Wireshark é um dos melhores analisadores de pacotes GUI de rede de código aberto disponíveis hoje. Ele é usado para capturar pacotes de rede e exibir os detalhes dos dados dos pacotes. Wireshark e tcpdump usam a libpcap para obter dados de rede ao vivo. Muitas vezes é mais fácil capturar pacotes usando o comando tcpdump e visualizá-los usando Wireshark. Isto é útil para solucionar problemas de segurança da rede ou para depurar implementações de protocolos.
Neste tutorial, vamos passar pela instalação do Wireshark no Ubuntu 16.04, CentOS 7, e Arch Linux.
Instalando no Ubuntu 16.04
Antes de começarmos a instalação, vamos atender as dependências:
$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d
Após todas as dependências terem sido instaladas, executamos o seguinte no terminal.
$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark
Durante a instalação, se for perguntado se os não-superusuários serão capazes de capturar pacotes. Pressione a seta para a esquerda no seu teclado para selecionar <Sim> e pressione Enter.
Pode iniciar a partir do traço ou digite o comando:
$ wireshark
Instalando no CentOS 7
Instalaremos o Wireshark no CentOS 7 usando o yum. No terminal, digite os seguintes comandos:
Launch it from the launcher ou digite o seguinte comando na linha de comando:
$ wireshark
Instalando no Arch Linux
No terminal, digite os seguintes comandos:
$ sudo pacman -S wireshark-qt
ou se preferir a interface GTK+, use este comando:
$ sudo pacman -S wireshark-gtk
Instalando a partir do código fonte
Instalando a partir do código fonte irá requerer que você compile o código fonte. Uma vez que os requisitos sejam cumpridos, execute os seguintes comandos no terminal para instalar o código fonte.
Tshark
TShark é uma ferramenta de linha de comando que vem junto com o Wireshark para capturar o tráfego ao vivo, bem como arquivos de captura de leitura e análise. Sem nenhum conjunto de opções, o TShark funcionará muito parecido com o tcpdump. Ele irá usar a biblioteca pcap para capturar tráfego da primeira interface de rede disponível e exibe uma linha de resumo na stdout para cada pacote recebido.
Tshark está automaticamente no CentOS 7 quando você instala o wirehark. No Ubuntu, você pode instalá-lo com o comando:
$ sudo apt install tshark
Using Tshark
Se você quiser capturar os pacotes que vêm da/para a porta UDP 1812 no eth0, você pode usar o comando tshark como segue:
$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'
O flag -f é usado para especificar um filtro de captura de rede (mais sobre filtros mais tarde). Pacotes que não verificam a condição seguindo a bandeira -f não serão capturados. Neste exemplo, somente os pacotes IP que estão vindo ou indo para a porta UDP 1812 são capturados.
O flag -i é usado para especificar a interface da qual esperamos ver os pacotes RADIUS. Mude ‘eth0’ para qualquer que seja o nome de sua interface.
O flag -w é usado para especificar um arquivo onde o tráfego capturado será salvo para processamento posterior.
Se você estiver recebendo um erro ‘Permission Denied’ ao executar wireshark como usuário local, você pode iniciar o mesmo com privilégios de root ou adicionar a conta de usuário ao grupo wireshark usando o seguinte comando:
$ sudo usermod -a -G wireshark username