一、简介
• Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
• Wireshark不是入侵侦测软件(Intrusion DetectionSoftware,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。
二、wireshark的安装
•1、方法一:
如果是ubuntu版本系统的话,最简单的在软件中心搜索wireshark直接点安装。(需要机器连接网络)
•2、方法二:适合debian的系统
使用apt-get命令安装(前提是机器能够连接网络)
•在终端执行以下命令:
•$sudo apt-get install wireshark
•等待片刻即可--------
•注:有一个问题就是,以上的两种安装方法安装结束后,如果不进行任何设置的话,wireshark还是不能使用。这时打开wireshark会提示“thereare no interfaces on which a capturecan be done”。原因是出于安全方面的考虑,普通用户不能够打开网卡设备进行抓包(即在默认情况下,普通用户没有截取网络数据的权限)。
•当然,可以通过运行#sudo wireshark,这样可以正常使用wireshark,但这并不是一个好方法,正如wireshark提示的那样:
•“Running as user "root" and group "root".
•This could be dangerous.
•If you're running Wireshark this way in order to perform live capture, you may want to be awarethat there is a better way documented at
•/usr/share/doc/wireshark-common/README.Debian”
•wireshark为ubuntu(Debian)用户提供了一种在非root下的解决方法。
•具体步骤:
•(1)执行:
•$sudo dpkg-reconfigure wireshark-common(会创建wireshark用户组)
•出现一个图形提示界面
•“Should non-superusers be able to capturepackages?”
•选择Yes(默认是no)
•(2)在wireshark组后添加用户
•$sudo usermod -a -G wireshark $USER
•在组策略中会出现wireshark组,默认没有任何用户属于这个组,只需把特定的用户加入组中
•(需要注销后重新登录来使设置生效)就可以以该用户来运行wireshark实时抓网络数据包。
•执行完以上两步操作后重启系统完成配置就可以了,直接在终端键入“wireshark”命令即可。
•3、方法三:源码包编译安装
(1)安装编译工具:
$sudo apt-get install build-essential
(2)为了成功编译Wireshark,您需要安装GTK+的开发文件和GLib库(libraries)。
$sudo apt-get install libgtk2.0-dev libglib2.0-dev
(3)安装Checkinstall以便管理您系统中直接由源代码编译安装的软件。
$sudo apt-get install checkinstall
(4)编译安装libpcap.
(5)编译安装wireshark:
$./configure
$make
$sudo make install
其中make编译时间会比较长,这样下来就基本安装了。
三、Linux下wireshark的使用
•1、终端下执行:$wireshark,出现图形界面窗口
•2、配置选项:captureoptions
•主要设置:接口(interface)、工作模式(混杂模式)、Display options、capture filter(可以空着)
•3、点击start开始抓取数据包
•4、分析数据包
注:具体的界面操作本文在这里就不做介绍了