蠕虫病毒危害极大,在校园网中只要有一台计算机感染了蠕虫病毒,就有可能引起网络阻塞,严重的还会导致网络瘫痪。对于蠕虫病毒的检测,普通用户通常通过更新杀毒软件的病毒库并查杀病毒来判断电脑是否感染了蠕虫病毒。但很多时候,感染蠕虫病毒后普通用户根本没有察觉或是察觉后也不一定想到是病毒的原因。这样,岂不是要网络管理员逐一去更新每台计算机的病毒库并查杀病毒?这显然是不现实的!况且即使更新了杀毒软件的病毒库,也未必一定能检测出最新的蠕虫病毒。
我们可以使用一款网络协议分析工具——Wireshark来找出校园网内感染了蠕虫病毒的计算机。Wireshark的前身是Ethereal,它非常小巧,免费而且开源。接下来介绍一下用Wireshark查找病毒的过程。
一、Wireshark的下载及安装
去官方网站下载一个Wireshark安装包(目前版本为0.99.3,下载地址:.cn/qkimages//xjjy/xjjy200612/xjjy20061224-1-l.jpg" hspace="15" vspace="5" align="">
图1
注意:如果安装Wireshark的计算机不止一个网络接口,则无法直接使用“Capture”菜单下的“Start”命令,而应执行菜单“Capture”下的“Interfaces…”命令,在弹出的“Capture Interfaces”对话框(如图2)中单击相应网络接口旁的“Capture”按钮才能截取数据包。
图2
要停止截取数据包时,单击图1所示界面中的“Stop”即可,此时所截数据包的详细信息就会显示在面板中,接下来就可以对数据包进行分析了。
三、分析数据,找出病毒的藏身之处
Wireshark窗口被分成三个部分:最上面为数据包列表,用来显示截获的每个数据包的详细信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。
使用Wireshark可以很方便地对截获的数据包进行分析,包括该数据包的源地址、目的地址、所属协议等。图3是在Wireshark中对一个TCP数据包进行分析时的情形。可以看出,当前选中数据包的源地址为172.20.3.8,目的地址为172.20.3.3,该数据包所属的协议是TCP协议,同时从使用的3389端口可以看出172.20.3.8正使用远程桌面连接访问172.20.3.3。
图3
面对Wireshark给出的大量数据,我们常常不知如何下手,此时化繁为简就显得尤为重要了。我们可以借助Filter过滤器来过滤出我们感兴趣的数据包。如果要查看ARP协议的包,可以在Wireshark窗口的左下角的Filter中输入arp,回车,Wireshark就会只显示ARP协议的包,接下来我们就可以仔细分析过滤出来的包而不会被其他无关的数据干扰了。
在局域网中,实际传输的是“帧”,帧里面有目标主机的MAC地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
蠕虫病毒在传播过程中首先会随机选取某一段IP地址(通常是染毒计算机所在IP地址段),然后通过发送ARP数据包来查询网内计算机的MAC地址。因此,如果校园网内有计算机感染蠕虫病毒,使用Wireshark会发现:
(1)病毒传播时,它会发送大量的ARP数据包,在图1所示的截取数据包界面会看到ARP类型的包比例较大,ARP包的数量瞬间会增加几十甚至几百倍。
(2)查看详细的数据会发现ARP包非常有规律,染毒计算机会对自身所在IP段按顺序逐一进行ARP查询。图4就是一台IP为172.20.3.89的计算机在染毒后Wireshark获取到的详细数据。
图4
一旦锁定了染毒计算机的IP,接下来的工作就非常简单了。需要注意的是有时候服务器尤其是DNS服务器会发送较多的ARP查询数据,但一般不是向网内计算机逐一发送的,不满足上面的第二个条件,因此可以排除染毒的可能。图5中的172.20.3.1是一台提供DNS服务的服务器,它没有感染病毒。
图5
此外,通过对Wireshark截取的数据进行分析,还可以查出校园网中哪些用户在占用大量的带宽玩网络游戏。截取数据包后在Filter中输入udp,回车,查看所有UDP协议数据包。如果发现某个计算机向固定的IP的某个UDP端口连续发送数据包,则用户很可能在玩网络游戏或运行着类似的程序。
(作者单位:浙江绍兴市第一中学信息处)
