Wireshark 是 Kali 中預(yù)置的眾多有價(jià)值工具中的一種。與其它工具一樣，它可以被用于正面用途，同樣也可以被用于不良目的。當(dāng)然，本文將會(huì)介紹如何追蹤你自己的網(wǎng)絡(luò)流量來(lái)發(fā)現(xiàn)潛在的非正?；顒?dòng)。

Wireshark 相當(dāng)?shù)膹?qiáng)大，當(dāng)你第一次見(jiàn)到它的時(shí)候可能會(huì)被它嚇到，但是它的目的始終就只有一個(gè)，那就是追蹤網(wǎng)絡(luò)流量，并且它所實(shí)現(xiàn)的所有選項(xiàng)都只為了加強(qiáng)它追蹤流量的能力。

安裝

Kali 中預(yù)置了 Wireshark 。不過(guò)，wireshark-gtk 包提供了一個(gè)更好的界面使你在使用 Wireshark 的時(shí)候會(huì)有更友好的體驗(yàn)。因此，在使用 Wireshark 前的第一步是安裝 wireshark-gtk 這個(gè)包。

# apt install wireshark-gtk 

如果你的 Kali 是從 live 介質(zhì)上運(yùn)行的也不需要擔(dān)心，依然有效。

基礎(chǔ)配置

在你使用 Wireshark 之前，將它設(shè)置成你使用起來(lái)最舒適的狀態(tài)可能是最好的。

Wireshark 提供了許多不同的布局方案和選項(xiàng)來(lái)配置程序的行為。盡管數(shù)量很多，但是使用起來(lái)是相當(dāng)直接明確的。

從啟動(dòng) Wireshark-gtk 開(kāi)始。需要確定啟動(dòng)的是 GTK 版本的。在 Kali 中它們是被分別列出的。 

布局

默認(rèn)情況下，Wireshark 的信息展示分為三塊內(nèi)容，每一塊都疊在另一塊上方。(LCTT 譯注：這里的三部分指的是展示抓包信息的時(shí)候的那三塊內(nèi)容，本段配圖沒(méi)有展示，配圖 4、5、6 的設(shè)置不是默認(rèn)設(shè)置，與這里的描述不符)最上方的一塊是所抓包的列表。中間的一塊是包的詳細(xì)信息。最下面那塊中包含的是包的原始字節(jié)信息。通常來(lái)說(shuō)，上面的兩塊中的信息比最下面的那塊有用的多，但是對(duì)于資深用戶來(lái)說(shuō)這塊內(nèi)容仍然是重要信息。

每一塊都是可以縮放的，可并不是每一個(gè)人都必須使用這樣疊起來(lái)的布局方式。你可以在 Wireshark 的“選項(xiàng)Preferences”菜單中進(jìn)行更改。點(diǎn)擊“編輯Edit”菜單，最下方就是的“選項(xiàng)Preferences”菜單。這個(gè)選項(xiàng)會(huì)打開(kāi)一個(gè)有更多選項(xiàng)的新窗口。單擊側(cè)邊菜單中“用戶界面User Interface”下的“布局Layout”選項(xiàng)。

你將會(huì)看到一些不同的布局方案。上方的圖示可以讓你選擇不同的面板位置布局方案，下面的單選框可以讓你選擇不同面板中的數(shù)據(jù)內(nèi)容。

下面那個(gè)標(biāo)記為“列Columns”的標(biāo)簽可以讓你選擇展示所抓取包的哪些信息。選擇那些你需要的數(shù)據(jù)信息，或者全部展示。

工具條

對(duì)于 Wireshark 的工具條能做的設(shè)置不是太多，但是如果你想設(shè)置的話，你依然在前文中提到的“布局”菜單中的窗口管理工具下方找到一些有用的設(shè)置選項(xiàng)。那些能讓你配置工具條和工具條中條目的選項(xiàng)就在窗口選項(xiàng)下方。

你還可以在“視圖View”菜單下勾選來(lái)配置工具條的顯示內(nèi)容。

功能

主要的用來(lái)控制 Wireshark 抓包的控制選項(xiàng)基本都集中在“捕捉Capture”菜單下的“選項(xiàng)Options”選項(xiàng)中。

在開(kāi)啟的窗口中最上方的“捕捉Capture”部分可以讓你選擇 Wireshark 要監(jiān)控的某個(gè)具體的網(wǎng)絡(luò)接口。這部分可能會(huì)由于你系統(tǒng)的配置不同而會(huì)有相當(dāng)大的不同。要記得勾選正確的選擇框才能獲得正確的數(shù)據(jù)。虛擬機(jī)和伴隨它們一起的網(wǎng)絡(luò)接口也同樣會(huì)在這個(gè)列表里顯示。同樣也會(huì)有多種不同的選項(xiàng)對(duì)應(yīng)這多種不同的網(wǎng)絡(luò)接口。

在網(wǎng)絡(luò)接口列表的下方是兩個(gè)選項(xiàng)。其中一個(gè)選項(xiàng)是全選所有的接口。另一個(gè)選項(xiàng)用來(lái)選擇是否開(kāi)啟混雜模式。這個(gè)選項(xiàng)可以使你的計(jì)算機(jī)監(jiān)控到所選網(wǎng)絡(luò)上的所有的計(jì)算機(jī)。(LCTT 譯注：混雜模式可以在 HUB 中或監(jiān)聽(tīng)模式的交換機(jī)接口上捕獲那些由于 MAC 地址非本機(jī)而會(huì)被自動(dòng)丟棄的數(shù)據(jù)包)如果你想監(jiān)控你所在的整個(gè)網(wǎng)絡(luò)，這個(gè)選項(xiàng)是你所需要的。

注意: 在一個(gè)不屬于你或者不擁有權(quán)限的網(wǎng)絡(luò)上使用混雜模式來(lái)監(jiān)控是非法的!

在窗口下方的右側(cè)是“顯示選項(xiàng)Display Options”和“名稱解析Name Resolution”選項(xiàng)塊。對(duì)于“顯示選項(xiàng)Display Options”來(lái)說(shuō)，三個(gè)選項(xiàng)全選可能就是一個(gè)很好的選擇了。當(dāng)然你也可以取消選擇，但是最好還是保留選擇“實(shí)時(shí)更新抓包列表”。

在“名稱解析Name Resolution”中你也可以設(shè)置你的偏好。這里的選項(xiàng)會(huì)產(chǎn)生附加的請(qǐng)求因此選得越多就會(huì)有越多的請(qǐng)求產(chǎn)生使你的抓取的包列表顯得雜亂。把 MAC 解析選項(xiàng)選上是個(gè)好主意，那樣就可以知道所使用的網(wǎng)絡(luò)硬件的品牌了。這可以幫助你來(lái)確定你是在與哪臺(tái)設(shè)備上的哪個(gè)接口進(jìn)行交互。

抓包

抓包是 Wireshark 的核心功能。監(jiān)控和記錄特定網(wǎng)絡(luò)上的流量就是它最初產(chǎn)生的目的。使用它最基本的方式來(lái)作這個(gè)抓包的工作是相當(dāng)簡(jiǎn)單方便的。當(dāng)然，越多的配置和選項(xiàng)就越可以充分利用 Wireshark 的力量。這里的介紹的關(guān)注點(diǎn)依然還是它最基本的記錄方式。

按下那個(gè)看起來(lái)像藍(lán)色鯊魚(yú)鰭的新建實(shí)時(shí)抓包按鈕就可以開(kāi)始抓包了。(LCTT 譯注：在我的 Debian 上它是綠色的)

在抓包的過(guò)程中，Wireshark 會(huì)收集所有它能收集到的包的數(shù)據(jù)并且記錄下來(lái)。如果沒(méi)有更改過(guò)相關(guān)設(shè)置的話，在抓包的過(guò)程中你會(huì)看見(jiàn)不斷的有新的包進(jìn)入到“包列表”面板中。你可以實(shí)時(shí)的查看你認(rèn)為有趣的包，或者就讓 Wireshark 運(yùn)行著，同時(shí)你可以做一些其它的事情。

當(dāng)你完成了，按下紅色的正方形“停止”按鈕就可以了?，F(xiàn)在，你可以選擇是否要保存這些所抓取的數(shù)據(jù)了。要保存的話，你可以使用“文件”菜單下的“保存”或者是“另存為”選項(xiàng)。

讀取數(shù)據(jù)

Wireshark 的目標(biāo)是向你提供你所需要的所有數(shù)據(jù)。這樣做時(shí)，它會(huì)在它監(jiān)控的網(wǎng)絡(luò)上收集大量的與網(wǎng)絡(luò)包相關(guān)的數(shù)據(jù)。它使用可折疊的標(biāo)簽來(lái)展示這些數(shù)據(jù)，使得這些數(shù)據(jù)看起來(lái)沒(méi)有那么嚇人。每一個(gè)標(biāo)簽都對(duì)應(yīng)于網(wǎng)絡(luò)包中一部分的請(qǐng)求數(shù)據(jù)。

這些標(biāo)簽是按照從最底層到最高層一層層堆起來(lái)的。頂部標(biāo)簽總是包含數(shù)據(jù)包中包含的字節(jié)數(shù)據(jù)。最下方的標(biāo)簽可能會(huì)是多種多樣的。在下圖的例子中是一個(gè) HTTP 請(qǐng)求，它會(huì)包含 HTTP 的信息。您遇到的大多數(shù)數(shù)據(jù)包將是 TCP 數(shù)據(jù)，它將展示在底層的標(biāo)簽中。

每一個(gè)標(biāo)簽頁(yè)都包含了抓取包中對(duì)應(yīng)部分的相關(guān)數(shù)據(jù)。一個(gè) HTTP 包可能會(huì)包含與請(qǐng)求類型相關(guān)的信息，如所使用的網(wǎng)絡(luò)瀏覽器，服務(wù)器的 IP 地址，語(yǔ)言，編碼方式等的數(shù)據(jù)。一個(gè) TCP 包會(huì)包含服務(wù)器與客戶端使用的端口信息和 TCP 三次握手過(guò)程中的標(biāo)志位信息。

在上方的其它標(biāo)簽中包含了一些大多數(shù)用戶都感興趣的少量信息。其中一個(gè)標(biāo)簽中包含了數(shù)據(jù)包是否是通過(guò) IPv4 或者 IPv6 傳輸?shù)?，以及客戶端和服?wù)器端的 IP 地址。另一個(gè)標(biāo)簽中包含了客戶端和接入因特網(wǎng)的路由器或網(wǎng)關(guān)的設(shè)備的 MAC 地址信息。

結(jié)語(yǔ)

即使只使用這些基礎(chǔ)選項(xiàng)與配置，你依然可以發(fā)現(xiàn) Wireshark 會(huì)是一個(gè)多么強(qiáng)大的工具。監(jiān)控你的網(wǎng)絡(luò)流量可以幫助你識(shí)別、終止網(wǎng)絡(luò)攻擊或者提升連接速度。它也可以幫你找到問(wèn)題應(yīng)用。下一篇 Wireshark 指南我們將會(huì)一起探索 Wireshark 的包過(guò)濾選項(xiàng)。