Wireshark这个软件的前身为Ethereal，它是网络安全工作人员十分喜爱的强大工具。作为一款网络数据包分析器，它可以进入网络内部嗅探，在各个级别上检查通信的细节，包括连接水平信息以及组成单个数据包的比特位。对数据包的深度检查准许此工具分析安全事件，也可以诊断网络设备的问题。更为可贵的是，这是一款免费的工具。

    网络嗅探的原因

    嗅探网络并不是简单地阅读人们的私有邮件信息。在使用Wireshark之前，使用它的单位应当确保拥有清晰定义的私有策略，这种策略可以描述单位的策略要求，清楚地说明使用网络的个人的权限，准许嗅探安全并进行故障诊断。使用Wireshark之类工具的任何人，如果不首先获取必要的许可将可能陷于法律上的困境。

    然而，安全专业人士嗅探网络通信有两个重要的原因。首先，在分析网络攻击并设计应对措施时，深入数据包的细节可显示出其巨大的价值。

    例如，如果发生了拒绝服务攻击，就可以用Wireshark来确认特定的攻击类型。然后，此工具就可以精确地构建能够阻止非法数据通信的防火墙规则。Wireshark的第二个主要应用是诊断安全设备的问题。如果运行着Wireshark的系统连接到防火墙的任何一端，就容易看出有哪些数据包成功地通过了设备，并确认防火墙是否是产生连接问题的主要原因。

    需要记住的一点是, Wireshark可被用于善或恶两个方面。如果一位网络或安全管理人员掌握了此工具，那么它就是一款极有价值的故障诊断工具。然而，如果是一个居心不良的家伙学会了其使用，那么它就是一款强大的窃听工具，因为此工具可使任何人查看通过网络的每一个数据包。

    安装Wireshark

    安装Wireshark是一件很轻松的事情。此软件有多种操作系统的版本，如Windows、Macintosh OS X、Linux等。Wireshark网站上还有此软件的源代码供用户下载。

    如图1是此软件的安装过程的一个截图，可看出它拥有许多插件和工具：

   

图1

    其安装后的界面如图2：

  

图2

    不过，并不是每一个用户都能够成功地安装此软件。下面笔者谈几个安装过程中的故障问题及其诊断：

    如果系统提示配置不正确，用户需要检查源目录中的config.log文件，查看一下是哪里发生了故障。此文件的最后几行有助于决定问题的所在。

    还有一些普遍的问题，如用户系统上没有安装GTK+系统，或者用户并没有安装GTK+的最新版本。如果用户的计算机并没有安装libpcap或Wincap，配置也会发生问题。

    另外一个常见问题发生在最后的编译和链接阶段，系统告诉你：输出太长（Output too long）。这可能是由老版本的sed引起的。因为sed是libtool脚本用于构建最后的链接命令的工具，所以太旧的sed会导致各种各样的问题。用户可以从http://directory.fsf.org/GNU/sed.html下载其最新的版本来解决此问题。

    如果用户无法决定问题的所在，可向wireshark-dev邮件列表求助。

    进行一次简单的数据包捕获

   

图3

    如上图3，在主界面中打开capture菜单中的interface命令，这时系统会打开下图4所示的对话框：

   

图4

[1] [2] [3] 下一页