A Wireshark az egyik legjobb nyílt forráskódú hálózati GUI csomagelemző, amely ma elérhető. Hálózati csomagok rögzítésére és a csomagadatok részleteinek megjelenítésére szolgál. A Wireshark és a tcpdump a libpcap-ot használja az élő hálózati adatok kinyeréséhez. Gyakran egyszerűbb a tcpdump parancs segítségével csomagokat rögzíteni és a Wireshark segítségével megjeleníteni. Ez hasznos a hálózati vagy hálózati biztonsági problémák elhárításánál és a protokoll implementációk hibakeresésénél.
Ebben a bemutatóban a Wireshark telepítését tekintjük át Ubuntu 16.04, CentOS 7 és Arch Linux rendszereken.
Telepítés Ubuntu 16.04
Mielőtt elkezdenénk a telepítést, találkozzunk a függőségekkel:
$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d
Mihelyt az összes függőséget telepítettük, futtassuk le a terminálban a következőt.
$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark
A telepítés során, ha megkérdezik, hogy nem szuperfelhasználók is képesek lesznek-e csomagokat rögzíteni. Nyomjuk meg a billentyűzet bal nyíl billentyűjét a <Igen> kiválasztásához, majd nyomjuk le az Entert.
Elindíthatjuk a dash-ból, vagy beírhatjuk a parancsot:
$ wireshark
Telepítés CentOS 7-re
A Wiresharkot CentOS 7-re a yum segítségével fogjuk telepíteni. A terminálba írjuk be a következő parancsokat:
Elindítjuk az indítóprogramból vagy a parancssorba írjuk be a következő parancsot:
$ wireshark
Telepítés Arch Linuxra
A terminálba írjuk be a következő parancsokat:
$ sudo pacman -S wireshark-qt
vagy ha a GTK+ felületet részesíti előnyben, használja ezt a parancsot:
$ sudo pacman -S wireshark-gtk
Telepítés forrásból
A forrásból történő telepítéshez le kell fordítania a forráskódot. Ha a követelmények teljesülnek, futtassa a következő parancsokat a terminálban a forráskód telepítéséhez.
Tshark
A TShark egy parancssori eszköz, amely a Wiresharkkal együtt érkezik az élő forgalom rögzítéséhez, valamint a rögzítési fájlok olvasásához és elemzéséhez. Beállított opciók nélkül a TShark nagyjából úgy működik, mint a tcpdump. A pcap könyvtárat használja a forgalom rögzítésére az első elérhető hálózati interfészről, és minden egyes fogadott csomagról egy összefoglaló sort jelenít meg az stdouton.
A TShark automatikusan megtalálható a CentOS 7-en, amikor telepíti a wiresharkot. Ubuntun a következő paranccsal telepítheti:
$ sudo apt install tshark
Tshark használata
Ha az eth0-n az 1812-es UDP porton érkező/menő csomagokat szeretné rögzíteni, akkor a tshark parancsot a következőképpen használhatja:
$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'
A -f flag a hálózati rögzítési szűrő megadására szolgál (a szűrőkről később bővebben). Azok a csomagok, amelyek nem igazolják a -f jelzőt követő feltételt, nem kerülnek rögzítésre. Ebben a példában csak a 1812-es UDP-portról érkező vagy oda tartó IP-csomagok kerülnek rögzítésre.
A -i jelzővel megadható az az interfész, amelyről a RADIUS-csomagokat várjuk. Az ‘eth0’ jelzőt változtassuk meg az interfész nevére.
A -w jelzőt arra használjuk, hogy megadjuk azt a fájlt, ahová a rögzített adatforgalmat a későbbi feldolgozáshoz elmentjük.
Ha a wireshark helyi felhasználóként történő futtatásakor az ‘Permission Denied’ hibát kapjuk, akkor indítsuk el root jogosultságokkal, vagy adjuk hozzá a felhasználói fiókot a wireshark csoporthoz a következő paranccsal:
$ sudo usermod -a -G wireshark username
Conclusion
.