如何檢測(cè)網(wǎng)絡(luò)濫用與Wireshark

最近，我有理由擔(dān)心我的局域網(wǎng)(LAN)上存在惡意通信，因此決定監(jiān)視網(wǎng)絡(luò)以查明發(fā)生了什么。自然，我轉(zhuǎn)向了開(kāi)源網(wǎng)絡(luò)監(jiān)視器Wireshark。

Wireshark是一個(gè)非常令人印象深刻的工具，它可以做的事情比大多數(shù)網(wǎng)絡(luò)分析器都多。問(wèn)題是，那些不熟悉該工具的人可能不知道從哪里開(kāi)始——它可能真的很嚇人。

為此，我想向您展示一種使用Wireshark檢測(cè)網(wǎng)絡(luò)濫用的方法。具體地說(shuō)，我想向您展示在您的網(wǎng)絡(luò)上實(shí)際使用了哪些協(xié)議，然后找出這些協(xié)議的來(lái)源是多么容易。有了這些信息在手，就更容易確定是否有什么不順心的事情正在發(fā)生(比如bt，比特幣等)。

見(jiàn):安全意識(shí)和培訓(xùn)政策(TechRepublic Premium)

為了檢測(cè)網(wǎng)絡(luò)濫用，您需要安裝Wireshark。你使用的平臺(tái)并不重要。但是，重要的是您能夠使用管理員權(quán)限啟動(dòng)Wireshark。

我要在爸爸面前示范!_OS Linux。如果您使用的是不同的平臺(tái)，則需要知道如何使用管理員權(quán)限啟動(dòng)Wireshark。

必須使用admin權(quán)限啟動(dòng)Wireshark的原因是，它需要能夠運(yùn)行/usr/bin/dumpcap，而這只有具有admin權(quán)限的用戶才能做到。使用管理員權(quán)限啟動(dòng)Wireshark最簡(jiǎn)單的方法是打開(kāi)一個(gè)終端窗口并發(fā)出命令:

打開(kāi)Wireshark后，它將定位您的接口，然后您可以選擇一個(gè)捕獲過(guò)濾器并單擊開(kāi)始按鈕(藍(lán)色鯊魚(yú)鰭)(圖a)。

Wireshark主窗口。

一旦Wireshark在您的網(wǎng)絡(luò)上捕獲包，您將看到包在主窗口中飛馳而過(guò)(圖B)。

Wireshark捕獲數(shù)據(jù)包。

當(dāng)Wireshark正在捕獲數(shù)據(jù)包時(shí)，單擊Statistics | Protocol Hierarchy。結(jié)果窗口列出了在LAN上捕獲的每個(gè)網(wǎng)絡(luò)協(xié)議(圖C)。

Wireshark協(xié)議層次窗口正在運(yùn)行。

假設(shè)你發(fā)現(xiàn)了一個(gè)可疑的協(xié)議。正如你在上面看到的，Wireshark正在檢測(cè)bt流量，這可能是你的網(wǎng)絡(luò)中通常沒(méi)有的。右鍵單擊該條目，選擇Apply作為篩選器|選中。關(guān)閉協(xié)議層次結(jié)構(gòu)并返回Wireshark主窗口，在那里你將看到應(yīng)用了BitTorrent過(guò)濾器(圖D)。

BitTorrent過(guò)濾器應(yīng)用于Wireshark協(xié)議層次窗口。

然后可以看到違規(guī)協(xié)議的目標(biāo)地址和源地址。跟蹤你的網(wǎng)絡(luò)上的IP地址，停止任何正在發(fā)送或接收這些數(shù)據(jù)包的應(yīng)用程序。

關(guān)于協(xié)議層次結(jié)構(gòu)需要注意的一點(diǎn)是，它沒(méi)有實(shí)時(shí)更新。如果在窗口中沒(méi)有發(fā)現(xiàn)任何問(wèn)題，可能需要關(guān)閉它，稍等一會(huì)兒(以便Wireshark收集更多的包)，然后重新打開(kāi)。

這是使用Wireshark檢測(cè)LAN上網(wǎng)絡(luò)濫用的最簡(jiǎn)單的方法。雖然Wireshark可以做更多的工作，但是如果您正在尋找一種方法來(lái)快速檢測(cè)網(wǎng)絡(luò)上不需要的流量，那么這種方法應(yīng)該每次都能工作。