如何在Ubuntu下安裝wireshark抓包工具
一、如何安裝wireshark
本人在Ubuntu 16.04環境安裝wireshark時,使用命令:sudo apt-get install wireshark出現了不知道的錯誤,在網上查找了大多方法,都是指軟件倉庫不對,但是安裝他們的解決方法均不能解決,錯誤如下:
The following packages have unmet dependencies:
wireshark : Depends: wireshark-qt but it is not going to be installed or
wireshark-gtk but it is not going to be installed
最終Google到了解決方法1,如下所示:
Wireshark可以很容易地安裝在Ubuntu中:
sudo apt-get install libcap2-bin wireshark
不幸的是,如果不運行具有提升權限的wireshark(例如root),通常無法在任何接口上捕獲數據包:
sudo wireshark &
實現Privilege Separation需要遵循一系列步驟,有效地允許Wireshark GUI以普通用戶身份運行,而dumpcap(從您的接口收集數據包)以嗅探所需的提升權限運行。第一次嘗試:
sudo dpkg-reconfigure wireshark-common
並在提示時選擇“ 是”以確定非超級用戶是否應該能夠捕獲數據包。
如果這不起作用,請發出以下一系列命令,這些命令將配置dumpcap可執行文件以運行。請務必包括 YOUR_USER_NAME以下所示位置:
sudo chgrp YOUR_USER_NAME /usr/bin/dumpcap
sudo chmod 750 /usr/bin/dumpcap
sudo setcap cap_net_raw,cap_net_admin+eip /usr/bin/dumpcap
經本人驗證絕對可用,如圖,選擇OK,繼續即可。
安裝完成後,在終端執行命令:sudo wireshark 即可打開wireshark,如下圖:
二、如何抓取環回地址的包
在Windows的wireshark,是不能直接抓取環回地址127.0.0.1的報文的,因爲windows系統沒有提供本地迴環網絡的接口,用wireshark監控網絡的話只能看到經過網卡的流量,看不到訪問localhost的流量,要想抓取的話,可以安裝Npcap,具體請自行查找資料,在此我們介紹在Linux下利用tcpdump抓取報文,然後利用wireshark分析報文的方法
tcpdump是Linux下簡單而強大的命令,可以抓取Linux經過環回地址的流量,流經網卡的就更不用說了,但我們要先把抓取到的報文保存到文件,然後用wireshark打開分析,抓取本地包的命令如下:
即將捕獲報文保存到了104.pcap。然後我們用wireshark打開它,就可以方便地分析了。如下圖:
更多tcpdump和wireshark結合使用的方法,請見本人上一篇詳細博客:tcpdump 與 Wireshark 結合使用,附截圖詳細說明