Wireshark är en av de bästa öppna nätverks-GUI-paketanalysatorerna som finns tillgängliga idag. Den används för att fånga nätverkspaket och visa detaljerna i paketdata. Wireshark och tcpdump använder libpcap för att få levande nätverksdata. Det är ofta enklare att fånga paket med kommandot tcpdump och visa dem med Wireshark. Detta är användbart för felsökning av nätverks- eller nätverkssäkerhetsproblem och för att felsöka protokollimplementationer.
I den här handledningen kommer vi att gå igenom installationen av Wireshark på Ubuntu 16.04, CentOS 7 och Arch Linux.
Installation på Ubuntu 16.04
För att påbörja installationen ska vi möta beroendena:
$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d
När alla beroenden har installerats kör vi följande i terminalen.
$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark
Under installationen, om du blir tillfrågad om icke-superanvändare ska kunna fånga paket. Tryck på vänster piltangent på tangentbordet för att välja <Ja> och tryck på Enter.
Du kan starta det från dash eller skriva kommandot:
$ wireshark
Installation på CentOS 7
Vi kommer att installera Wireshark på CentOS 7 med hjälp av yum. Skriv följande kommandon i terminalen:
Lansera det från startfältet eller skriv följande kommando på kommandoraden:
$ wireshark
Installation på Arch Linux
Skriv följande kommandon i terminalen:
$ sudo pacman -S wireshark-qt
Och om du föredrar GTK+-gränssnittet använder du det här kommandot:
$ sudo pacman -S wireshark-gtk
Installation från källkod
Installation från källkod kräver att du kompilerar källkoden. När kraven är uppfyllda kör du följande kommandon i terminalen för att installera källkoden.
Tshark
TShark är ett kommandoradsverktyg som följer med Wireshark för att fånga live-trafik samt läsa och analysera fångstfiler. Utan några inställda alternativ fungerar TShark ungefär som tcpdump. Det kommer att använda pcap-biblioteket för att fånga trafik från det första tillgängliga nätverksgränssnittet och visar en sammanfattningsrad på stdout för varje mottaget paket.
Tshark finns automatiskt på CentOS 7 när du installerar wireshark. På Ubuntu kan du installera det med kommandot:
$ sudo apt install tshark
Användning av Tshark
Om du vill fånga upp paketen som kommer från/går till UDP-port 1812 på eth0 kan du använda kommandot tshark på följande sätt:
$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'
Flaggan -f används för att specificera ett nätverksfångstfilter (mer om filter senare). Paket som inte verifierar villkoret efter -f-flaggan kommer inte att fångas. I det här exemplet fångas endast IP-paket som kommer från eller går till UDP-port 1812.
Flaggan -i används för att ange det gränssnitt från vilket vi förväntar oss att se RADIUS-paketen. Ändra ”eth0” till vad ditt gränssnitt heter.
Flaggan -w används för att ange en fil där den fångade trafiken kommer att sparas för senare bearbetning.
Om du får felet ”Permission Denied” (tillstånd nekat) när du kör wireshark som lokal användare kan du starta den med root-privilegier eller lägga till användarkontot i wireshark-gruppen med följande kommando:
$ sudo usermod -a -G wireshark username