Sådan installeres Wireshark på Linux

Wireshark er en af de bedste open source network GUI packet analyzer, der findes på markedet i dag. Den bruges til at fange netværkspakker og vise detaljerne i pakkedataene. Wireshark og tcpdump bruger libpcap til at få levende netværksdata. Det er ofte lettere at fange pakker ved hjælp af tcpdump-kommandoen og vise dem ved hjælp af Wireshark. Dette er nyttigt til fejlfinding af netværk eller netværkssikkerhedsproblemer og til fejlfinding af protokolimplementeringer.

I denne vejledning vil vi gennemgå installationen af Wireshark på Ubuntu 16.04, CentOS 7 og Arch Linux.

Installation på Ubuntu 16.04

Hvor vi begynder installationen, skal vi møde afhængighederne:

$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d

Når alle afhængigheder er blevet installeret, kører vi følgende i terminalen.

$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark

Under installationen, hvis du bliver spurgt, om ikke-superbrugere være i stand til at fange pakker. Tryk på venstre piletast på dit tastatur for at vælge <Ja> og tryk på Enter.

Du kan starte det fra dash eller skrive kommandoen:

$ wireshark

Installation på CentOS 7

Vi installerer Wireshark på CentOS 7 ved hjælp af yum. Indtast følgende kommandoer i terminalen:

Lancer det fra launcher eller indtast følgende kommando på kommandolinjen:

$ wireshark

Installation på Arch Linux

Indtast følgende kommandoer i terminalen:

$ wireshark

Installerer på Arch Linux

Indtast følgende kommandoer i terminalen:

$ sudo pacman -S wireshark-qt

eller hvis du foretrækker GTK+-grænsefladen, skal du bruge denne kommando:

$ sudo pacman -S wireshark-gtk

Installation fra kildekode

Installation fra kildekode vil kræve, at du kompilerer kildekoden. Når kravene er opfyldt, skal du køre følgende kommandoer i terminalen for at installere kildekoden.

Tshark

TShark er et kommandolinjeværktøj, der leveres sammen med Wireshark til at optage live-trafik samt læse og analysere optagelsesfiler. Uden nogen indstillede indstillinger fungerer TShark meget som tcpdump. Det vil bruge pcap-biblioteket til at opsamle trafik fra den første tilgængelige netværksgrænseflade og viser en oversigtslinje på stdout for hver modtaget pakke.

Tshark er automatisk på CentOS 7, når du installerer wireshark. På Ubuntu kan du installere det med kommandoen:

$ sudo apt install tshark

Anvendelse af Tshark

Hvis du vil optage de pakker, der kommer fra/går til UDP-port 1812 på eth0, kan du bruge tshark-kommandoen som følger:

$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'

Flaget -f bruges til at angive et netværksoptagelsesfilter (mere om filtre senere). Pakker, der ikke verificerer betingelsen efter -f-flaget, vil ikke blive opfanget. I dette eksempel opfanges kun IP-pakker, der kommer fra eller går til UDP-port 1812.

Flaget -i bruges til at angive den grænseflade, hvorfra vi forventer at se RADIUS-pakkerne. Ændre ‘eth0’ til hvad end dit grænsefladenavn er.

Flaget -w bruges til at angive en fil, hvor den opfangede trafik skal gemmes til senere behandling.

Hvis du får en ‘Permission Denied’-fejl, når du kører wireshark som lokal bruger, kan du starte den med root-privilegier eller tilføje brugerkontoen til wireshark-gruppen ved hjælp af følgende kommando:

$ sudo usermod -a -G wireshark username

Conclusion

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.