Wireshark è uno dei migliori analizzatori di pacchetti GUI di rete open source disponibili oggi. Viene utilizzato per catturare i pacchetti di rete e visualizzare i dettagli dei dati dei pacchetti. Wireshark e tcpdump usano libpcap per ottenere dati di rete dal vivo. Spesso è più facile catturare i pacchetti usando il comando tcpdump e visualizzarli usando Wireshark. Questo è utile per la risoluzione dei problemi di rete o di sicurezza della rete e per eseguire il debug delle implementazioni di protocollo.
In questo tutorial, andremo attraverso l’installazione di Wireshark su Ubuntu 16.04, CentOS 7, e Arch Linux.
Installazione su Ubuntu 16.04
Prima di iniziare l’installazione, incontriamo le dipendenze:
$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d
Una volta che tutte le dipendenze sono state installate, eseguiamo quanto segue nel terminale.
$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark
Durante l’installazione, se ti viene chiesto se i non superutenti possono catturare i pacchetti. Premi il tasto freccia sinistra sulla tua tastiera per selezionare <Sì> e premi Invio.
Puoi lanciarlo da dash o digitare il comando:
$ wireshark
Installazione su CentOS 7
Installeremo Wireshark su CentOS 7 usando yum. Nel terminale, digitate i seguenti comandi:
Lanciatelo dal launcher o digitate il seguente comando nella riga di comando:
$ wireshark
Installazione su Arch Linux
Nel terminale, digitate i seguenti comandi:
$ sudo pacman -S wireshark-qt
o se preferisci l’interfaccia GTK+, usa questo comando:
$ sudo pacman -S wireshark-gtk
Installazione da sorgente
L’installazione da sorgente richiede la compilazione del codice sorgente. Una volta che i requisiti sono soddisfatti, esegui i seguenti comandi nel terminale per installare il codice sorgente.
Tshark
TShark è uno strumento a riga di comando che viene fornito insieme a Wireshark per catturare il traffico dal vivo così come leggere ed analizzare i file di cattura. Senza alcuna opzione impostata, TShark funzionerà più o meno come tcpdump. Utilizza la libreria pcap per catturare il traffico dalla prima interfaccia di rete disponibile e visualizza una riga di riepilogo su stdout per ogni pacchetto ricevuto.
Tshark è automaticamente su CentOS 7 quando si installa wireshark. Su Ubuntu, puoi installarlo con il comando:
$ sudo apt install tshark
Usare Tshark
Se vuoi catturare i pacchetti che provengono/andano alla porta UDP 1812 su eth0, puoi usare il comando tshark come segue:
$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'
Il flag -f è usato per specificare un filtro di cattura della rete (più avanti sui filtri). I pacchetti che non verificano la condizione che segue il flag -f non saranno catturati. In questo esempio, solo i pacchetti IP che provengono o vanno alla porta UDP 1812 vengono catturati.
Il flag -i è usato per specificare l’interfaccia da cui ci aspettiamo di vedere i pacchetti RADIUS. Cambia ‘eth0’ con qualunque sia il nome della tua interfaccia.
Il flag -w è usato per specificare un file dove il traffico catturato sarà salvato per una successiva elaborazione.
Se ricevi un errore ‘Permission Denied’ quando esegui wireshark come utente locale, puoi avviarlo con i privilegi di root o aggiungere l’account utente al gruppo wireshark usando il seguente comando:
$ sudo usermod -a -G wireshark username