計(jì)算機(jī)安全始終是一個(gè)讓人揪心的問(wèn)題，網(wǎng)絡(luò)安全則有過(guò)之而無(wú)不及。無(wú)線網(wǎng)絡(luò)是黑客們最?lèi)?ài)下手的一個(gè)目標(biāo)。這完全是由于機(jī)器與機(jī)器之間沒(méi)有物理鏈接：所有信號(hào)都以無(wú)線電波的方式傳送。要加密安全，首要步驟之一就是，看看目前的活動(dòng)是什么狀況，哪些機(jī)器參與了活動(dòng)。你應(yīng)該首先使用的工具是Wireshark。

Wireshark經(jīng)常用于分析以太網(wǎng)網(wǎng)絡(luò)，但是許多人可能沒(méi)有認(rèn)識(shí)到一點(diǎn)：它有幾個(gè)選項(xiàng)是專(zhuān)門(mén)針對(duì)無(wú)線網(wǎng)絡(luò)和802.11協(xié)議的。你試圖分析自己的無(wú)線網(wǎng)絡(luò)時(shí)，會(huì)看到一些可用的選項(xiàng)。最后，你會(huì)看到如何創(chuàng)建防火墻規(guī)則，進(jìn)一步加強(qiáng)自己的網(wǎng)絡(luò)安全。

你需要明白的一個(gè)問(wèn)題是，實(shí)際上所能看到的完全依賴(lài)你的無(wú)縫網(wǎng)卡。比較新的網(wǎng)卡可能功能齊全，而比較舊的網(wǎng)卡（或不大常見(jiàn)的網(wǎng)卡）可能無(wú)法支持所有可能的捕捉選項(xiàng)。如果你發(fā)現(xiàn)遇到了問(wèn)題，不妨訪問(wèn)Wireshark維基，看看有沒(méi)有解決辦法。

第1步：安裝

與大多數(shù)開(kāi)源軟件一樣，Wireshark也適用于所有最流行的操作系統(tǒng)。你的發(fā)行版應(yīng)該有程序包可用：在Ubuntu上，程序包就叫"wireshark"。與往常一樣，你可以下載最新的源代碼，從頭開(kāi)始構(gòu)建。

第2步：?jiǎn)?dòng)

你需要關(guān)注如何啟動(dòng)Wireshark。如果你作為普通用戶(hù)來(lái)啟動(dòng)它，那么只能看到直接發(fā)送到你機(jī)器的流量。如果你想查看其他流量，或者進(jìn)行其他有意思的操作，就需要作為root用戶(hù)來(lái)運(yùn)行。你可以使用sudo wireshark命令來(lái)運(yùn)行它，也可以先作為root用戶(hù)，使用dumpcap收集數(shù)據(jù)，然后使用Wireshark進(jìn)行分析。

第3步：保存數(shù)據(jù)

由于你用Wireshark可以進(jìn)行許多方面的分析，可能應(yīng)該保存捕捉的數(shù)據(jù)。為此，只要點(diǎn)擊File（文件）>Save（保存），就可以保存數(shù)據(jù)，數(shù)據(jù)的保存格式有20多種。

第4步：離線捕捉

在一些情況下，你也許無(wú)法使用Wireshark來(lái)進(jìn)行那種實(shí)際的捕捉。在遠(yuǎn)程服務(wù)器上就可能是這樣，這種環(huán)境下運(yùn)行圖形化程序可能實(shí)在讓人覺(jué)得太痛苦。這種情況下，你可以使用"dumpcap"來(lái)捕捉實(shí)際的數(shù)據(jù)包數(shù)據(jù)。有各個(gè)選項(xiàng)可以用來(lái)選擇你想捕捉的數(shù)據(jù)。

第5步：裝入數(shù)據(jù)

如果你想分析數(shù)據(jù)，數(shù)據(jù)來(lái)自之前的版本或者來(lái)自離線捕捉會(huì)話(huà)，只要點(diǎn)擊File（文件）>Open（打開(kāi)），就可以裝入數(shù)據(jù)。你可以選擇要不要為介質(zhì)訪問(wèn)控制（MAC）、網(wǎng)絡(luò)或傳輸名稱(chēng)進(jìn)行名稱(chēng)解析。

第6步：選擇接口

你已準(zhǔn)備就緒，第一步是選擇Wireshark將偵聽(tīng)哪些接口。你可以從主屏幕選擇接口，點(diǎn)擊最左邊的接口圖標(biāo)。或者你可以點(diǎn)擊Capture（捕捉）>Interfaces…（接口…）。你可以選擇任何組合的接口，包括捕捉來(lái)自所有可用接口的數(shù)據(jù)的偽接口。

第7步：開(kāi)始捕捉

當(dāng)你開(kāi)啟了接口屏幕后，還可以點(diǎn)擊選項(xiàng)按鈕，對(duì)捕捉的內(nèi)容進(jìn)行微調(diào)。一旦這一切安排妥當(dāng)，你可以點(diǎn)擊"start"，開(kāi)始捕捉數(shù)據(jù)了。你會(huì)在主窗口中看到一個(gè)越來(lái)越長(zhǎng)的列表，里面是已捕捉的網(wǎng)絡(luò)數(shù)據(jù)包，這時(shí)你可以對(duì)它們進(jìn)行處理了。

第8步：查看活動(dòng)數(shù)據(jù)

一旦你收集了一些數(shù)據(jù)，而且視你的網(wǎng)絡(luò)忙碌程度而定，這些數(shù)據(jù)可能相當(dāng)多，就可以快速查看當(dāng)前出現(xiàn)的情況。前兩列為你顯示了數(shù)據(jù)包數(shù)量和每個(gè)數(shù)據(jù)包的捕捉時(shí)間。隨后三列為你顯示了源地址和目的地地址，以及每個(gè)數(shù)據(jù)包的協(xié)議。最后一列為你顯示了單行的數(shù)據(jù)包信息，讓你可以識(shí)別感興趣的數(shù)據(jù)包。

第9步：名稱(chēng)解析

在默認(rèn)情況下，Wireshark只為MAC和傳輸進(jìn)行名稱(chēng)解析。這意味著，你得到的是原始的IP地址。視你的網(wǎng)絡(luò)情況而定，把這些IP地址解析為主機(jī)名稱(chēng)可能更合適。你可以在接口選項(xiàng)屏幕開(kāi)啟該功能，進(jìn)行新的捕捉。你還可以把它應(yīng)用于已經(jīng)捕捉的數(shù)據(jù)，只要點(diǎn)擊View（查看）>Name Resolution（名稱(chēng)解析）>Enable for Network Layer（是否解析網(wǎng)絡(luò)層地址），然后重新裝入數(shù)據(jù)即可。

第10步：查看數(shù)據(jù)包的詳細(xì)信息

當(dāng)你選擇了數(shù)據(jù)包，會(huì)看到屏幕底部顯示了相關(guān)數(shù)據(jù)。視屏幕大小而定，你可能需要用另一個(gè)窗口來(lái)打開(kāi)該視圖，為此只需雙擊感興趣的數(shù)據(jù)包。

第11步：設(shè)置混雜模式

你之所以監(jiān)測(cè)無(wú)線網(wǎng)絡(luò)，最感興趣的是想看看網(wǎng)絡(luò)上有什么情況。這意味著需要把網(wǎng)卡設(shè)置成混雜模式（promiscuous mode），這就要求Wireshark作為root用戶(hù)來(lái)運(yùn)行。這個(gè)選項(xiàng)可以在接口的選項(xiàng)屏幕中進(jìn)行設(shè)置。

第12步：設(shè)置捕捉過(guò)濾器

默認(rèn)情況下，Wireshark捕捉一切看得見(jiàn)的數(shù)據(jù)，這可能正是你一開(kāi)始想要做的事情。但是一旦你了解了流量的類(lèi)型，就可以設(shè)置捕捉過(guò)濾器，那樣你僅僅捕捉發(fā)往/來(lái)自特定機(jī)器的流量，或特定的協(xié)議。

通過(guò)以上12步告訴大家如何利用Wireshark的強(qiáng)大功能，密切監(jiān)測(cè)你的家庭網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)，希望對(duì)大家的學(xué)習(xí)和工作有所幫助。

最新評(píng)論