Come installare Wireshark su Linux

Wireshark è uno dei migliori analizzatori di pacchetti GUI di rete open source disponibili oggi. Viene utilizzato per catturare i pacchetti di rete e visualizzare i dettagli dei dati dei pacchetti. Wireshark e tcpdump usano libpcap per ottenere dati di rete dal vivo. Spesso è più facile catturare i pacchetti usando il comando tcpdump e visualizzarli usando Wireshark. Questo è utile per la risoluzione dei problemi di rete o di sicurezza della rete e per eseguire il debug delle implementazioni di protocollo.

In questo tutorial, andremo attraverso l’installazione di Wireshark su Ubuntu 16.04, CentOS 7, e Arch Linux.

Installazione su Ubuntu 16.04

Prima di iniziare l’installazione, incontriamo le dipendenze:

$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d

Una volta che tutte le dipendenze sono state installate, eseguiamo quanto segue nel terminale.

$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark

Durante l’installazione, se ti viene chiesto se i non superutenti possono catturare i pacchetti. Premi il tasto freccia sinistra sulla tua tastiera per selezionare <Sì> e premi Invio.

Puoi lanciarlo da dash o digitare il comando:

$ wireshark

Installazione su CentOS 7

Installeremo Wireshark su CentOS 7 usando yum. Nel terminale, digitate i seguenti comandi:

Lanciatelo dal launcher o digitate il seguente comando nella riga di comando:

$ wireshark

Installazione su Arch Linux

Nel terminale, digitate i seguenti comandi:

$ sudo pacman -S wireshark-qt

o se preferisci l’interfaccia GTK+, usa questo comando:

$ sudo pacman -S wireshark-gtk

Installazione da sorgente

L’installazione da sorgente richiede la compilazione del codice sorgente. Una volta che i requisiti sono soddisfatti, esegui i seguenti comandi nel terminale per installare il codice sorgente.

Tshark

TShark è uno strumento a riga di comando che viene fornito insieme a Wireshark per catturare il traffico dal vivo così come leggere ed analizzare i file di cattura. Senza alcuna opzione impostata, TShark funzionerà più o meno come tcpdump. Utilizza la libreria pcap per catturare il traffico dalla prima interfaccia di rete disponibile e visualizza una riga di riepilogo su stdout per ogni pacchetto ricevuto.

Tshark è automaticamente su CentOS 7 quando si installa wireshark. Su Ubuntu, puoi installarlo con il comando:

$ sudo apt install tshark

Usare Tshark

Se vuoi catturare i pacchetti che provengono/andano alla porta UDP 1812 su eth0, puoi usare il comando tshark come segue:

$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'

Il flag -f è usato per specificare un filtro di cattura della rete (più avanti sui filtri). I pacchetti che non verificano la condizione che segue il flag -f non saranno catturati. In questo esempio, solo i pacchetti IP che provengono o vanno alla porta UDP 1812 vengono catturati.

Il flag -i è usato per specificare l’interfaccia da cui ci aspettiamo di vedere i pacchetti RADIUS. Cambia ‘eth0’ con qualunque sia il nome della tua interfaccia.

Il flag -w è usato per specificare un file dove il traffico catturato sarà salvato per una successiva elaborazione.

Se ricevi un errore ‘Permission Denied’ quando esegui wireshark come utente locale, puoi avviarlo con i privilegi di root o aggiungere l’account utente al gruppo wireshark usando il seguente comando:

$ sudo usermod -a -G wireshark username

Conclusion

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.