Wireshark je jedním z nejlepších open source síťových analyzátorů paketů s grafickým rozhraním, které jsou dnes k dispozici. Slouží k zachycování síťových paketů a zobrazování detailů paketových dat. Wireshark a tcpdump používají k získávání živých síťových dat knihovnu libpcap. Často je jednodušší zachytit pakety pomocí příkazu tcpdump a zobrazit je pomocí programu Wireshark. To je užitečné při řešení problémů se sítí nebo s jejím zabezpečením a při ladění implementace protokolů.
V tomto návodu projdeme instalaci programu Wireshark v systémech Ubuntu 16.04, CentOS 7 a Arch Linux.
Instalace v Ubuntu 16.04, CentOS 7 a Arch Linux.04
Před zahájením instalace se seznámíme se závislostmi:
$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d
Po nainstalování všech závislostí spustíme v terminálu následující příkaz.
$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark
Při instalaci, pokud jste dotázáni, zda budou moci zachytávat pakety uživatelé, kteří nejsou superuživateli. Stisknutím levé šipky na klávesnici vyberte možnost <Ano> a stiskněte klávesu Enter.
Můžete jej spustit z pomlčky nebo zadat příkaz:
$ wireshark
Instalace v systému CentOS 7
Systém Wireshark v systému CentOS 7 nainstalujeme pomocí nástroje yum. V terminálu zadejte následující příkazy:
Spustíme jej ze spouštěče nebo do příkazového řádku zadejte následující příkaz:
$ wireshark
Instalace na Arch Linux
V terminálu zadejte následující příkazy:
$ sudo pacman -S wireshark-qt
nebo pokud dáváte přednost rozhraní GTK+, použijte tento příkaz:
$ sudo pacman -S wireshark-gtk
Instalace ze zdrojového kódu
Instalace ze zdrojového kódu bude vyžadovat kompilaci zdrojového kódu. Jakmile jsou požadavky splněny, spusťte v terminálu následující příkazy pro instalaci zdrojového kódu:
Tshark
TShark je nástroj příkazového řádku dodávaný spolu s programem Wireshark, který umožňuje zachytávat živý provoz a také číst a analyzovat zachycené soubory. Bez nastavených voleb bude TShark pracovat podobně jako tcpdump. K zachycení provozu z prvního dostupného síťového rozhraní použije knihovnu pcap a pro každý přijatý paket zobrazí na stdout shrnující řádek.
Tshark je v systému CentOS 7 automaticky k dispozici po instalaci aplikace wireshark. V Ubuntu jej můžete nainstalovat příkazem:
$ sudo apt install tshark
Použití Tshark
Pokud chcete zachytit pakety přicházející/odcházející na port UDP 1812 na eth0, můžete použít příkaz tshark následujícím způsobem:
$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'
Příznak -f slouží k zadání filtru pro zachycení sítě (více o filtrech později). Pakety, které nesplňují podmínku uvedenou za příznakem -f, nebudou zachyceny. V tomto příkladu budou zachyceny pouze pakety IP, které přicházejí z portu UDP 1812 nebo na něj směřují.
Příznak -i slouží k určení rozhraní, ze kterého očekáváme zobrazení paketů RADIUS. Změňte ‚eth0‘ na libovolný název rozhraní.
Příznak -w slouží k určení souboru, do kterého bude zachycený provoz uložen pro pozdější zpracování.
Pokud se při spuštění programu wireshark jako místní uživatel zobrazí chyba ‚Oprávnění odepřeno‘, můžete jej spustit s právy roota nebo přidat uživatelský účet do skupiny wireshark pomocí následujícího příkazu:
$ sudo usermod -a -G wireshark username
Závěr
.