利用Wireshark對網絡中ICMP數據包進行嗅探分析

吳志森

（泉州經貿職業技術學院，福建 泉州 362000）

一、引言

計算機技術飛速發展，使人們可以在不需要考慮彼此之間的距離就可以進行相互通信。計算機之間數據通信可以以發送圖像、數據和視頻等形式實現[1]。使用無線網絡進行數據通信是數據傳輸的一種重要實現方式，但通信過程中存在信息安全隱患，傳輸的信息容易受到網絡黑客劫持和攻擊。一種常見的計算機犯罪是黑客活動，其在不被數據者或目標所知道的前提下通過非法手段盜取對方數據從而獲取自身所需的數據[2]，采用的技術就是利用軟件對網絡中安全漏洞來進行嗅探，從監控的網絡中獲取所需的信息，以便確定下一步的黑客攻擊步驟，最后獲取自身所需要的數據。

對網絡進行嗅探的方法有很多種，其中之一就是使用嗅探軟件Wireshark。Wireshark是一款可以記錄網絡活動的監控軟件，能夠對HTTP、TCP以及ICMP數據包的數據通信進行捕獲，從而獲取網絡計算機IP地址，甚至用戶名及密碼信息。文中將通過使用Wireshark來對無線接口上的ICMP數據包進行嗅探并記錄分析[3]，目的不是介紹如何以嗅探形式進行攻擊別人計算機并獲取信息的計算機犯罪方法，而是讓計算機用戶知道如何使用Wireshark軟件進行嗅探，通過對嗅探到的內容進行分析，判斷網絡或應用程序在通信過程中是否存在一些漏洞，以此來對網絡及相關應用系統實施安全防護，從而進一步提高計算機網絡的安全性。

二、相關技術

（一）嗅探技術

對數據包進行嗅探是源自以太網版本發布以來一直使用的實用程序。數據包可以被嗅探并允許個人在通過網絡中發送數據時捕獲數據。專業的網絡管理人員使用該技術對網絡中存在的問題進行診斷，并可以通過該方式捕獲個人未加密的數據，如用戶名和密碼。如果這些信息在傳輸過程中被黑客捕獲，則黑客就可能獲得系統或網絡相對應的訪問權限。

嗅探是一種數據攔截技術。嗅探器是一種監視網絡數據運行的程序，Telnet、Relogin、FTP、NNTP、SMTP、HTTP、IMAP等網絡協議都容易被嗅探，因為它們是以明文形式發送數據和密碼。嗅探可以使用合法或非法的方法，例如監控網絡流量，非法嗅探嚴重威脅網絡安全。

（二）ICMP數據包

ICMP（Internet Control Message Protocol，Internet控制報文協議）是用于主機與路由器之間控制信息傳遞的一種協議。該協議利用路由器將錯誤信息（包括報告錯誤、交換受限控制和狀態信息等）發送到源IP地址。ICMP創建和發送消息到源IP地址，這些消息表明通往互聯網路由器、服務或服務器的網關以進行數據包傳送。每個IP網絡設備都有自動發送、接收或處理ICMP信息的能力。

一個ICMP報文包括IP頭部、ICMP頭部和ICMP報文，其基本格式如圖1所示。

圖1 ICMP報文格式

圖2 實驗拓撲圖

ICMP標頭在IPv4標頭之后開始。ICMP包有8個字節的頭，后面是一個可變大小的數據塊。用于IPv4的ICMP稱為ICMPv4，而對于IPv6而言則稱為ICMPv6。

三、網絡嗅探實現

（一）方案設計

先準備相關軟硬件設備和無線網絡，做好實驗準備。實驗過程中，按圖2所示的拓撲圖搭建網絡環境，連接到互聯網的兩臺計算機PC1、PC2使用同一無線網絡，PC1、PC2均使用無線網卡進行連接。PC1計算機將ICMP數據包發送到測試服務器，PC2計算機通過Wireshark軟件記錄網絡活動。

（二）Wireshark配置

Wireshark作為一款免費的網絡嗅探分析工具，其特點是免費、開源和支持多平臺，具有界面直觀、操作簡單、實時顯示捕獲數據的優點。Wireshark的缺點是沒有分析捕獲數據中存在問題的功能，它僅僅是一個簡單的測量工具。比如當一個網絡發生異常時，Wireshark只是簡單記錄捕獲數據，無法操作網絡、無法發送數據包或做其它的主動動作。在使用Wireshark進行網絡嗅探操作前，一般要進行一些配置。本實驗中使用Wireshark安裝后默認設置，在選擇使用的接口網絡（實驗使用的是無線接口）中進行配置，然后開始記錄網絡活動，如圖3所示。

圖3 Wireshark嗅探軟件配置

（三）網絡嗅探

在搭建好實驗網絡環境，配置好Wireshark軟件參數后，就可以通過使用Wireshark在無線接口上記錄網絡活動來執行嗅探攻擊技術。實驗過程中，利用PC2對PC1連續發送的ICMP數據包進行持續嗅探，直到獲得PC1計算機的IP 源地址和目的地址等信息。圖4顯示的是ICMP包持續發送過程。

圖4 ICMP包持續發送過程

（四）結果分析

嗅探過程中獲得的結果將分析任何可能得到的任何信息。利用Wireshark軟件捕獲的ICMP包數據進行分析，可獲得估計的交付時間、源IP地址和目標IP地址、使用的協議以及發送的包的最后信息等內容。

四、實驗結果

在實驗過程中，通過對網絡活動的反復嗅探，獲得了嗅探過程中記錄的數據和相關信息。圖5是Wireshark嗅探過程中記錄的數據信息。

圖5 嗅探結果信息

使用Wireshark嗅探器對通過無線網卡傳送/接收的ICMP數據包進行嗅探，得到的信息如表1所示。

表1 嗅探結果表

此信息是非常重要的，因為它涉及發送方和目的地的IP地址，攻擊者可以利用此IP來獲取使用該IP的計算機上的更多重要信息。為降低網絡安全風險，最大程度上防范網絡與信息安全事件發生，在實際的網絡系統安全防護過程中，可以使用蜜罐技術（Honeypot）應用的鏡像服務器。蜜罐技術可以防止攻擊者通過嗅探技術獲取到服務器的IP地址，這樣就可以對攻擊者進行欺騙，讓攻擊者攻擊到的只是一個具有相同IP但沒有任何數據信息的虛假服務器。

五、結語

人類對信息技術日益增長的需求促進了計算機、網絡、通信等技術的飛速發展，也促使網絡信息安全防范顯得愈加重要。利用Wireshark軟件具有的嗅探技術，可以捕獲來自網絡中傳送的HTTP、TCP、ICMP數據包，獲取相關的網絡信息。在網絡系統中，為避免信息被非法獲取或數據包被嗅探，可對通過網絡發送的重要數據使用加密協議進行數據加密，如使用優良保密協議PGP可加密電子郵件內容，使用SSH來代替Telnet遠程操作，使用SFTP來代替FTP等。網絡嗅探是發現網絡漏洞和安全隱患的重要手段，網絡管理者可利用網絡嗅探了解網絡安全情況，及時查找網絡漏洞、檢測網絡性能、防范網絡風險，實現對網絡的實時監控和安全管理，提升網絡系統的安全防護能力。