Wireshark on yksi parhaista avoimen lähdekoodin verkko-GUI-pakettianalysaattoreista. Sitä käytetään verkkopakettien kaappaamiseen ja pakettidatan yksityiskohtien näyttämiseen. Wireshark ja tcpdump käyttävät libpcapia live-verkkotietojen saamiseksi. Usein on helpompaa kaapata paketteja tcpdump-komennolla ja tarkastella niitä Wiresharkilla. Tämä on hyödyllistä verkon tai verkon tietoturvaongelmien vianmäärityksessä ja protokollatoteutusten debuggaamisessa.
Tässä opetusohjelmassa käymme läpi Wiresharkin asennuksen Ubuntu 16.04-, CentOS 7- ja Arch Linux -käyttöjärjestelmiin.
Asennus Ubuntu 16.04
Valmistetaan ennen asennuksen aloittamista riippuvuudet:
$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d
Kun kaikki riippuvuudet on asennettu, ajetaan terminaalissa seuraavaa.
$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark
Asennuksen aikana, jos sinulta kysytään, voivatko muut kuin superkäyttäjät kaapata paketteja. Paina näppäimistön vasenta nuolinäppäintä valitaksesi <Kyllä> ja paina Enter-näppäintä.
Voit käynnistää sen dashista tai kirjoittaa komennon:
$ wireshark
Asennus CentOS 7:lle
Asennamme Wiresharkin CentOS 7:lle yumin avulla. Kirjoita terminaalissa seuraavat komennot:
Käynnistetään se käynnistysohjelmasta tai kirjoitetaan komentoriville seuraava komento:
$ wireshark
Asennus Arch Linuxiin
Kirjoita terminaalissa seuraavat komennot:
$ sudo pacman -S wireshark-qt
tai jos käytät mieluummin GTK+-käyttöliittymää, käytä tätä komentoa:
$ sudo pacman -S wireshark-gtk
Asennus lähdekoodista
Asennus lähdekoodista edellyttää lähdekoodin kääntämistä. Kun vaatimukset täyttyvät, suorita terminaalissa seuraavat komennot lähdekoodin asentamiseksi.
Tshark
TShark on Wiresharkin mukana tuleva komentorivityökalu, jolla voi kaapata live-liikennettä sekä lukea ja jäsentää kaappaustiedostoja. Ilman asetettuja asetuksia TShark toimii kuten tcpdump. Se käyttää pcap-kirjastoa kaapatakseen liikennettä ensimmäisestä käytettävissä olevasta verkkoliitännästä ja näyttää yhteenvetorivin stdoutiin jokaisesta vastaanotetusta paketista.
Tshark on automaattisesti CentOS 7:ssä, kun asennat wiresharkin. Ubuntussa voit asentaa sen komennolla:
$ sudo apt install tshark
Tsharkin käyttäminen
Jos haluat kaapata eth0:n UDP-portista 1812 tulevat/lähtevät paketit, voit käyttää tshark-komentoa seuraavasti:
$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'
lippua -f käytetään verkkokaappaussuodattimen määrittämiseen (suodattimista lisää myöhemmin). Paketteja, jotka eivät täytä -f-lippua seuraavaa ehtoa, ei kaapata. Tässä esimerkissä kaapataan vain UDP-portista 1812 tulevat tai sinne menevät IP-paketit.
-i-lippua käytetään määrittämään rajapinta, josta odotetaan RADIUS-paketteja. Vaihda ’eth0’ mihin tahansa rajapinnan nimeen.
-w-lippua käytetään määrittämään tiedosto, johon kaapattu liikenne tallennetaan myöhempää käsittelyä varten.
Jos saat ’Permission Denied’-virheen ajaessasi wiresharkia paikallisena käyttäjänä, voit käynnistää sen pääkäyttäjän oikeuksin tai lisätä käyttäjätilin wireshark-ryhmään seuraavalla komennolla:
$ sudo usermod -a -G wireshark username