b）展示了大量TCP連接重置的警告信息；（c）展示了大量相似的TCP會話統(tǒng)計信息；（d）展示了一段時間內(nèi)的TCP數(shù)據(jù)包流量情況，流量高達4500個數(shù)據(jù)包每秒以上。根據(jù)以上現(xiàn)象，可以判斷，網(wǎng)絡(luò)中的PC2主機遭受SYN Flood攻擊。

網(wǎng)絡(luò)管理員可以通過關(guān)閉目標主機上不常用的端口、不必要的TCP/IP服務(wù)，利用網(wǎng)絡(luò)防火墻對特定數(shù)據(jù)包進行過濾等方法來防范SYN Flood等拒絕服務(wù)攻擊。

3 結(jié)語

本文介紹了網(wǎng)絡(luò)分析器Wireshark的應(yīng)用場景、常用的數(shù)據(jù)包分析功能及統(tǒng)計功能，以具體實驗介紹了如何利用Wireshark發(fā)現(xiàn)ARP欺騙攻擊、偵測DoS攻擊，并給出相應(yīng)的解決方法。實驗證明，利用Wireshark能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)運行狀況、及時發(fā)現(xiàn)網(wǎng)絡(luò)異常、快速診斷網(wǎng)絡(luò)故障，在網(wǎng)絡(luò)安全管理中能夠發(fā)揮十分重要的作用。

[1]黃魯江，雷燁，成燚.Wireshark協(xié)議解析在網(wǎng)絡(luò)故障排查中的應(yīng)用[J].鐵道通信信號，2016，52（10）：52-55.

[2]楊萍，田建春.Wireshark網(wǎng)絡(luò)安全風險評估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（9）：54+56.

[3]任皓.基于Wireshark的ARP欺騙分析及發(fā)現(xiàn)技術(shù)[J].電子設(shè)計工程，2018，26（2）：18-21.

[4]辛偉偉，郝繼升，張成.基于Wireshark的DHCP網(wǎng)絡(luò)故障定位分析[J].延安大學(xué)學(xué)報（自然科學(xué)版），2018，37（1）：34-36.

[5]左曉靜，趙永樂，王榮.基于Wireshark的TCP協(xié)議工作過程分析[J].電腦知識與技術(shù)，2019，15（5）：67-68.

[6]吳志森.利用Wireshark對網(wǎng)絡(luò)中ICMP數(shù)據(jù)包進行嗅探分析[J].安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報，2019，18（6）：21-25.