如何檢測網(wǎng)絡(luò)濫用與Wireshark

最近，我有理由擔(dān)心我的局域網(wǎng)(LAN)上存在惡意通信，因此決定監(jiān)視網(wǎng)絡(luò)以查明發(fā)生了什么。自然，我轉(zhuǎn)向了開源網(wǎng)絡(luò)監(jiān)視器Wireshark。

Wireshark是一個非常令人印象深刻的工具，它可以做的事情比大多數(shù)網(wǎng)絡(luò)分析器都多。問題是，那些不熟悉該工具的人可能不知道從哪里開始——它可能真的很嚇人。

為此，我想向您展示一種使用Wireshark檢測網(wǎng)絡(luò)濫用的方法。具體地說，我想向您展示在您的網(wǎng)絡(luò)上實際使用了哪些協(xié)議，然后找出這些協(xié)議的來源是多么容易。有了這些信息在手，就更容易確定是否有什么不順心的事情正在發(fā)生(比如bt，比特幣等)。

見:安全意識和培訓(xùn)政策(TechRepublic Premium)

為了檢測網(wǎng)絡(luò)濫用，您需要安裝Wireshark。你使用的平臺并不重要。但是，重要的是您能夠使用管理員權(quán)限啟動Wireshark。

我要在爸爸面前示范!_OS Linux。如果您使用的是不同的平臺，則需要知道如何使用管理員權(quán)限啟動Wireshark。

必須使用admin權(quán)限啟動Wireshark的原因是，它需要能夠運行/usr/bin/dumpcap，而這只有具有admin權(quán)限的用戶才能做到。使用管理員權(quán)限啟動Wireshark最簡單的方法是打開一個終端窗口并發(fā)出命令:

打開Wireshark后，它將定位您的接口，然后您可以選擇一個捕獲過濾器并單擊開始按鈕(藍色鯊魚鰭)(圖a)。

Wireshark主窗口。

一旦Wireshark在您的網(wǎng)絡(luò)上捕獲包，您將看到包在主窗口中飛馳而過(圖B)。

Wireshark捕獲數(shù)據(jù)包。

當(dāng)Wireshark正在捕獲數(shù)據(jù)包時，單擊Statistics | Protocol Hierarchy。結(jié)果窗口列出了在LAN上捕獲的每個網(wǎng)絡(luò)協(xié)議(圖C)。

Wireshark協(xié)議層次窗口正在運行。

假設(shè)你發(fā)現(xiàn)了一個可疑的協(xié)議。正如你在上面看到的，Wireshark正在檢測bt流量，這可能是你的網(wǎng)絡(luò)中通常沒有的。右鍵單擊該條目，選擇Apply作為篩選器|選中。關(guān)閉協(xié)議層次結(jié)構(gòu)并返回Wireshark主窗口，在那里你將看到應(yīng)用了BitTorrent過濾器(圖D)。

BitTorrent過濾器應(yīng)用于Wireshark協(xié)議層次窗口。

然后可以看到違規(guī)協(xié)議的目標地址和源地址。跟蹤你的網(wǎng)絡(luò)上的IP地址，停止任何正在發(fā)送或接收這些數(shù)據(jù)包的應(yīng)用程序。

關(guān)于協(xié)議層次結(jié)構(gòu)需要注意的一點是，它沒有實時更新。如果在窗口中沒有發(fā)現(xiàn)任何問題，可能需要關(guān)閉它，稍等一會兒(以便Wireshark收集更多的包)，然后重新打開。

這是使用Wireshark檢測LAN上網(wǎng)絡(luò)濫用的最簡單的方法。雖然Wireshark可以做更多的工作，但是如果您正在尋找一種方法來快速檢測網(wǎng)絡(luò)上不需要的流量，那么這種方法應(yīng)該每次都能工作。