21、网络嗅探工具：Wireshark 及相关技术全解析

网络嗅探工具：Wireshark 及相关技术全解析

1. Wireshark 基础与常见场景分析

1.1 TCP 连接异常情况

若 Wireshark 捕获显示 TCP 连接建立后立即关闭，可能是目标服务器因安全限制拒绝客户端 IP 地址。在 UNIX 系统中，可检查 /etc/hosts.allow 和 /etc/hosts.deny 文件，确认是否意外阻止了通信。

1.2 利用 Wireshark 进行安全管理

安全管理员常需验证任意协议的安全性，Wireshark 是理想工具。其热门且实用的功能之一是数据包重组，可查看交换数据内容。对于 Telnet 和 FTP 等协议，无需重组即可清晰显示连接的用户名和密码；对于未知或自定义协议，可按以下步骤进行数据包重组：
1. 通过 Wireshark 或其他工具捕获流量。
2. 将捕获文件加载到 Wireshark 中。
3. 右键单击连接中的任意数据包。
4. 选择“Follow TCP Stream”选项，会弹出显示该会话所有通信的窗口。可选择 ASCII 选项，若协议流量大，还能选择显示发送方、接收方或整个对话。

1.3 检测 Internet Relay Chat（IRC）活动

IRC 常被黑客用作命令和控制机制，通常使用 TCP 端口 6667。设置 Wireshark 检测目标端口为 6667 的流量，若出现类似以下通信，可确认是 IRC 连接：
| 通信方向 | 端口 | 内容 |
| ---- | ---- | ---- | <