Wireshark er en netværkspakkeanalysator. Det fanger hver pakke, der kommer ind eller ud af en netværksgrænseflade og viser dem i en pænt formateret tekst. Det bruges af netværksingeniører over hele verden.

Wireshark er på tværs af platforme og er tilgængelig til Linux, Windows og Mac OS. Du får den samme brugeroplevelse i ethvert operativsystem, du bruger.

For at lære mere om Wireshark, besøg Wiresharks officielle hjemmeside på https: // www.wireshark.org

I denne artikel vil jeg vise dig, hvordan du installerer Wireshark på Ubuntu, og hvordan du bruger det. Jeg bruger Ubuntu 18.04 LTS til demonstrationen. Men det skal fungere på enhver LTS-version af Ubuntu, der stadig understøttes på tidspunktet for denne skrivning. Lad os komme igang.

Installation af Wireshark:

Wireshark er tilgængelig i det officielle pakkeopbevaringssted for Ubuntu 14.04 LTS og senere. Så det er virkelig let at installere.

Opdater først APT-pakkeopbevaringscachen med følgende kommando:

$ sudo apt opdatering

APT-pakkeopbevaringscachen skal opdateres.

Kør nu følgende kommando for at installere Wireshark på din Ubuntu-maskine:

$ sudo apt installere wireshark

Tryk nu y og tryk derefter på .

Som standard skal Wireshark startes som rod (kan også gøres med sudo) privilegier for at arbejde. Hvis du vil køre Wireshark uden rod privilegier eller uden sudo, vælg derefter og tryk på .

Wireshark skal installeres.

Nu hvis du valgte i det tidligere afsnit for at køre Wireshark uden rodadgang, kør derefter følgende kommando for at tilføje din bruger til wireshark gruppe:

$ sudo usermod -aG wireshark $ (whoami)

Til sidst skal du genstarte din computer med følgende kommando:

$ sudo genstart

Start af Wireshark:

Nu hvor Wireshark er installeret, kan du starte Wireshark fra Applikationsmenu af Ubuntu.

Du kan også køre følgende kommando for at starte Wireshark fra terminalen:

$ wireshark

Hvis du ikke aktiverede Wireshark til at køre uden rod privilegier eller sudo, så skulle kommandoen være:

$ sudo wireshark

Wireshark skal starte.

Indsamling af pakker ved hjælp af Wireshark:

Når du starter Wireshark, vil du se en liste over grænseflader, som du kan fange pakker til og fra.

Der er mange typer grænseflader, som du f.eks. Kan overvåge ved hjælp af Wireshark, Kablet, Trådløs, USB og mange eksterne enheder. Du kan vælge at vise bestemte typer grænseflader på velkomstskærmen fra det markerede afsnit på skærmbilledet nedenfor.

Her nævnte jeg kun Kablet netværksgrænseflader.

Nu for at begynde at fange pakker skal du bare vælge grænsefladen (i mit tilfælde grænseflade ens33) og klik på Begynd at fange pakker som markeret i skærmbilledet nedenfor. Du kan også dobbeltklikke på den grænseflade, som du vil fange pakker til og fra for at begynde at fange pakker på den pågældende grænseflade.

Du kan også fange pakker til og fra flere grænseflader på samme tid. Bare tryk og hold nede og klik på de grænseflader, du vil fange pakker til og fra, og klik derefter på Begynd at fange pakker som markeret i skærmbilledet nedenfor.

Brug af Wireshark på Ubuntu:

Jeg er ved at fange pakker på ens33 kabelforbundet netværksgrænseflade, som du kan se på skærmbilledet nedenfor. Lige nu har jeg ingen fangede pakker.

Jeg pingede google.com fra terminalen, og som du kan se, blev mange pakker fanget.

Nu kan du klikke på en pakke for at vælge den. Valg af en pakke viser mange oplysninger om den pakke. Som du kan se, vises oplysninger om forskellige lag af TCP / IP-protokol.

Du kan også se RAW-data for den pågældende pakke.

Du kan også klikke på pilene for at udvide pakkedata for et bestemt TCP / IP-protokollag.

Filtrering af pakker ved hjælp af Wireshark:

På et travlt netværk fanges tusinder eller millioner af pakker hvert sekund. Så listen vil være så lang, at det næsten er umuligt at rulle gennem listen og søge efter en bestemt type pakke.

Den gode ting er, at i Wireshark kan du filtrere pakkerne og kun se de pakker, du har brug for.

For at filtrere pakker kan du direkte skrive filterudtrykket i tekstboksen som markeret i skærmbilledet nedenfor.

Du kan også filtrere pakker fanget af Wireshark grafisk. For at gøre det skal du klikke på Udtryk… som markeret i skærmbilledet nedenfor.

Et nyt vindue skal åbnes som vist på skærmbilledet nedenfor. Herfra kan du oprette filterudtryk til søgepakker meget specifikt.

I Feltnavn sektion næsten alle netværksprotokoller er angivet. Listen er enorm. Du kan indtaste, hvilken protokol du leder efter i Søg tekstboks og Feltnavn sektion ville vise dem, der matchede.

I denne artikel skal jeg filtrere alle DNS-pakker ud. Så jeg valgte DNS Domain Name System fra Feltnavn liste. Du kan også klikke på pil på enhver protokol

Og gør dit valg mere specifikt.

Du kan også bruge relationsoperatører til at teste, om et felt er lig med, ikke lig med, større end eller mindre end en eller anden værdi. Jeg søgte efter alle de DNS IPv4 adresse, der er lig med 192.168.2.1 som du kan se på skærmbilledet nedenfor.

Filterudtrykket vises også i det markerede afsnit på skærmbilledet nedenfor. Dette er en fantastisk måde at lære at skrive filterudtryk i Wireshark.

Når du er færdig, skal du bare klikke på Okay.

Klik nu på det markerede ikon for at anvende filteret.

Som du kan se, vises kun DNS-protokolpakkerne.

Stop pakkeopsamling i Wireshark:

Du kan klikke på det røde ikon som markeret i skærmbilledet nedenfor for at stoppe med at fange Wireshark-pakker.

Gemme fangede pakker i en fil:

Du kan klikke på det markerede ikon for at gemme indfangne ​​pakker i en fil til fremtidig brug.

Vælg nu en destinationsmappe, skriv filnavnet og klik på Gemme.

Filen skal gemmes.

Nu kan du åbne og analysere de gemte pakker når som helst. Gå til for at åbne filen Fil > Åben fra Wireshark eller tryk + o

Vælg derefter filen, og klik på Åben.

De fangede pakker skal indlæses fra filen.

Så det er sådan, du installerer og bruger Wireshark på Ubuntu. Tak, fordi du læste denne artikel.