一、簡介
•
Wireshark(前稱Ethereal)是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包,並儘可能顯示出最爲詳細的網絡封包資料。
•
Wireshark不是入侵偵測軟件(Intrusion
DetectionSoftware,IDS)。對於網絡上的異常流量行爲,Wireshark不會產生警示或是任何提示。然而,仔細分析Wireshark擷取的封包能夠幫助使用者對於網絡行爲有更清楚的瞭解。Wireshark不會對網絡封包產生內容的修改,它只會反映出目前流通的封包資訊。
Wireshark本身也不會送出封包至網絡上。
二、wireshark的安裝
•1、方法一:
如果是ubuntu版本系統的話,最簡單的在軟件中心搜索wireshark直接點安裝。(需要機器連接網絡)
•2、方法二:適合debian的系統
使用apt-get命令安裝(前提是機器能夠連接網絡)
•在終端執行以下命令:
•$sudo apt-get install
wireshark
•等待片刻即可--------
•注:有一個問題就是,以上的兩種安裝方法安裝結束後,如果不進行任何設置的話,wireshark還是不能使用。這時打開wireshark會提示“thereare
no interfaces on which a capturecan be done”。原因是出於安全方面的考慮,普通用戶不能夠打開網卡設備進行抓包(即在默認情況下,普通用戶沒有截取網絡數據的權限)。
•當然,可以通過運行#sudo
wireshark,這樣可以正常使用wireshark,但這並不是一個好方法,正如wireshark提示的那樣:
•“Running as user "root" and group "root".
•This could be dangerous.
•If you're running
Wireshark this way in order to perform live capture, you may want to be awarethat there is a better way documented at
•/usr/share/doc/wireshark-common/README.Debian”
•wireshark爲ubuntu(Debian)用戶提供了一種在非root下的解決方法。
•具體步驟:
•(1)執行:
•$sudo
dpkg-reconfigure
wireshark-common(會創建wireshark用戶組)
•出現一個圖形提示界面
•“Should non-superusers be able to
capturepackages?”
•選擇Yes(默認是no)
•(2)在wireshark組後添加用戶
•$sudo
usermod -a -G
wireshark $USER
•在組策略中會出現wireshark組,默認沒有任何用戶屬於這個組,只需把特定的用戶加入組中
•(需要註銷後重新登錄來使設置生效)就可以以該用戶來運行wireshark實時抓網絡數據包。
•執行完以上兩步操作後重啓系統完成配置就可以了,直接在終端鍵入“wireshark”命令即可。
•3、方法三:源碼包編譯安裝
(1)安裝編譯工具:
$sudo apt-get install build-essential
(2)爲了成功編譯Wireshark,您需要安裝GTK+的開發文件和GLib庫(libraries)。
$sudo apt-get install libgtk2.0-dev libglib2.0-dev
(3)安裝Checkinstall以便管理您系統中直接由源代碼編譯安裝的軟件。
$sudo apt-get install checkinstall
(4)編譯安裝libpcap.
(5)編譯安裝wireshark:
$./configure
$make
$sudo make install
其中make編譯時間會比較長,這樣下來就基本安裝了。
三、Linux下wireshark的使用
•1、終端下執行:$wireshark,出現圖形界面窗口
•2、配置選項:captureoptions
•主要設置:接口(interface)、工作模式(混雜模式)、Display options、capture filter(可以空着)
•3、點擊start開始抓取數據包
•4、分析數據包
注:具體的界面操作本文在這裏就不做介紹了