利用Wireshark对网络中ICMP数据包进行嗅探分析

吴志森

（泉州经贸职业技术学院，福建 泉州 362000）

一、引言

计算机技术飞速发展，使人们可以在不需要考虑彼此之间的距离就可以进行相互通信。计算机之间数据通信可以以发送图像、数据和视频等形式实现[1]。使用无线网络进行数据通信是数据传输的一种重要实现方式，但通信过程中存在信息安全隐患，传输的信息容易受到网络黑客劫持和攻击。一种常见的计算机犯罪是黑客活动，其在不被数据者或目标所知道的前提下通过非法手段盗取对方数据从而获取自身所需的数据[2]，采用的技术就是利用软件对网络中安全漏洞来进行嗅探，从监控的网络中获取所需的信息，以便确定下一步的黑客攻击步骤，最后获取自身所需要的数据。

对网络进行嗅探的方法有很多种，其中之一就是使用嗅探软件Wireshark。Wireshark是一款可以记录网络活动的监控软件，能够对HTTP、TCP以及ICMP数据包的数据通信进行捕获，从而获取网络计算机IP地址，甚至用户名及密码信息。文中将通过使用Wireshark来对无线接口上的ICMP数据包进行嗅探并记录分析[3]，目的不是介绍如何以嗅探形式进行攻击别人计算机并获取信息的计算机犯罪方法，而是让计算机用户知道如何使用Wireshark软件进行嗅探，通过对嗅探到的内容进行分析，判断网络或应用程序在通信过程中是否存在一些漏洞，以此来对网络及相关应用系统实施安全防护，从而进一步提高计算机网络的安全性。

二、相关技术

（一）嗅探技术

对数据包进行嗅探是源自以太网版本发布以来一直使用的实用程序。数据包可以被嗅探并允许个人在通过网络中发送数据时捕获数据。专业的网络管理人员使用该技术对网络中存在的问题进行诊断，并可以通过该方式捕获个人未加密的数据，如用户名和密码。如果这些信息在传输过程中被黑客捕获，则黑客就可能获得系统或网络相对应的访问权限。

嗅探是一种数据拦截技术。嗅探器是一种监视网络数据运行的程序，Telnet、Relogin、FTP、NNTP、SMTP、HTTP、IMAP等网络协议都容易被嗅探，因为它们是以明文形式发送数据和密码。嗅探可以使用合法或非法的方法，例如监控网络流量，非法嗅探严重威胁网络安全。

（二）ICMP数据包

ICMP（Internet Control Message Protocol，Internet控制报文协议）是用于主机与路由器之间控制信息传递的一种协议。该协议利用路由器将错误信息（包括报告错误、交换受限控制和状态信息等）发送到源IP地址。ICMP创建和发送消息到源IP地址，这些消息表明通往互联网路由器、服务或服务器的网关以进行数据包传送。每个IP网络设备都有自动发送、接收或处理ICMP信息的能力。

一个ICMP报文包括IP头部、ICMP头部和ICMP报文，其基本格式如图1所示。

图1 ICMP报文格式

图2 实验拓扑图

ICMP标头在IPv4标头之后开始。ICMP包有8个字节的头，后面是一个可变大小的数据块。用于IPv4的ICMP称为ICMPv4，而对于IPv6而言则称为ICMPv6。

三、网络嗅探实现

（一）方案设计

先准备相关软硬件设备和无线网络，做好实验准备。实验过程中，按图2所示的拓扑图搭建网络环境，连接到互联网的两台计算机PC1、PC2使用同一无线网络，PC1、PC2均使用无线网卡进行连接。PC1计算机将ICMP数据包发送到测试服务器，PC2计算机通过Wireshark软件记录网络活动。

（二）Wireshark配置

Wireshark作为一款免费的网络嗅探分析工具，其特点是免费、开源和支持多平台，具有界面直观、操作简单、实时显示捕获数据的优点。Wireshark的缺点是没有分析捕获数据中存在问题的功能，它仅仅是一个简单的测量工具。比如当一个网络发生异常时，Wireshark只是简单记录捕获数据，无法操作网络、无法发送数据包或做其它的主动动作。在使用Wireshark进行网络嗅探操作前，一般要进行一些配置。本实验中使用Wireshark安装后默认设置，在选择使用的接口网络（实验使用的是无线接口）中进行配置，然后开始记录网络活动，如图3所示。

图3 Wireshark嗅探软件配置

（三）网络嗅探

在搭建好实验网络环境，配置好Wireshark软件参数后，就可以通过使用Wireshark在无线接口上记录网络活动来执行嗅探攻击技术。实验过程中，利用PC2对PC1连续发送的ICMP数据包进行持续嗅探，直到获得PC1计算机的IP 源地址和目的地址等信息。图4显示的是ICMP包持续发送过程。

图4 ICMP包持续发送过程

（四）结果分析

嗅探过程中获得的结果将分析任何可能得到的任何信息。利用Wireshark软件捕获的ICMP包数据进行分析，可获得估计的交付时间、源IP地址和目标IP地址、使用的协议以及发送的包的最后信息等内容。

四、实验结果

在实验过程中，通过对网络活动的反复嗅探，获得了嗅探过程中记录的数据和相关信息。图5是Wireshark嗅探过程中记录的数据信息。

图5 嗅探结果信息

使用Wireshark嗅探器对通过无线网卡传送/接收的ICMP数据包进行嗅探，得到的信息如表1所示。

表1 嗅探结果表

此信息是非常重要的，因为它涉及发送方和目的地的IP地址，攻击者可以利用此IP来获取使用该IP的计算机上的更多重要信息。为降低网络安全风险，最大程度上防范网络与信息安全事件发生，在实际的网络系统安全防护过程中，可以使用蜜罐技术（Honeypot）应用的镜像服务器。蜜罐技术可以防止攻击者通过嗅探技术获取到服务器的IP地址，这样就可以对攻击者进行欺骗，让攻击者攻击到的只是一个具有相同IP但没有任何数据信息的虚假服务器。

五、结语

人类对信息技术日益增长的需求促进了计算机、网络、通信等技术的飞速发展，也促使网络信息安全防范显得愈加重要。利用Wireshark软件具有的嗅探技术，可以捕获来自网络中传送的HTTP、TCP、ICMP数据包，获取相关的网络信息。在网络系统中，为避免信息被非法获取或数据包被嗅探，可对通过网络发送的重要数据使用加密协议进行数据加密，如使用优良保密协议PGP可加密电子邮件内容，使用SSH来代替Telnet远程操作，使用SFTP来代替FTP等。网络嗅探是发现网络漏洞和安全隐患的重要手段，网络管理者可利用网络嗅探了解网络安全情况，及时查找网络漏洞、检测网络性能、防范网络风险，实现对网络的实时监控和安全管理，提升网络系统的安全防护能力。