Linux中國

Ubuntu 上 Wireshark 的安裝與使用

Wireshark 適用於所有主流 Linux 發行版。你應該查看官方安裝說明。因為在本教程中,我將著重在僅基於 Ubuntu 的發行版上安裝最新版本的 Wireshark

Wireshark 可以在 Ubuntu 的 Universe 存儲庫中找到。你可以啟用 universe 存儲庫,然後按如下方式安裝:

sudo add-apt-repository universe
sudo apt install wireshark

這種方法的一個小問題是,你可能並不總是得到最新版本的 Wireshark 。

例如,在 Ubuntu 18.04 中,如果你使用 apt 命令檢查 Wireshark 的可用版本,可用版本會顯示是 2.6 。

abhishek@nuc:~$ apt show wireshark
Package: wireshark
Version: 2.6.10-1~ubuntu18.04.0
Priority: optional
Section: universe/net
Origin: Ubuntu
Maintainer: Balint Reczey <rbalint@ubuntu.com>

然而, Wireshark 3.2 穩定版已經在幾個月前發布了。當然,新版本擁有新的特性。

那麼在這種情況下,你應該怎麼辦呢?謝天謝地, Wireshark 開發者提供了一種官方 PPA 方式,你可以使用它在 Ubuntu 和其它基於 Ubuntu 的發行版上安裝最新穩定版本的 Wireshark.

我希望你熟悉 PPA。如果沒有,請閱讀我們關於 PPA 的優秀指南,以便完全理解它

打開終端並逐個使用以下命令:

sudo add-apt-repository ppa:wireshark-dev/stable
sudo apt update
sudo apt install wireshark

即使安裝了舊版本的 Wireshark ,它也將更新為新版本。

安裝時,系統將詢問你是否允許非超級用戶捕獲數據包。選擇「Yes」允許,選擇「No」限制非超級用戶捕獲數據包,最後完成安裝。

不使用 sudo 運行 Wireshark

如果在上一次安裝中選擇了「No」,則以 root 用戶身份運行以下命令:

sudo dpkg-reconfigure wireshark-common

然後按 tab 鍵並使用回車鍵選擇「No」:

由於你允許非超級用戶捕獲數據包,因此你必須將該用戶添加到 wireshark 組。使用 usermod 命令將自己添加到 wireshark 組。

sudo usermod -aG wireshark $(whoami)

最後,重啟你的 Ubuntu 系統對你的系統進行必要的修改。

冷知識

Wireshark 於 1998 年首次發布,最初被稱為 Ethereal 。2006 年,由於商標問題,開發商不得不將其名稱改為 Wireshark 。

啟動 Wireshark

你可以從應用程序啟動器或者命令行啟動 Wireshark 應用。

如果從命令行啟動,只需要在你的控制台中輸入 wireshark

wireshark

要是從圖形化界面啟動,需要在搜索欄搜索 Wireshark 應用,並按回車鍵。

現在,讓我們來玩玩 Wireshark 吧。

使用 Wireshark 捕獲數據包

當你啟動 Wireshark 的時候,你會看到一個介面列表,你可以使用它來捕獲這個介面接收和發送的數據包。

你可以使用 Wireshark 監視許多類型的介面,例如,有線、外部設備等。根據你的偏好,你可以從下圖中的標記區域選擇在歡迎屏幕中顯示特定類型的介面。

Select interface

例如,我只列出了有線網路介面。

接下來,要開始捕獲數據包,你必須選擇介面(在我的示例中是 ens33 ),然後單擊「Start capturing packets」圖標,如下圖所示。

Start capturing packets with Wireshark

你還可以同時從多個介面捕獲數據包。只需按住 CTRL 按鈕,同時單擊要捕獲的介面,然後點擊「Start capturing packets」圖標,如下圖所示。

接下來,我嘗試在終端中使用 ping google.com 命令,如你所見,捕獲了許多數據包。

Captured packets

現在你可以選擇任何數據包來檢查該特定數據包。在點擊一個特定的包之後,你可以看到與它相關的 TCP/IP 協議的不同層的信息。

Packet info

你還可以在底部看到該特定數據包的原始數據,如下圖所示。

Check RAW data in the captured packets

這就是為什麼端到端加密很重要。

假設你正在登錄一個不使用 HTTPS 的網站。與你在同一網路上的任何人都可以嗅探數據包,並在原始數據中看到用戶名和密碼。

這就是為什麼現在大多數聊天應用程序使用端到端加密,而大多數網站使用 https (而不是 http)。

在 Wireshark 中停止數據包捕獲

你可以點擊如圖所示的紅色圖標停止捕獲數據包。

Stop packet capture in Wireshark

將捕獲的數據包保存成文件

你可以單擊下圖中標記的圖標,將捕獲的數據包保存到文件中以備將來使用。

Save captured packets by Wireshark

注意:輸出可以導出為 XML、PostScript、CSV 或純文本。

接下來,選擇一個目標文件夾,鍵入文件名並單擊「Save」。

然後選擇文件並單擊「Open」。

現在你可以隨時打開和分析保存的數據包。要打開文件,請按 +o,或從 Wireshark 轉到 「File > Open」。

捕獲的數據包將從文件中載入。

結語

Wireshark 支持許多不同的通信協議。有許多選項和功能,使你能夠以獨特的方式捕獲和分析網路數據包。你可以從 Wireshark 的官方文檔了解更多關於 Wireshark 的信息。

我希望這個教程能幫助你在 Ubuntu 上安裝 Wireshark 。請讓我知道你的問題和建議。

via: https://itsfoss.com/install-wireshark-ubuntu/

作者:Community 選題:lujun9972 譯者:qianmigntian 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國