2024年4月26日发(作者：移动硬盘修复方法)

ｈｔｔｐ：／／ｗｗｗ．ｉｔｅｄｕ．ｏｒｇ．ｃｎ

网络与资源应用

的过程。

一、Ｗｉｒｅｓｈａｒｋ的下载及安装

去官方网站下载一个Ｗｉｒｅｓｈａｒｋ安装包（目前版

用

Wireshark

揪　出

校园网络中的

本为０．９９．３，下载地址：ｈｔｔｐ：／／ｗｗｗ．ｗｉｒｅｓｈａｒｋ．

ｏｒｇ／ｄｏｗｎｌｏａｄ／ｗｉｎ３２／ｗｉｒｅｓｈａｒｋ－ｓｅｔｕｐ－０．９９．

３．ｅｘｅ），在校园网中的一台计算机上安装好，安装过

程非常简单，不再赘述。

二、使用Ｗｉｒｅｓｈａｒｋ截取数据包

运行Ｗｉｒｅｓｈａｒｋ，单击菜单“Ｃａｐｔｕｒｅ”下的

“Ｓｔａｒｔ”命令，即开始截取网络中的数据包了（如

图１）。在截取过程中，通过截取界面可以看到所截

包的类型，了解当前网络中各类数据包所占比例，通

过这个比例基本上可以判断当前网络是否运转正常。

比如，如果发现ＡＲＰ协议类型的数据包比例过大

（４０％以上，甚至６０～７０％），那说明校园网中极可

蠕虫病毒

　／　邓倬霖

能已经有计算机感染蠕虫病毒了。

图１

蠕虫病毒危害极大，在校园网中只要有一台计

算机感染了蠕虫病毒，就有可能引起网络阻塞，严重

的还会导致网络瘫痪。对于蠕虫病毒的检测，普通用

户通常通过更新杀毒软件的病毒库并查杀病毒来判

断电脑是否感染了蠕虫病毒。但很多时候，感染蠕虫

病毒后普通用户根本没有察觉或是察觉后也不一定

想到是病毒的原因。这样，岂不是要网络管理员逐一

去更新每台计算机的病毒库并查杀病毒？这显然是

不现实的！况且即使更新了杀毒软件的病毒库，也

未必一定能检测出最新的蠕虫病毒。

我们可以使用一款网络协议分析工具——Ｗｉｒｅｓｈａｒｋ

来找出校园网内感染了蠕虫病毒的计算机。

Ｗｉｒｅｓｈａｒｋ的前身是Ｅｔｈｅｒｅａｌ，它非常小巧，免费

而且开源。接下来介绍一下用Ｗｉｒｅｓｈａｒｋ查找病毒

图２

要停止截取数据包时，单击图１所示界面中的

“Ｓｔｏｐ”即可，此时所截数据包的详细信息就会显示

注意：如果安装Ｗｉｒｅｓｈａｒｋ的计算机不止一个网

络接口，则无法直接使用“Ｃａｐｔｕｒｅ”菜单下的“Ｓｔａｒｔ”

命令，而应执行菜单“Ｃａｐｔｕｒｅ”下的“Ｉｎｔｅｒｆａｃｅｓ…”

命令，在弹出的“Ｃａｐｔｕｒｅ　Ｉｎｔｅｒｆａｃｅｓ”对话框（如

图２）中单击相应网络接口旁的“Ｃａｐｔｕｒｅ”按钮才能

截取数据包。

62

　中小学信息技术教育　　２００６．１２

网络与资源应用

ｈｔｔｐ：／／ｗｗｗ．ｉｔｅｄｕ．ｏｒｇ．ｃｎ

技术与应用

在面板中，接下来就可以对数据包进行分析了。

（１）病毒传播时，它会发送大量的ＡＲＰ数据包，

在图１所示的截取数据包界面会看到ＡＲＰ类型的包

比例较大，ＡＲＰ包的数量瞬间会增加几十甚至几百

倍。

（２）查看详细的数据会发现ＡＲＰ包非常有规律，

染毒计算机会对自身所在ＩＰ段按顺序逐一进行ＡＲＰ

查询。图４就是一台ＩＰ为１７２．２０．３．８９的计算机在

染毒后Ｗｉｒｅｓｈａｒｋ获取到的详细数据。

三、分析数据，找出病毒的藏身之处

Ｗｉｒｅｓｈａｒｋ窗口被分成三个部分：最上面为数

据包列表，用来显示截获的每个数据包的详细信息；

中间为协议树，用来显示选定的数据包所属的协议

信息；最下边是以十六进制形式表示的数据包内容，

用来显示数据包在物理层上传输时的最终形式。

使用Ｗｉｒｅｓｈａｒｋ可以很方便地对截获的数据包

进行分析，包括该数据包的源地址、目的地址、所属

协议等。图３是在Ｗｉｒｅｓｈａｒｋ中对一个ＴＣＰ数据包

进行分析时的情形。可以看出，当前选中数据包的源

地址为１７２．２０．３．８，目的地址为１７２．２０．３．３，该数

据包所属的协议是ＴＣＰ协议，同时从使用的３３８９端

口可以看出１７２．２０．３．８正使用远程桌面连接访问

１７２．２０．３．３。

图４

一旦锁定了染毒计算机的ＩＰ，接下来的工作就

非常简单了。需要注意的是有时候服务器尤其是

ＤＮＳ服务器会发送较多的ＡＲＰ查询数据，但一般不

是向网内计算机逐一发送的，不满足上面的第二个

条件，因此可以排除染毒的可能。图５中的１７２．２０．

３．１是一台提供ＤＮＳ服务的服务器，它没有感染病

毒。

图３

面对Ｗｉｒｅｓｈａｒｋ给出的大量数据，我们常常不知

如何下手，此时化繁为简就显得尤为重要了。我们可

以借助Ｆｉｌｔｅｒ过滤器来过滤出我们感兴趣的数据包。

如果要查看ＡＲＰ协议的包，可以在Ｗｉｒｅｓｈａｒｋ窗口

的左下角的Ｆｉｌｔｅｒ中输入ａｒｐ，回车，Ｗｉｒｅｓｈａｒｋ就会

只显示ＡＲＰ协议的包，接下来我们就可以仔细分析

过滤出来的包而不会被其他无关的数据干扰了。

在局域网中，实际传输的是“帧”，帧里面有目

标主机的ＭＡＣ地址。在以太网中，一个主机要和另

一个主机进行直接通信，必须要知道目标主机的

ＭＡＣ地址。ＡＲＰ协议的基本功能就是通过目标设备

的ＩＰ地址，查询目标设备的ＭＡＣ地址，以保证通信

的顺利进行。

蠕虫病毒在传播过程中首先会随机选取某一段

ＩＰ地址（通常是染毒计算机所在ＩＰ地址段），然后

通过发送ＡＲＰ数据包来查询网内计算机的ＭＡＣ地

址。因此，如果校园网内有计算机感染蠕虫病毒，使

用Ｗｉｒｅｓｈａｒｋ会发现：

图５

此外，通过对Ｗｉｒｅｓｈａｒｋ截取的数据进行分析，

还可以查出校园网中哪些用户在占用大量的带宽玩

网络游戏。截取数据包后在Ｆｉｌｔｅｒ中输入ｕｄｐ，回

车，查看所有ＵＤＰ协议数据包。如果发现某个计算

机向固定的ＩＰ的某个ＵＤＰ端口连续发送数据包，则

用户很可能在玩网络游戏或运行着类似的程序。

（作者单位：浙江绍兴市第一中学信息处）

　中小学信息技术教育　　２００６．１２

63