利用Wireshark對網(wǎng)絡中ICMP數(shù)據(jù)包進行嗅探分析

吳志森

（泉州經(jīng)貿(mào)職業(yè)技術學院，福建 泉州 362000）

一、引言

計算機技術飛速發(fā)展，使人們可以在不需要考慮彼此之間的距離就可以進行相互通信。計算機之間數(shù)據(jù)通信可以以發(fā)送圖像、數(shù)據(jù)和視頻等形式實現(xiàn)[1]。使用無線網(wǎng)絡進行數(shù)據(jù)通信是數(shù)據(jù)傳輸?shù)囊环N重要實現(xiàn)方式，但通信過程中存在信息安全隱患，傳輸?shù)男畔⑷菀资艿骄W(wǎng)絡黑客劫持和攻擊。一種常見的計算機犯罪是黑客活動，其在不被數(shù)據(jù)者或目標所知道的前提下通過非法手段盜取對方數(shù)據(jù)從而獲取自身所需的數(shù)據(jù)[2]，采用的技術就是利用軟件對網(wǎng)絡中安全漏洞來進行嗅探，從監(jiān)控的網(wǎng)絡中獲取所需的信息，以便確定下一步的黑客攻擊步驟，最后獲取自身所需要的數(shù)據(jù)。

對網(wǎng)絡進行嗅探的方法有很多種，其中之一就是使用嗅探軟件Wireshark。Wireshark是一款可以記錄網(wǎng)絡活動的監(jiān)控軟件，能夠?qū)TTP、TCP以及ICMP數(shù)據(jù)包的數(shù)據(jù)通信進行捕獲，從而獲取網(wǎng)絡計算機IP地址，甚至用戶名及密碼信息。文中將通過使用Wireshark來對無線接口上的ICMP數(shù)據(jù)包進行嗅探并記錄分析[3]，目的不是介紹如何以嗅探形式進行攻擊別人計算機并獲取信息的計算機犯罪方法，而是讓計算機用戶知道如何使用Wireshark軟件進行嗅探，通過對嗅探到的內(nèi)容進行分析，判斷網(wǎng)絡或應用程序在通信過程中是否存在一些漏洞，以此來對網(wǎng)絡及相關應用系統(tǒng)實施安全防護，從而進一步提高計算機網(wǎng)絡的安全性。

二、相關技術

（一）嗅探技術

對數(shù)據(jù)包進行嗅探是源自以太網(wǎng)版本發(fā)布以來一直使用的實用程序。數(shù)據(jù)包可以被嗅探并允許個人在通過網(wǎng)絡中發(fā)送數(shù)據(jù)時捕獲數(shù)據(jù)。專業(yè)的網(wǎng)絡管理人員使用該技術對網(wǎng)絡中存在的問題進行診斷，并可以通過該方式捕獲個人未加密的數(shù)據(jù)，如用戶名和密碼。如果這些信息在傳輸過程中被黑客捕獲，則黑客就可能獲得系統(tǒng)或網(wǎng)絡相對應的訪問權限。

嗅探是一種數(shù)據(jù)攔截技術。嗅探器是一種監(jiān)視網(wǎng)絡數(shù)據(jù)運行的程序，Telnet、Relogin、FTP、NNTP、SMTP、HTTP、IMAP等網(wǎng)絡協(xié)議都容易被嗅探，因為它們是以明文形式發(fā)送數(shù)據(jù)和密碼。嗅探可以使用合法或非法的方法，例如監(jiān)控網(wǎng)絡流量，非法嗅探嚴重威脅網(wǎng)絡安全。

（二）ICMP數(shù)據(jù)包

ICMP（Internet Control Message Protocol，Internet控制報文協(xié)議）是用于主機與路由器之間控制信息傳遞的一種協(xié)議。該協(xié)議利用路由器將錯誤信息（包括報告錯誤、交換受限控制和狀態(tài)信息等）發(fā)送到源IP地址。ICMP創(chuàng)建和發(fā)送消息到源IP地址，這些消息表明通往互聯(lián)網(wǎng)路由器、服務或服務器的網(wǎng)關以進行數(shù)據(jù)包傳送。每個IP網(wǎng)絡設備都有自動發(fā)送、接收或處理ICMP信息的能力。

一個ICMP報文包括IP頭部、ICMP頭部和ICMP報文，其基本格式如圖1所示。

圖1 ICMP報文格式

圖2 實驗拓撲圖

ICMP標頭在IPv4標頭之后開始。ICMP包有8個字節(jié)的頭，后面是一個可變大小的數(shù)據(jù)塊。用于IPv4的ICMP稱為ICMPv4，而對于IPv6而言則稱為ICMPv6。

三、網(wǎng)絡嗅探實現(xiàn)

（一）方案設計

先準備相關軟硬件設備和無線網(wǎng)絡，做好實驗準備。實驗過程中，按圖2所示的拓撲圖搭建網(wǎng)絡環(huán)境，連接到互聯(lián)網(wǎng)的兩臺計算機PC1、PC2使用同一無線網(wǎng)絡，PC1、PC2均使用無線網(wǎng)卡進行連接。PC1計算機將ICMP數(shù)據(jù)包發(fā)送到測試服務器，PC2計算機通過Wireshark軟件記錄網(wǎng)絡活動。

（二）Wireshark配置

Wireshark作為一款免費的網(wǎng)絡嗅探分析工具，其特點是免費、開源和支持多平臺，具有界面直觀、操作簡單、實時顯示捕獲數(shù)據(jù)的優(yōu)點。Wireshark的缺點是沒有分析捕獲數(shù)據(jù)中存在問題的功能，它僅僅是一個簡單的測量工具。比如當一個網(wǎng)絡發(fā)生異常時，Wireshark只是簡單記錄捕獲數(shù)據(jù)，無法操作網(wǎng)絡、無法發(fā)送數(shù)據(jù)包或做其它的主動動作。在使用Wireshark進行網(wǎng)絡嗅探操作前，一般要進行一些配置。本實驗中使用Wireshark安裝后默認設置，在選擇使用的接口網(wǎng)絡（實驗使用的是無線接口）中進行配置，然后開始記錄網(wǎng)絡活動，如圖3所示。

圖3 Wireshark嗅探軟件配置

（三）網(wǎng)絡嗅探

在搭建好實驗網(wǎng)絡環(huán)境，配置好Wireshark軟件參數(shù)后，就可以通過使用Wireshark在無線接口上記錄網(wǎng)絡活動來執(zhí)行嗅探攻擊技術。實驗過程中，利用PC2對PC1連續(xù)發(fā)送的ICMP數(shù)據(jù)包進行持續(xù)嗅探，直到獲得PC1計算機的IP 源地址和目的地址等信息。圖4顯示的是ICMP包持續(xù)發(fā)送過程。

圖4 ICMP包持續(xù)發(fā)送過程

（四）結(jié)果分析

嗅探過程中獲得的結(jié)果將分析任何可能得到的任何信息。利用Wireshark軟件捕獲的ICMP包數(shù)據(jù)進行分析，可獲得估計的交付時間、源IP地址和目標IP地址、使用的協(xié)議以及發(fā)送的包的最后信息等內(nèi)容。

四、實驗結(jié)果

在實驗過程中，通過對網(wǎng)絡活動的反復嗅探，獲得了嗅探過程中記錄的數(shù)據(jù)和相關信息。圖5是Wireshark嗅探過程中記錄的數(shù)據(jù)信息。

圖5 嗅探結(jié)果信息

使用Wireshark嗅探器對通過無線網(wǎng)卡傳送/接收的ICMP數(shù)據(jù)包進行嗅探，得到的信息如表1所示。

表1 嗅探結(jié)果表

此信息是非常重要的，因為它涉及發(fā)送方和目的地的IP地址，攻擊者可以利用此IP來獲取使用該IP的計算機上的更多重要信息。為降低網(wǎng)絡安全風險，最大程度上防范網(wǎng)絡與信息安全事件發(fā)生，在實際的網(wǎng)絡系統(tǒng)安全防護過程中，可以使用蜜罐技術（Honeypot）應用的鏡像服務器。蜜罐技術可以防止攻擊者通過嗅探技術獲取到服務器的IP地址，這樣就可以對攻擊者進行欺騙，讓攻擊者攻擊到的只是一個具有相同IP但沒有任何數(shù)據(jù)信息的虛假服務器。

五、結(jié)語

人類對信息技術日益增長的需求促進了計算機、網(wǎng)絡、通信等技術的飛速發(fā)展，也促使網(wǎng)絡信息安全防范顯得愈加重要。利用Wireshark軟件具有的嗅探技術，可以捕獲來自網(wǎng)絡中傳送的HTTP、TCP、ICMP數(shù)據(jù)包，獲取相關的網(wǎng)絡信息。在網(wǎng)絡系統(tǒng)中，為避免信息被非法獲取或數(shù)據(jù)包被嗅探，可對通過網(wǎng)絡發(fā)送的重要數(shù)據(jù)使用加密協(xié)議進行數(shù)據(jù)加密，如使用優(yōu)良保密協(xié)議PGP可加密電子郵件內(nèi)容，使用SSH來代替Telnet遠程操作，使用SFTP來代替FTP等。網(wǎng)絡嗅探是發(fā)現(xiàn)網(wǎng)絡漏洞和安全隱患的重要手段，網(wǎng)絡管理者可利用網(wǎng)絡嗅探了解網(wǎng)絡安全情況，及時查找網(wǎng)絡漏洞、檢測網(wǎng)絡性能、防范網(wǎng)絡風險，實現(xiàn)對網(wǎng)絡的實時監(jiān)控和安全管理，提升網(wǎng)絡系統(tǒng)的安全防護能力。