Wireshark ist einer der besten Open-Source-Netzwerk-GUI-Paketanalysatoren, die heute verfügbar sind. Es wird verwendet, um Netzwerkpakete zu erfassen und die Details der Datenpakete anzuzeigen. Wireshark und tcpdump verwenden libpcap, um Live-Netzwerkdaten zu erhalten. Oft ist es einfacher, Pakete mit dem Befehl tcpdump zu erfassen und mit Wireshark anzuzeigen. Dies ist nützlich für die Fehlersuche im Netzwerk oder Netzwerksicherheitsprobleme und zum Debuggen von Protokollimplementierungen.
In diesem Tutorial werden wir die Installation von Wireshark auf Ubuntu 16.04, CentOS 7 und Arch Linux durchgehen.
Installation auf Ubuntu 16.04
Bevor wir mit der Installation beginnen, müssen wir uns mit den Abhängigkeiten vertraut machen:
$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d
Nachdem alle Abhängigkeiten installiert wurden, führen wir Folgendes im Terminal aus.
$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark
Während der Installation, wenn Sie gefragt werden, ob Nicht-Superuser Pakete erfassen können. Drücken Sie die linke Pfeiltaste auf Ihrer Tastatur, um <Ja> auszuwählen und drücken Sie die Eingabetaste.
Sie können es von Dash aus starten oder den Befehl eingeben:
$ wireshark
Installation auf CentOS 7
Wir werden Wireshark auf CentOS 7 mit yum installieren. Geben Sie im Terminal die folgenden Befehle ein:
Starten Sie es über den Launcher oder geben Sie den folgenden Befehl in die Befehlszeile ein:
$ wireshark
Installation auf Arch Linux
Geben Sie im Terminal die folgenden Befehle ein:
$ sudo pacman -S wireshark-qt
oder wenn Sie die GTK+ Oberfläche bevorzugen, verwenden Sie diesen Befehl:
$ sudo pacman -S wireshark-gtk
Installation aus dem Quellcode
Bei der Installation aus dem Quellcode müssen Sie den Quellcode kompilieren. Sobald die Voraussetzungen erfüllt sind, führen Sie die folgenden Befehle im Terminal aus, um den Quellcode zu installieren.
Tshark
TShark ist ein Kommandozeilen-Tool, das zusammen mit Wireshark geliefert wird, um Live-Verkehr zu erfassen sowie Erfassungsdateien zu lesen und zu analysieren. Ohne jegliche Optionen arbeitet TShark ähnlich wie tcpdump. Es verwendet die pcap-Bibliothek, um den Datenverkehr von der ersten verfügbaren Netzwerkschnittstelle zu erfassen und zeigt für jedes empfangene Paket eine Zusammenfassungszeile auf stdout an.
Tshark wird unter CentOS 7 automatisch installiert, wenn Sie Wireshark installieren. Unter Ubuntu können Sie es mit dem folgenden Befehl installieren:
$ sudo apt install tshark
Tshark verwenden
Wenn Sie die Pakete erfassen möchten, die von/zu UDP-Port 1812 auf eth0 kommen, können Sie den tshark-Befehl wie folgt verwenden:
$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'
Das -f-Flag wird verwendet, um einen Netzwerkerfassungsfilter anzugeben (mehr über Filter später). Pakete, die die Bedingung nach dem -f-Flag nicht erfüllen, werden nicht aufgezeichnet. In diesem Beispiel werden nur IP-Pakete erfasst, die von UDP-Port 1812 kommen oder zu diesem gehen.
Das -i-Flag wird verwendet, um die Schnittstelle anzugeben, von der wir erwarten, die RADIUS-Pakete zu sehen. Ändern Sie ‚eth0‘ in einen beliebigen Schnittstellennamen.
Das -w-Flag wird verwendet, um eine Datei anzugeben, in der der aufgezeichnete Datenverkehr für die spätere Verarbeitung gespeichert wird.
Wenn Sie eine ‚Permission Denied‘-Fehlermeldung erhalten, wenn Sie wireshark als lokaler Benutzer ausführen, können Sie es mit Root-Rechten starten oder das Benutzerkonto mit dem folgenden Befehl zur wireshark-Gruppe hinzufügen:
$ sudo usermod -a -G wireshark username