在Ubuntu Linux上安装和使用Wireshark
Wireshark是一种免费的开源网络协议分析器,在全球范围内广泛使用。
借助Wireshark,我们可以实时捕获网络的传入和传出数据包,并将其用于网络故障排除,数据包分析,软件和通信协议开发等。
在本教程中,我将指导我们在Ubuntu和其他基于Ubuntu的发行版上安装Wireshark。
在基于Ubuntu的Linux发行版上安装Wireshark
Wireshark在所有主要的Linux发行版中均可用。我们应该查看官方安装说明。因为在本教程中,我将专注于仅在基于Ubuntu的发行版上安装最新的Wireshark版本。
Wireshark在Ubuntu的Universe存储库中可用。我们可以启用Universe资源库,然后按以下方式安装它:
sudo add-apt-repository universe sudo apt install wireshark
这种方法的一个小问题是,我们可能并不总是获得最新版本的Wireshark。
例如,在Ubuntu 18.04中,如果使用apt命令检查Wireshark的可用版本,则为2.6.
theitroad@localhost:~$ apt show wireshark Package: wireshark Version: 2.6.10-1~ubuntu18.04.0 Priority: optional Section: universe/net Origin: Ubuntu Maintainer: Balint Reczey <theitroad@localhost>
但是,Wireshark 3.2稳定版已于几个月前发布。当然,新版本带来了新功能。
那么,在这种情况下我们该怎么办?值得庆幸的是,Wiresshark开发人员提供了一个官方的PPA,我们可以使用它在Ubuntu和其他基于Ubuntu的发行版上安装Wireshark的最新稳定版本。
希望我们熟悉PPA。如果没有,请阅读我们关于PPA的出色指南以完全理解它。
打开一个终端,并一一使用以下命令:
sudo add-apt-repository ppa:wireshark-dev/stable sudo apt update sudo apt install wireshark
即使我们安装了旧版本的Wireshark,它也会更新为新版本。
在安装过程中,系统将询问我们是否允许非超级用户捕获数据包。选择是允许,选择否限制非超级用户捕获数据包并完成安装。
在没有sudo的情况下运行Wireshark
如果在先前的安装中选择了"否",则以root用户身份运行以下命令:
sudo dpkg-reconfigure wireshark-common
然后按Tab键,然后使用Enter键,选择Yes:
由于我们已允许非超级用户捕获数据包,因此必须将该用户添加到wireshark组。使用usermod命令将我们自己添加到wirehark组。
sudo usermod -aG wireshark $(whoami)
最后,重新启动Ubuntu系统以对系统进行必要的更改。
启动Wireshark
可以从应用程序启动器或者CLI启动Wireshark应用程序。
要从CLI开始,只需在控制台上键入wireshark:
wireshark
从GUI中,在搜索栏上搜索Wireshark应用程序,然后按Enter。
使用Wireshark捕获数据包
启动Wireshark时,我们将看到可用于捕获往返数据包的接口列表。
我们可以使用Wireshark监视许多类型的接口,例如有线,外部设备等。根据喜好,我们可以选择在欢迎屏幕中从下面给定图像的标记区域显示特定类型的接口。
例如,我只列出了有线网络接口。
接下来,要开始捕获数据包,我们必须选择接口(在我的情况下是ens33),然后单击"开始捕获数据包"图标
我们还可以同时捕获与多个接口之间的数据包。只需按住CTRL键,同时单击要与之捕获的接口,然后单击"开始捕获数据包"图标,如下图所示。
接下来,我尝试在终端中使用ping google.com命令,如我们所见,捕获了许多数据包。
现在,我们可以选择任何数据包以检查该特定数据包。单击特定的数据包后,我们可以看到有关与其关联的TCP / IP协议不同层的信息。
我们还可以在底部看到该特定数据包的RAW数据。
这就是为什么端到端加密很重要的原因
假设我们正在登录不使用HTTPS的网站。与我们位于同一网络上的任何人都可以嗅探数据包,并在RAW数据中查看用户名和密码。
这就是为什么大多数聊天应用程序使用端到端加密,而如今大多数网站使用https(而不是http)的原因。
停止Wireshark中的数据包捕获
我们可以单击给定图像中标记的红色图标以停止捕获Wireshark数据包。
将捕获的数据包保存到文件
我们可以单击下图中的标记图标,将捕获的数据包保存到文件中以备将来使用。
注意:输出可以导出为XML,PostScript®,CSV或者纯文本。
接下来,选择一个目标文件夹,然后键入文件名,然后单击"保存"。
然后选择文件,然后单击"打开"。
现在,我们可以随时打开并分析已保存的数据包。要打开文件,请按\ + o
或者转到"文件">"从Wireshark打开"。
