歡迎光臨
每天分享高質量文章

如何安裝並使用 Wireshark | Linux 中國

Wireshark 允許我們監控網路資料包直到其微觀層面。
— Pradeep Kumar


致謝
編譯自 | 
https://www.linuxtechi.com/install-use-wireshark-debian-9-ubuntu/
 
 作者 | Pradeep Kumar
 譯者 | MjSeven ?????共計翻譯:71.0 篇 貢獻時間:243 天

wireshark-Debian-9-Ubuntu 16.04 -17.10

Wireshark 是自由開源的、跨平臺的基於 GUI 的網路資料包分析器,可用於 Linux、Windows、MacOS、Solaris 等。它可以實時捕獲網路資料包,並以人性化的格式呈現。Wireshark 允許我們監控網路資料包直到其微觀層面。Wireshark 還有一個名為 tshark 的命令列實用程式,它與 Wireshark 執行相同的功能,但它是透過終端而不是 GUI。

Wireshark 可用於網路故障排除、分析、軟體和通訊協議開發以及用於教育目的。Wireshark 使用 pcap 庫來捕獲網路資料包。

Wireshark 具有許多功能:

◈ 支援數百項協議檢查
◈ 能夠實時捕獲資料包並儲存,以便以後進行離線分析
◈ 許多用於分析資料的過濾器
◈ 捕獲的資料可以即時壓縮和解壓縮
◈ 支援各種檔案格式的資料分析,輸出也可以儲存為 XML、CSV 和純文字格式
◈ 資料可以從乙太網、wifi、藍芽、USB、幀中繼、令牌環等多個介面中捕獲

在本文中,我們將討論如何在 Ubuntu/Debian 上安裝 Wireshark,並將學習如何使用 Wireshark 捕獲網路資料包。

在 Ubuntu 16.04 / 17.10 上安裝 Wireshark

Wireshark 在 Ubuntu 預設倉庫中可用,只需使用以下命令即可安裝。但有可能得不到最新版本的 wireshark。

  1. linuxtechi@nixworld:~$ sudo apt-get update

  2. linuxtechi@nixworld:~$ sudo apt-get install wireshark -y

因此,要安裝最新版本的 wireshark,我們必須啟用或配置官方 wireshark 倉庫。

使用下麵的命令來配置倉庫並安裝最新版本的 wireshark 實用程式。

  1. linuxtechi@nixworld:~$ sudo add-apt-repository ppa:wireshark-dev/stable

  2. linuxtechi@nixworld:~$ sudo apt-get update

  3. linuxtechi@nixworld:~$ sudo apt-get install wireshark -y

一旦安裝了 wireshark,執行以下命令,以便非 root 使用者也可以捕獲介面的實時資料包。

  1. linuxtechi@nixworld:~$ sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap

在 Debian 9 上安裝 Wireshark

Wireshark 包及其依賴項已存在於 debian 9 的預設倉庫中,因此要在 Debian 9 上安裝最新且穩定版本的 Wireshark,請使用以下命令:

  1. linuxtechi@nixhome:~$ sudo apt-get update

  2. linuxtechi@nixhome:~$ sudo apt-get install wireshark -y

在安裝過程中,它會提示我們為非超級使用者配置 dumpcap,

選擇 yes 並回車。

Configure-Wireshark-Debian9

安裝完成後,執行以下命令,以便非 root 使用者也可以捕獲介面的實時資料包。

  1. linuxtechi@nixhome:~$ sudo chmod +x /usr/bin/dumpcap

我們還可以使用最新的原始碼包在 Ubuntu/Debian 和其它 Linux 發行版上安裝 wireshark。

在 Debian / Ubuntu 系統上使用原始碼安裝 Wireshark

首先下載最新的原始碼包(寫這篇文章時它的最新版本是 2.4.2),使用以下命令:

  1. linuxtechi@nixhome:~$ wget https://1.as.dl.wireshark.org/src/wireshark-2.4.2.tar.xz

然後解壓縮包,進入解壓縮的目錄:

  1. linuxtechi@nixhome:~$ tar -xf wireshark-2.4.2.tar.xz -C /tmp

  2. linuxtechi@nixhome:~$ cd /tmp/wireshark-2.4.2

現在我們使用以下命令編譯程式碼:

  1. linuxtechi@nixhome:/tmp/wireshark-2.4.2$ ./configure --enable-setcap-install

  2. linuxtechi@nixhome:/tmp/wireshark-2.4.2$ make

最後安裝已編譯的軟體包以便在系統上安裝 Wireshark:

  1. linuxtechi@nixhome:/tmp/wireshark-2.4.2$ sudo make install

  2. linuxtechi@nixhome:/tmp/wireshark-2.4.2$ sudo ldconfig

在安裝後,它將建立一個單獨的 Wireshark 組,我們現在將我們的使用者新增到組中,以便它可以與 Wireshark 一起使用,否則在啟動 wireshark 時可能會出現 “permission denied(許可權被拒絕)”錯誤。

要將使用者新增到 wireshark 組,執行以下命令:

  1. linuxtechi@nixhome:~$ sudo usermod -a -G wireshark linuxtechi

現在我們可以使用以下命令從 GUI 選單或終端啟動 wireshark:

  1. linuxtechi@nixhome:~$ wireshark

在 Debian 9 系統上使用 Wireshark

Access-wireshark-debian9

點選 Wireshark 圖示。

Wireshark-window-debian9

在 Ubuntu 16.04 / 17.10 上使用 Wireshark

Access-wireshark-Ubuntu

點選 Wireshark 圖示。

Wireshark-window-Ubuntu

捕獲並分析資料包

一旦 wireshark 啟動,我們就會看到 wireshark 視窗,上面有 Ubuntu 和 Debian 系統的示例。

wireshark-Linux-system

所有這些都是我們可以捕獲網路資料包的介面。根據你係統上的介面,此螢幕可能與你的不同。

我們選擇 enp0s3 來捕獲該介面的網路流量。選擇介面後,在我們網路上所有裝置的網路資料包開始填充(參考下麵的螢幕截圖):

Capturing-Packet-from-enp0s3-Ubuntu-Wireshark

第一次看到這個螢幕,我們可能會被這個螢幕上顯示的資料所淹沒,並且可能已經想過如何整理這些資料,但不用擔心,Wireshark 的最佳功能之一就是它的過濾器。

我們可以根據 IP 地址、埠號,也可以使用來源和標的過濾器、資料包大小等對資料進行排序和過濾,也可以將兩個或多個過濾器組合在一起以建立更全面的搜尋。我們也可以在 “Apply a Display Filter(應用顯示過濾器)”選項卡中編寫過濾規則,也可以選擇已建立的規則。要選擇之前構建的過濾器,請單擊 “Apply a Display Filter(應用顯示過濾器)”選項卡旁邊的旗幟圖示。

Filter-in-wireshark-Ubuntu

我們還可以根據顏色編碼過濾資料,預設情況下,淺紫色是 TCP 流量,淺藍色是 UDP 流量,黑色標識有錯誤的資料包,看看這些編碼是什麼意思,點選 “View -> Coloring Rules”,我們也可以改變這些編碼。

Packet-Colouring-Wireshark

在我們得到我們需要的結果之後,我們可以點選任何捕獲的資料包以獲得有關該資料包的更多詳細資訊,這將顯示該網路資料包的所有資料。

Wireshark 是一個非常強大的工具,需要一些時間來習慣並對其進行命令操作,本教程將幫助你入門。請隨時在下麵的評論框中提出你的疑問或建議。


via: https://www.linuxtechi.com/install-use-wireshark-debian-9-ubuntu/

作者:Pradeep Kumar[2] 譯者:MjSeven 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出

贊(0)

分享創造快樂