計(jì)算機(jī)安全始終是一個(gè)讓人揪心的問題，網(wǎng)絡(luò)安全則有過之而無不及。無線網(wǎng)絡(luò)是黑客們***下手的一個(gè)目標(biāo)。這完全是由于機(jī)器與機(jī)器之間沒有物理鏈接：所有信號(hào)都以無線電波的方式傳送。要加密安全，首要步驟之一就是，看看目前的活動(dòng)是什么狀況，哪些機(jī)器參與了活動(dòng)。你應(yīng)該首先使用的工具是Wireshark。

Wireshark經(jīng)常用于分析以太網(wǎng)網(wǎng)絡(luò)，但是許多人可能沒有認(rèn)識(shí)到一點(diǎn)：它有幾個(gè)選項(xiàng)是專門針對(duì)無線網(wǎng)絡(luò)和802.11協(xié)議的。你試圖分析自己的無線網(wǎng)絡(luò)時(shí)，會(huì)看到一些可用的選項(xiàng)。***，你會(huì)看到如何創(chuàng)建防火墻規(guī)則，進(jìn)一步加強(qiáng)自己的網(wǎng)絡(luò)安全。

你需要明白的一個(gè)問題是，實(shí)際上所能看到的完全依賴你的無縫網(wǎng)卡。比較新的網(wǎng)卡可能功能齊全，而比較舊的網(wǎng)卡（或不大常見的網(wǎng)卡）可能無法支持所有可能的捕捉選項(xiàng)。如果你發(fā)現(xiàn)遇到了問題，不妨訪問Wireshark維基（http://www.linuxuser.co.uk/tutorials/wiki.wireshark.org），看看有沒有解決辦法。

Wireshark

第1步：安裝

與大多數(shù)開源軟件一樣，Wireshark也適用于所有***的操作系統(tǒng)。你的發(fā)行版應(yīng)該有程序包可用：在Ubuntu上，程序包就叫"wireshark"。與往常一樣，你可以下載***的源代碼，從頭開始構(gòu)建。

第2步：啟動(dòng)

你需要關(guān)注如何啟動(dòng)Wireshark。如果你作為普通用戶來啟動(dòng)它，那么只能看到直接發(fā)送到你機(jī)器的流量。如果你想查看其他流量，或者進(jìn)行其他有意思的操作，就需要作為root用戶來運(yùn)行。你可以使用sudo wireshark命令來運(yùn)行它，也可以先作為root用戶，使用dumpcap收集數(shù)據(jù)，然后使用Wireshark進(jìn)行分析。

第3步：保存數(shù)據(jù)

由于你用Wireshark可以進(jìn)行許多方面的分析，可能應(yīng)該保存捕捉的數(shù)據(jù)。為此，只要點(diǎn)擊File（文件）>Save（保存），就可以保存數(shù)據(jù)，數(shù)據(jù)的保存格式有20多種。

第4步：離線捕捉

在一些情況下，你也許無法使用Wireshark來進(jìn)行那種實(shí)際的捕捉。在遠(yuǎn)程服務(wù)器上就可能是這樣，這種環(huán)境下運(yùn)行圖形化程序可能實(shí)在讓人覺得太痛苦。這種情況下，你可以使用"dumpcap"來捕捉實(shí)際的數(shù)據(jù)包數(shù)據(jù)。有各個(gè)選項(xiàng)可以用來選擇你想捕捉的數(shù)據(jù)。

第5步：裝入數(shù)據(jù)

如果你想分析數(shù)據(jù)，數(shù)據(jù)來自之前的版本或者來自離線捕捉會(huì)話，只要點(diǎn)擊File（文件）>Open（打開），就可以裝入數(shù)據(jù)。你可以選擇要不要為介質(zhì)訪問控制（MAC）、網(wǎng)絡(luò)或傳輸名稱進(jìn)行名稱解析。

第6步：選擇接口

你已準(zhǔn)備就緒，***步是選擇Wireshark將偵聽哪些接口。你可以從主屏幕選擇接口，點(diǎn)擊最左邊的接口圖標(biāo)。或者你可以點(diǎn)擊Capture（捕捉）>Interfaces…（接口…）。你可以選擇任何組合的接口，包括捕捉來自所有可用接口的數(shù)據(jù)的偽接口。

第7步：開始捕捉

當(dāng)你開啟了接口屏幕后，還可以點(diǎn)擊選項(xiàng)按鈕，對(duì)捕捉的內(nèi)容進(jìn)行微調(diào)。一旦這一切安排妥當(dāng)，你可以點(diǎn)擊"start"，開始捕捉數(shù)據(jù)了。你會(huì)在主窗口中看到一個(gè)越來越長的列表，里面是已捕捉的網(wǎng)絡(luò)數(shù)據(jù)包，這時(shí)你可以對(duì)它們進(jìn)行處理了。

第8步：查看活動(dòng)數(shù)據(jù)

一旦你收集了一些數(shù)據(jù)，而且視你的網(wǎng)絡(luò)忙碌程度而定，這些數(shù)據(jù)可能相當(dāng)多，就可以快速查看當(dāng)前出現(xiàn)的情況。前兩列為你顯示了數(shù)據(jù)包數(shù)量和每個(gè)數(shù)據(jù)包的捕捉時(shí)間。隨后三列為你顯示了源地址和目的地地址，以及每個(gè)數(shù)據(jù)包的協(xié)議。***一列為你顯示了單行的數(shù)據(jù)包信息，讓你可以識(shí)別感興趣的數(shù)據(jù)包。

第9步：名稱解析

在默認(rèn)情況下，Wireshark只為MAC和傳輸進(jìn)行名稱解析。這意味著，你得到的是原始的IP地址。視你的網(wǎng)絡(luò)情況而定，把這些IP地址解析為主機(jī)名稱可能更合適。你可以在接口選項(xiàng)屏幕開啟該功能，進(jìn)行新的捕捉。你還可以把它應(yīng)用于已經(jīng)捕捉的數(shù)據(jù)，只要點(diǎn)擊View（查看）>Name Resolution（名稱解析）>Enable for Network Layer（是否解析網(wǎng)絡(luò)層地址），然后重新裝入數(shù)據(jù)即可。

第10步：查看數(shù)據(jù)包的詳細(xì)信息

當(dāng)你選擇了數(shù)據(jù)包，會(huì)看到屏幕底部顯示了相關(guān)數(shù)據(jù)。視屏幕大小而定，你可能需要用另一個(gè)窗口來打開該視圖，為此只需雙擊感興趣的數(shù)據(jù)包。

第11步：設(shè)置混雜模式

你之所以監(jiān)測(cè)無線網(wǎng)絡(luò)，最感興趣的是想看看網(wǎng)絡(luò)上有什么情況。這意味著需要把網(wǎng)卡設(shè)置成混雜模式（promiscuous mode），這就要求Wireshark作為root用戶來運(yùn)行。這個(gè)選項(xiàng)可以在接口的選項(xiàng)屏幕中進(jìn)行設(shè)置。

第12步：設(shè)置捕捉過濾器

默認(rèn)情況下，Wireshark捕捉一切看得見的數(shù)據(jù)，這可能正是你一開始想要做的事情。但是一旦你了解了流量的類型，就可以設(shè)置捕捉過濾器，那樣你僅僅捕捉發(fā)往/來自特定機(jī)器的流量，或特定的協(xié)議。

原文地址：http://www.linuxuser.co.uk/tutorials/monitor-your-wireless-network-with-wireshark