用Wireshark揪出校园网络中的蠕虫病毒

admin管理员组

文章数量:1530518

2024年5月5日发(作者：)

龙源期刊网

用Ｗｉｒｅｓｈａｒｋ揪出校园网络中的蠕

虫病毒

作者：邓倬霖

来源：《中小学信息技术教育》2006年第12期

蠕虫病毒危害极大，在校园网中只要有一台计算机感染了蠕虫病毒，就有可能引起网络阻

塞，严重的还会导致网络瘫痪。对于蠕虫病毒的检测，普通用户通常通过更新杀毒软件的病毒

库并查杀病毒来判断电脑是否感染了蠕虫病毒。但很多时候，感染蠕虫病毒后普通用户根本没

有察觉或是察觉后也不一定想到是病毒的原因。这样，岂不是要网络管理员逐一去更新每台计

算机的病毒库并查杀病毒？这显然是不现实的！况且即使更新了杀毒软件的病毒库，也未必一

定能检测出最新的蠕虫病毒。

我们可以使用一款网络协议分析工具——Wireshark来找出校园网内感染了蠕虫病毒的计

算机。Wireshark的前身是Ethereal，它非常小巧，免费而且开源。接下来介绍一下用

Wireshark查找病毒的过程。

一、Wireshark的下载及安装

去官方网站下载一个Wireshark安装包（目前版本为0.99.3，下载地址：

/download/win32/），在校园网中的一台计算

机上安装好，安装过程非常简单，不再赘述。

二、使用Wireshark截取数据包

运行Wireshark，单击菜单“Capture”下的“Start”命令，即开始截取网络中的数据包了（如

图1）。在截取过程中，通过截取界面可以看到所截包的类型，了解当前网络中各类数据包所

占比例，通过这个比例基本上可以判断当前网络是否运转正常。比如，如果发现ARP协议类

型的数据包比例过大（40%以上，甚至60～70%），那说明校园网中极可能已经有计算机感染

蠕虫病毒了。

龙源期刊网

图1

注意：如果安装Wireshark的计算机不止一个网络接口，则无法直接使用“Capture”菜单下

的“Start”命令，而应执行菜单“Capture”下的“Interfaces…”命令，在弹出的“Capture Interfaces”对

话框（如图2）中单击相应网络接口旁的“Capture”按钮才能截取数据包。

图2

要停止截取数据包时，单击图1所示界面中的“Stop”即可，此时所截数据包的详细信息就

会显示在面板中，接下来就可以对数据包进行分析了。

三、分析数据，找出病毒的藏身之处

龙源期刊网

Wireshark窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的详

细信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表

示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

使用Wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地

址、所属协议等。图3是在Wireshark中对一个TCP数据包进行分析时的情形。可以看出，当

前选中数据包的源地址为172.20.3.8，目的地址为172.20.3.3，该数据包所属的协议是TCP协

议，同时从使用的3389端口可以看出172.20.3.8正使用远程桌面连接访问172.20.3.3。

图3

面对Wireshark给出的大量数据，我们常常不知如何下手，此时化繁为简就显得尤为重要

了。我们可以借助Filter过滤器来过滤出我们感兴趣的数据包。如果要查看ARP协议的包，可

以在Wireshark窗口的左下角的Filter中输入arp，回车，Wireshark就会只显示ARP协议的

包，接下来我们就可以仔细分析过滤出来的包而不会被其他无关的数据干扰了。

在局域网中，实际传输的是“帧”，帧里面有目标主机的MAC地址。在以太网中，一个主

机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。ARP协议的基本功能就

是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

蠕虫病毒在传播过程中首先会随机选取某一段IP地址（通常是染毒计算机所在IP地址

段），然后通过发送ARP数据包来查询网内计算机的MAC地址。因此，如果校园网内有计算

机感染蠕虫病毒，使用Wireshark会发现：

龙源期刊网

（1）病毒传播时，它会发送大量的ARP数据包，在图1所示的截取数据包界面会看到

ARP类型的包比例较大，ARP包的数量瞬间会增加几十甚至几百倍。

（2）查看详细的数据会发现ARP包非常有规律，染毒计算机会对自身所在IP段按顺序

逐一进行ARP查询。图4就是一台IP为172.20.3.89的计算机在染毒后Wireshark获取到的详

细数据。

图4

一旦锁定了染毒计算机的IP，接下来的工作就非常简单了。需要注意的是有时候服务器尤

其是DNS服务器会发送较多的ARP查询数据，但一般不是向网内计算机逐一发送的，不满足

上面的第二个条件，因此可以排除染毒的可能。图5中的172.20.3.1是一台提供DNS服务的服

务器，它没有感染病毒。

龙源期刊网

图5

此外，通过对Wireshark截取的数据进行分析，还可以查出校园网中哪些用户在占用大量

的带宽玩网络游戏。截取数据包后在Filter中输入udp，回车，查看所有UDP协议数据包。如

果发现某个计算机向固定的IP的某个UDP端口连续发送数据包，则用户很可能在玩网络游戏

或运行着类似的程序。

本文标签： 数据包病毒蠕虫截取网络