如何检测网络滥用与Wireshark

最近，我有理由担心我的局域网(LAN)上存在恶意通信，因此决定监视网络以查明发生了什么。自然，我转向了开源网络监视器Wireshark。

Wireshark是一个非常令人印象深刻的工具，它可以做的事情比大多数网络分析器都多。问题是，那些不熟悉该工具的人可能不知道从哪里开始——它可能真的很吓人。

为此，我想向您展示一种使用Wireshark检测网络滥用的方法。具体地说，我想向您展示在您的网络上实际使用了哪些协议，然后找出这些协议的来源是多么容易。有了这些信息在手，就更容易确定是否有什么不顺心的事情正在发生(比如bt，比特币等)。

见:安全意识和培训政策(TechRepublic Premium)

为了检测网络滥用，您需要安装Wireshark。你使用的平台并不重要。但是，重要的是您能够使用管理员权限启动Wireshark。

我要在爸爸面前示范!_OS Linux。如果您使用的是不同的平台，则需要知道如何使用管理员权限启动Wireshark。

必须使用admin权限启动Wireshark的原因是，它需要能够运行/usr/bin/dumpcap，而这只有具有admin权限的用户才能做到。使用管理员权限启动Wireshark最简单的方法是打开一个终端窗口并发出命令:

打开Wireshark后，它将定位您的接口，然后您可以选择一个捕获过滤器并单击开始按钮(蓝色鲨鱼鳍)(图a)。

Wireshark主窗口。

一旦Wireshark在您的网络上捕获包，您将看到包在主窗口中飞驰而过(图B)。

Wireshark捕获数据包。

当Wireshark正在捕获数据包时，单击Statistics | Protocol Hierarchy。结果窗口列出了在LAN上捕获的每个网络协议(图C)。

Wireshark协议层次窗口正在运行。

假设你发现了一个可疑的协议。正如你在上面看到的，Wireshark正在检测bt流量，这可能是你的网络中通常没有的。右键单击该条目，选择Apply作为筛选器|选中。关闭协议层次结构并返回Wireshark主窗口，在那里你将看到应用了BitTorrent过滤器(图D)。

BitTorrent过滤器应用于Wireshark协议层次窗口。

然后可以看到违规协议的目标地址和源地址。跟踪你的网络上的IP地址，停止任何正在发送或接收这些数据包的应用程序。

关于协议层次结构需要注意的一点是，它没有实时更新。如果在窗口中没有发现任何问题，可能需要关闭它，稍等一会儿(以便Wireshark收集更多的包)，然后重新打开。

这是使用Wireshark检测LAN上网络滥用的最简单的方法。虽然Wireshark可以做更多的工作，但是如果您正在寻找一种方法来快速检测网络上不需要的流量，那么这种方法应该每次都能工作。