Linux 網絡流量安全管理工具Wireshark詳解
相信大家對目前Linux網絡流量的管理方法都有所了解了,并且希望找到一個更安全更有效的方法,今天在這里我們就像大家介紹一個更安全更有效的Linux網絡流量安全管理方法,希望對大家有用。
1、Linux 網絡流量工具Wireshark簡介
Ethereal是一個開放源碼的Linux網絡流量分析系統,也是目前***的開放源碼的網絡協議分析器,支持Linux和windows平臺。Ethereal起初由Gerald Combs開發,隨后由一個松散的etheral團隊組織進行維護開發。它目前所提供的強大的協議分析功能完全可以媲美商業的Linux網絡流量分析系統,自從1998年發布最早的0.2版本至今,大量的志愿者為ethereal添加新的協議解析器,如今ethereal已經支持五百多種協議解析。另外,網絡分析系統首先依賴于一套捕捉網絡數據包的函數庫。這套函數庫工作在網絡分析系統模塊的***層。作用是從網卡取得數據包或者根據過濾規則取出數據包的子集,再轉交給上層分析模塊。從協議上說,這套函數庫將一個數據包從鏈路層接收,至少將其還原至傳輸層以上,以供上層分析。6月8號,Ethereal的作者Gerald Coombs宣布了離開NIS的消息,因而Ethereal現改名為Wireshark。
Linux網絡流量分析系統首先依賴于一套捕捉網絡數據包的函數庫。這套函數庫工作在在網絡分析系統模塊的***層。作用是從網卡取得數據包或者根據過濾規則取出數據包的子集,再轉交給上層分析模塊。從協議上說,這套函數庫將一個數據包從鏈路層接收,至少將其還原至傳輸層以上,以供上層分析。
在Linux系統中,1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包過濾器的一種的實現,BPF(BSD Packet Filter)。Libpcap是一個基于BPF的開放源碼的捕包函數庫。現有的大部分Linux捕包系統都是基于這套函數庫或者是在它基礎上做一些針對性的改進。在window系統中,意大利人Fulvio Risso和Loris Degioanni提出并實現了Winpcap函數庫,作者稱之為NPF。由于NPF的主要思想就是來源于BPF,它的設計目標就是為windows系統提供一個功能強大的開發式數據包捕獲平臺,希望在Linux系統中的網絡分析工具經過簡單編譯以后也可以移植到windows中,因此這兩種捕包架構是非常現實的。就實現來說提供的函數調用接口也是一致的。Ethereal網絡分析系統也需要一個底層的抓包平臺,在Linux中是采用Libpcap函數庫抓包,在windows系統中采用winpcap函數庫抓包。
2、Linux 網絡流量工具Wireshark層次化的數據包協議分析方法
取得捕包函數捕回的數據包后就需要進行協議分析和協議還原工作了。由于OSI的7層協議模型,協議數據是從上到下封裝后發送的。對于協議分析需要從下至上進行。首先對網絡層的協議識別后進行組包還原然后脫去網絡層協議頭。將里面的數據交給傳輸層分析,這樣一直進行下去直到應用層。由于網絡協議種類很多,就Ethereal所識別的500多種協議來說,為了使協議和協議間層次關系明顯。從而對數據流里的各個層次的協議能夠逐層處理。Ethereal系統采用了協議樹的方式。
所示就是一個簡單的協議樹。如果協議A的所有數據都是封裝在協議B里的,那么這個協議A就是協議B是另外一個協議的兒子節點(比如圖中的TCP和UDP協議就是IP協議的兒子節點)。我們將***層的無結構數據流作為根接點。那么具有相同父節點的協議成為兄弟節點。那么這些擁有同樣父協議兄弟節點協議如何互相區分了?Ethereal系統采用協議的特征字來識別。每個協議會注冊自己的特征字。這些特征字給自己的子節點協議提供可以互相區分開來的標識。比如tcp協議的port字段注冊后。Tcp.port=21就可以認為是ftp協議,特征字可以是協議規范定義的任何一個字段。比如ip協議就可以定義proto字段為一個特征字。
在Ethereal中注冊一個協議解析器首先要指出它的父協議是什么。另外還要指出自己區別于父節點下的兄弟接點協議的特征。比如ftp協議。在Ethereal中他的父接點是tcp協議,它的特征就是tcp協議的port字段為21。這樣當一個端口為21的tcp數據流來到時。首先由tcp協議注冊的解析模塊處理,處理完之后通過查找協議樹找到自己協議下面的子協議,判斷應該由那個子協議來執行,找到正確的子協議后,就轉交給ftp注冊的解析模塊處理。這樣由根節點開始一層層解析下去。
由于采用了協議樹加特征字的設計,這個系統在協議解析上由了很強的擴展性,增加一個協議解析器只需要將解析函數掛到協議樹的相應節點上即可。
3、Linux 網絡流量工具Wireshark基于插件技術的協議分析器
所謂插件技術,就是在程序的設計開發過程中,把整個應用程序分成宿主程序和插件兩個部分,宿主程序與插件能夠相互通信,并且,在宿主程序不變的情況下,可以通過增減插件或修改插件來調整應用程序的功能。運用插件技術可以開發出伸縮性良好、便于維護的應用程序。它著名的應用實例有:媒體播放器winamp、微軟的網絡瀏覽器IE等。
由于現在網絡協議種類繁多,為了可以隨時增加新的協議分析器,一般的協議分析器都采用插件技術,這樣如果需要對一個新的協議分析只需要開發編寫這個協議分析器并調用注冊函數在系統注冊就可以使用了。通過增加插件使程序有很強的可擴展性,各個功能模塊內聚。
4、安裝Linux 網絡流量工具Wireshark
Wireshark可以在http://www.wireshark.org/download.html上下載,該軟件有極其方便和友好的圖形用戶界面,并且能夠使得用戶通過圖形界面的配置和選擇,針對多塊網卡、多個協議進行顯示,效果非常好。目前***版本為:Wireshark 1.0.3。安裝該軟件請按照如下步驟進行:
1.//將下載的***版本軟件拷貝到臨時文件夾
2.# cp wireshark-1.0.3.tar.gz /usr/local/src/
3.//切換到臨時文件夾目錄
4.# cd /usr/local/src/
5.//解壓縮文件
6.# tar -xvf wireshark-1.0.3.tar.gz
另外,同Tcpdump一樣,在編譯Ethereal之前應先確定已經安裝pcap庫(libpcap),這是編譯Wireshark時所必需的。如果該庫已經安裝,就可以執行下面的命令來編譯并安裝Wireshark:
1.# cd wireshark-1.0.3
2.# ./configure
3.# make
4.# make install
當編譯并安裝好Wireshark后,就可以執行“wireshark”命令來啟動Wireshark。
5、使用Linux 網絡流量工具Wireshark
(1)捕包選項
l抓包是進行協議分析的***步驟,在Wireshark中,有幾個抓包的相關選項需要尤其注意:
◆Interface:指定在哪個接口(網卡)上抓包。一般情況下都是單網卡,所以使用缺省的就可以了Limit each lpacket: 限制每個包的大小,缺省情況不限制。
◆Capture packets in promiscuous lmode:確定是否打開混雜模式。如果打開,抓取所有的數據包。一般情況下只需要監聽本機收到或者發出的包,因此應該關閉這個選項。
l◆Filter:過濾器。只抓取滿足過濾規則的包。
◆File:如果需要將抓到的包寫到文件中,在這里輸入文件名稱。use ring buffer:是否使用循環緩沖。缺省情況下不使用,即一直抓包。值得注意的是:循環緩沖只有在寫文件的時候才有效。如果使用了循環緩沖,還需要設置文件的數目,文件多大時回卷。其他的項選擇缺省的就可以了。
(2)協議過濾(Filter)選項
由于網絡中的協議五花八門,Http、Ftp、ARP、ICMP等協議等都在抓包的范圍之列,因而給協議分析工作帶來了一些麻煩。為了對特定的協議進行分析統計,則可以使用Ehereal提供的Filter選項來對數據報文進行過濾,對特定的協議進行提取,再進行分析。(a)給出了使用Capture菜單下的Capture Filter選項進行過濾設置的示意,該軟件已經提供了許多協議的Filter供用戶選擇使用,而用戶也可以自行添加;(b)則顯示了通過在工具欄的Filter編輯框內輸入協議名稱對已捕捉的包進行過濾的結果,圖中顯示了過濾后所得Http協議的數據包情況。用戶也可以通過輸入Ftp、ARP或者TCP等字段來獲取相應的協議內容。
(3)統計選項(statistics)
統計選項用于對過濾后的各協議類型進行統計,從而從宏觀上對網絡中的流量進行統計分析和全局把握。給出了操作的流程和顯示結果。
【編輯推薦】
