◆歐國成

Wireshark在網(wǎng)絡(luò)安全管理中的應(yīng)用

◆歐國成

（羅定職業(yè)技術(shù)學(xué)院 廣東 527200）

為提升網(wǎng)絡(luò)安全保障能力，介紹了網(wǎng)絡(luò)分析器Wireshark的應(yīng)用場景、常用的數(shù)據(jù)包分析功能及統(tǒng)計(jì)功能。以具體實(shí)驗(yàn)說明如何利用Wireshark發(fā)現(xiàn)ARP欺騙攻擊、偵測DoS攻擊，并給出相應(yīng)的處理方法。實(shí)驗(yàn)證明，利用Wireshark能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常、快速診斷網(wǎng)絡(luò)故障，在網(wǎng)絡(luò)安全管理中能夠發(fā)揮十分重要的作用。

Wireshark；網(wǎng)絡(luò)管理；ARP欺騙攻擊；DoS攻擊

截至2019年6月，我國互聯(lián)網(wǎng)普及率達(dá)61.2%，網(wǎng)民規(guī)模達(dá)8.54億。隨著我國的網(wǎng)絡(luò)化水平不斷提高，網(wǎng)絡(luò)安全保障能力也必須同步提升，才能維護(hù)廣大網(wǎng)民的合法權(quán)益。然而，病毒木馬、網(wǎng)絡(luò)詐騙、拒絕服務(wù)攻擊、信息泄露等網(wǎng)絡(luò)安全問題屢屢出現(xiàn)，嚴(yán)重威脅網(wǎng)民利用網(wǎng)絡(luò)開展工作、學(xué)習(xí)、娛樂等活動(dòng)的安全。監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常、診斷并排除網(wǎng)絡(luò)故障、保證網(wǎng)絡(luò)服務(wù)正常是網(wǎng)絡(luò)管理員的日常工作內(nèi)容。而網(wǎng)絡(luò)管理工具是網(wǎng)絡(luò)管理員工作中的好幫手，其中網(wǎng)絡(luò)分析器是必不可少的工具之一。

1 網(wǎng)絡(luò)分析器Wireshark

網(wǎng)絡(luò)管理員利用網(wǎng)絡(luò)分析器能及時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)異常，防范網(wǎng)絡(luò)攻擊事件。Wireshark憑借其開源、免費(fèi)、功能強(qiáng)大等特點(diǎn)，成為最流行的網(wǎng)絡(luò)分析器之一[1]。Wireshark具有強(qiáng)大的網(wǎng)絡(luò)封包獲取能力，并能提供強(qiáng)大的網(wǎng)絡(luò)封包分析功能及統(tǒng)計(jì)功能，在網(wǎng)絡(luò)安全管理中得到廣泛應(yīng)用。楊萍等利用Wireshark進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估，提高計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行安全水平[2]；任皓利用Wireshark發(fā)現(xiàn)實(shí)施ARP欺騙攻擊的可疑主機(jī)[3]；辛偉偉等通過Wireshark捕獲和分析DHCP數(shù)據(jù)包來定位網(wǎng)絡(luò)故障[4]；左曉靜通過Wireshark抓取TCP數(shù)據(jù)包，分析TCP協(xié)議的工作過程[5]；吳志森通過Wireshark對ICMP數(shù)據(jù)包進(jìn)行嗅探并且記錄，對網(wǎng)絡(luò)中安全問題進(jìn)行優(yōu)化，防止數(shù)據(jù)被非法竊取[6]。

1.1 Wireshark應(yīng)用場景

把安裝了Wireshark軟件的主機(jī)稱為監(jiān)控主機(jī)，網(wǎng)絡(luò)管理員需要把監(jiān)控主機(jī)的網(wǎng)卡設(shè)置為混雜模式并確保網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)過監(jiān)控主機(jī)的網(wǎng)卡，才能利用Wireshark捕獲網(wǎng)絡(luò)數(shù)據(jù)包。在實(shí)際應(yīng)用中，常見的Wireshark應(yīng)用場景有以下3種：

（1）捕獲本機(jī)數(shù)據(jù)包。打開監(jiān)控主機(jī)上的Wireshark應(yīng)用程序，網(wǎng)卡會(huì)自動(dòng)把工作模式切換為混雜模式，選擇待監(jiān)控的網(wǎng)絡(luò)接口后就可以捕獲到本機(jī)數(shù)據(jù)包。

（2）捕獲集線器網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)包。由于集線器是典型的廣播通信網(wǎng)絡(luò)設(shè)備，因此網(wǎng)絡(luò)管理員只需把監(jiān)控主機(jī)連接到集線器的任意一個(gè)端口上，就可以捕獲集線器網(wǎng)絡(luò)中所有主機(jī)的數(shù)據(jù)包。

（3）捕獲交換機(jī)網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)包。交換機(jī)網(wǎng)絡(luò)屬于點(diǎn)對點(diǎn)通信網(wǎng)絡(luò)，要想捕獲網(wǎng)絡(luò)中其他主機(jī)的數(shù)據(jù)包，網(wǎng)絡(luò)管理員需要在交換機(jī)上設(shè)置端口鏡像，把其他端口的數(shù)據(jù)復(fù)制到監(jiān)控主機(jī)所連接的交換機(jī)端口上。

1.2 Wireshark分析功能

啟動(dòng)監(jiān)控主機(jī)上的Wireshark軟件，選擇待監(jiān)控的網(wǎng)絡(luò)接口后就可以捕獲到大量的網(wǎng)絡(luò)數(shù)據(jù)包。網(wǎng)絡(luò)管理員要想在大量的捕獲數(shù)據(jù)包中找出異常數(shù)據(jù)包，通過人工查找的方式是很難實(shí)現(xiàn)的。Wireshark提供了強(qiáng)大的數(shù)據(jù)包分析功能，包括定義過濾器、追蹤數(shù)據(jù)流、專家信息等。下面分別介紹這幾種常用的Wireshark分析功能。

（1）定義過濾器。該功能可以幫助用戶在大量數(shù)據(jù)包中迅速找到想要的數(shù)據(jù)包，用戶可以通過協(xié)議類型、數(shù)據(jù)方向、IP地址、端口號(hào)等多種規(guī)則定義過濾器，過濾器包括捕獲過濾器和顯示過濾器兩種。捕獲過濾器在捕獲數(shù)據(jù)前定義，可以按照用戶的設(shè)置捕獲指定的數(shù)據(jù)包。顯示過濾器可以幫助用戶在捕獲到的數(shù)據(jù)中篩選出指定的數(shù)據(jù)包并顯示在窗口中。

（2）追蹤流。該功能可以自動(dòng)設(shè)置并應(yīng)用顯示過濾器規(guī)則，能夠幫助用戶在大量的捕獲數(shù)據(jù)包中輕松地追蹤到同一個(gè)TCP流、UDP流、TLS流、HTTP流等數(shù)據(jù)信息，方便用戶對數(shù)據(jù)包作進(jìn)一步的分析。

（3）專家信息。Wireshark的專家信息功能可以幫助網(wǎng)絡(luò)管理員快速準(zhǔn)確地找到網(wǎng)絡(luò)故障點(diǎn)，進(jìn)行下一步的處理。專家信息包括錯(cuò)誤信息（Error）、警告信息（Warning）、注意信息（Note）、聊天信息（Chat）等。在網(wǎng)絡(luò)管理中，管理員需要重點(diǎn)關(guān)注錯(cuò)誤信息和警告信息。在專家信息窗口中，可以清晰地看到錯(cuò)誤、警告數(shù)據(jù)包的分組、摘要、協(xié)議類型、數(shù)量等信息。

1.3 Wireshark統(tǒng)計(jì)功能

Wireshark同時(shí)提供了強(qiáng)大的數(shù)據(jù)包統(tǒng)計(jì)功能，包括捕獲文件屬性、已解析的地址、協(xié)議分級(jí)、網(wǎng)絡(luò)節(jié)點(diǎn)和會(huì)話、I/O圖表等統(tǒng)計(jì)功能。下面對常用的Wireshark統(tǒng)計(jì)功能作簡要介紹。

（1）捕獲文件屬性統(tǒng)計(jì)。單擊Wireshark統(tǒng)計(jì)菜單中的捕獲文件屬性命令，可以獲得捕獲文件的細(xì)節(jié)和描述。捕獲文件細(xì)節(jié)包括文件名稱、長度、封裝、捕獲時(shí)間、接口、分組統(tǒng)計(jì)等。在分組統(tǒng)計(jì)中，可以清楚地知道分組數(shù)量、時(shí)間跨度、平均分組速度、平均分組大小等信息。

（2）已解析地址統(tǒng)計(jì)。Wireshark提供地址解析功能，在已解析的地址窗口中，可以看到解析后的數(shù)據(jù)包地址、名稱、端口名稱、端口號(hào)、端口類型等信息。

（3）協(xié)議分級(jí)統(tǒng)計(jì)。Wireshark協(xié)議分級(jí)統(tǒng)計(jì)列出每種協(xié)議的分組數(shù)量、按分組百分比、字節(jié)大小、按字節(jié)百分比、分組速度等信息。網(wǎng)絡(luò)管理員通過協(xié)議分級(jí)統(tǒng)計(jì)功能可以掌握網(wǎng)絡(luò)中的數(shù)據(jù)包組成結(jié)構(gòu)，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)能快速掌握攻擊數(shù)據(jù)包的協(xié)議類型。

（4）網(wǎng)絡(luò)節(jié)點(diǎn)和會(huì)話統(tǒng)計(jì)。網(wǎng)絡(luò)節(jié)點(diǎn)統(tǒng)計(jì)詳細(xì)描述了通信會(huì)話中每個(gè)節(jié)點(diǎn)接收和發(fā)送的數(shù)據(jù)包和字節(jié)數(shù)，方便網(wǎng)絡(luò)管理員快速找出網(wǎng)絡(luò)中哪個(gè)節(jié)點(diǎn)最占用網(wǎng)絡(luò)資源。網(wǎng)絡(luò)會(huì)話統(tǒng)計(jì)記錄了每個(gè)會(huì)話的分組交換情況，包括會(huì)話雙方的地址、會(huì)話分組數(shù)量、會(huì)話方向及分組大小等信息，方便網(wǎng)絡(luò)管理員快速找出網(wǎng)絡(luò)中哪個(gè)會(huì)話最占用網(wǎng)絡(luò)資源。

（5）I/O圖表統(tǒng)計(jì)。在Wireshark I/O圖表窗口中，網(wǎng)絡(luò)管理員能夠看到網(wǎng)絡(luò)吞吐量的實(shí)時(shí)圖像顯示，包括所有數(shù)據(jù)包的分時(shí)流量情況以及錯(cuò)誤數(shù)據(jù)包的分布情況。I/O圖表功能為網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)運(yùn)行狀況監(jiān)控提供了極大的便利。

2 Wireshark在網(wǎng)絡(luò)安全管理中的應(yīng)用

Wireshark具有強(qiáng)大的網(wǎng)絡(luò)封包捕獲能力、分析能力及統(tǒng)計(jì)能力，能夠在網(wǎng)絡(luò)安全管理中發(fā)揮重要的作用。下面以具體實(shí)驗(yàn)介紹Wireshark在網(wǎng)絡(luò)安全管理中的實(shí)際應(yīng)用，實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

圖1 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D

其中，路由器Router的內(nèi)網(wǎng)IP為192.168.3.1，作為內(nèi)網(wǎng)主機(jī)的網(wǎng)關(guān)；PC1模擬被黑客控制的肉雞，它的內(nèi)網(wǎng)IP地址為192.168.3.36；PC2模擬內(nèi)網(wǎng)合法用戶的主機(jī)，其內(nèi)網(wǎng)IP地址為192.168.3.37；監(jiān)控主機(jī)是網(wǎng)絡(luò)管理員使用的安裝了Wireshark軟件的主機(jī)。

2.1 發(fā)現(xiàn)ARP欺騙攻擊

正常情況下，PC2要與外網(wǎng)通信時(shí)，首先要通過ARP協(xié)議，獲得網(wǎng)關(guān)的MAC地址，然后把數(shù)據(jù)發(fā)送到網(wǎng)關(guān)，再通過網(wǎng)關(guān)轉(zhuǎn)發(fā)至外網(wǎng)傳輸。ARP欺騙攻擊原理如圖2所示。

肉雞PC1向PC2發(fā)起ARP欺騙攻擊，聲稱網(wǎng)關(guān)的MAC地址改成了自己的MAC地址，導(dǎo)致PC2原本要發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)發(fā)給了PC1。同時(shí)PC1向網(wǎng)關(guān)發(fā)起ARP欺騙攻擊，聲稱PC2的MAC地址改成了自己的MAC地址，導(dǎo)致網(wǎng)關(guān)原本要發(fā)送給PC2的數(shù)據(jù)發(fā)給了PC1。這樣，肉雞PC1就能截獲PC2與網(wǎng)關(guān)之間的通信。

圖2 ARP欺騙攻擊原理

實(shí)驗(yàn)中，PC1利用偽造的MAC地址向PC2和網(wǎng)關(guān)發(fā)起雙向ARP欺騙攻擊，使得PC2不能與外界通信。

網(wǎng)絡(luò)管理員收到PC2用戶的網(wǎng)絡(luò)故障報(bào)告后，利用Wireshark捕獲網(wǎng)絡(luò)中的ARP數(shù)據(jù)包，得到Wireshark的專家信息和I/O圖表信息，如圖3所示。

圖3 利用Wireshark發(fā)現(xiàn)ARP欺騙攻擊

通過MAC地址警告信息和I/O圖表信息中的ARP數(shù)據(jù)包流量，可以清楚地看到PC2和網(wǎng)關(guān)的MAC地址都是ef:ef:ef:4f:10:9f，因此可以判定PC2和網(wǎng)關(guān)遭受了ARP欺騙攻擊，且攻擊者偽造的MAC地址為：ef:ef:ef:4f:10:9f。

網(wǎng)絡(luò)管理員要處理這個(gè)網(wǎng)絡(luò)故障，需要在PC2上利用“arp -s”命令把網(wǎng)關(guān)的IP地址和網(wǎng)關(guān)的MAC地址進(jìn)行靜態(tài)綁定，同時(shí)在網(wǎng)關(guān)路由器上把PC2的IP地址和PC2的MAC地址也進(jìn)行靜態(tài)綁定即可。

2.2 偵測DoS攻擊

拒絕服務(wù)（DoS）攻擊就是通過各種方式消耗攻擊目標(biāo)的可用資源，其目的是令攻擊目標(biāo)無法提供正常的網(wǎng)絡(luò)服務(wù)，常見的DoS攻擊有死亡之Ping、SYN Flood、UDP Flood、ICMP Flood、Land、Teardrop等。實(shí)驗(yàn)中，肉雞PC1向PC2的80端口發(fā)起SYN Flood攻擊，利用大量隨機(jī)產(chǎn)生的源IP地址，瘋狂向PC2發(fā)送SYN包，請求與PC2建立TCP連接，在收到PC2的SYN＋ACK包后而不返回確認(rèn)ACK包，使得PC2不斷重發(fā)SYN＋ACK包，直到超時(shí)為止，以此來消耗PC2的系統(tǒng)資源，導(dǎo)致PC2不能響應(yīng)正常的TCP連接請求。

網(wǎng)絡(luò)管理員可以利用Wireshark捕獲網(wǎng)絡(luò)中的TCP數(shù)據(jù)包，通過捕獲的數(shù)據(jù)包、Wireshark警告、會(huì)話統(tǒng)計(jì)以及I/O圖表功能，能快速偵測到網(wǎng)絡(luò)中的PC2主機(jī)遭受DoS攻擊，如圖4所示。

在圖4中，（a）展示了Wireshark捕獲到大量RST=1，ACK=1的TCP數(shù)據(jù)包，數(shù)據(jù)包的源IP地址均為192.168.3.37（PC2的IP），源端口均為80端口，目標(biāo)IP地址為隨機(jī)的IP地址，目標(biāo)端口均為46287端口；（b）展示了大量TCP連接重置的警告信息；（c）展示了大量相似的TCP會(huì)話統(tǒng)計(jì)信息；（d）展示了一段時(shí)間內(nèi)的TCP數(shù)據(jù)包流量情況，流量高達(dá)4500個(gè)數(shù)據(jù)包每秒以上。根據(jù)以上現(xiàn)象，可以判斷，網(wǎng)絡(luò)中的PC2主機(jī)遭受SYN Flood攻擊。

網(wǎng)絡(luò)管理員可以通過關(guān)閉目標(biāo)主機(jī)上不常用的端口、不必要的TCP/IP服務(wù)，利用網(wǎng)絡(luò)防火墻對特定數(shù)據(jù)包進(jìn)行過濾等方法來防范SYN Flood等拒絕服務(wù)攻擊。

3 結(jié)語

本文介紹了網(wǎng)絡(luò)分析器Wireshark的應(yīng)用場景、常用的數(shù)據(jù)包分析功能及統(tǒng)計(jì)功能，以具體實(shí)驗(yàn)介紹了如何利用Wireshark發(fā)現(xiàn)ARP欺騙攻擊、偵測DoS攻擊，并給出相應(yīng)的解決方法。實(shí)驗(yàn)證明，利用Wireshark能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常、快速診斷網(wǎng)絡(luò)故障，在網(wǎng)絡(luò)安全管理中能夠發(fā)揮十分重要的作用。

[1]黃魯江，雷燁，成燚.Wireshark協(xié)議解析在網(wǎng)絡(luò)故障排查中的應(yīng)用[J].鐵道通信信號(hào)，2016，52（10）：52-55.

[2]楊萍，田建春.Wireshark網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（9）：54+56.

[3]任皓.基于Wireshark的ARP欺騙分析及發(fā)現(xiàn)技術(shù)[J].電子設(shè)計(jì)工程，2018，26（2）：18-21.

[4]辛偉偉，郝繼升，張成.基于Wireshark的DHCP網(wǎng)絡(luò)故障定位分析[J].延安大學(xué)學(xué)報(bào)（自然科學(xué)版），2018，37（1）：34-36.

[5]左曉靜，趙永樂，王榮.基于Wireshark的TCP協(xié)議工作過程分析[J].電腦知識(shí)與技術(shù)，2019，15（5）：67-68.

[6]吳志森.利用Wireshark對網(wǎng)絡(luò)中ICMP數(shù)據(jù)包進(jìn)行嗅探分析[J].安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2019，18（6）：21-25.