Wireshark on ilmainen ja avoimen lähdekoodin pakettianalysaattori. Sitä käytetään verkon vianmääritykseen, analysointiin, ohjelmistojen ja tietoliikenneprotokollien kehittämiseen. Sen avulla näet, mitä verkossa tapahtuu mikroskooppisella tasolla, ja se on de facto (ja usein de jure) standardi monissa kaupallisissa ja voittoa tavoittelemattomissa yrityksissä, valtion virastoissa ja oppilaitoksissa. Wireshark on monialustatyökalu, joka toimii Linuxissa, Microsoft Windowsissa, macOS:ssä, BSD:ssä, Solariksessa ja muissa Unixin kaltaisissa käyttöjärjestelmissä.
Sisällysluettelo
Miten Wireshark asennetaan Linuxiin?
Asenna Wireshark vain kirjoittamalla terminaaliin seuraava komento – sudo apt-get install Wireshark Wireshark asennetaan tämän jälkeen ja se on käytettävissä. Jos suoritat Wiresharkia muuna kuin root-käyttäjänä (minkä pitäisi tapahtua), tulet tässä vaiheessa törmäämään virheilmoitukseen, jossa lukee.
”No interface can be used for capturing in this system with the current configuration.” Seuraavat vaiheet korjaavat tämän.
Luo Wireshark-ryhmä.
sudo groupadd wireshark
Lisää käyttäjätunnuksesi Wireshark-ryhmään –
sudo usermod -a -G wireshark USERNAME
Vaihda tiedoston dumpcap ryhmän omistusoikeus wiresharkiksi –
sudo chgrp wireshark /usr/bin/dumpcap
Vaihda tiedoston tila. dumpcap sallimaan suorituksen ryhmälle wireshark –
sudo chmod 750 /usr/bin/dumpcap
Mahdollistaa kyvyt setcapilla –
sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
Varmista muutos –
sudo getcap /usr/bin/dumpcap
Mihin Wiresharkia käytetään?
Wiresharkilla on varsin laaja sovellus tai käyttö. Tässä muutamia esimerkkejä siitä, mihin Wiresharkia käytetään:
- Verkonvalvojat käyttävät sitä verkko-ongelmien vianmääritykseen
- Verkkoturva-insinöörit käyttävät sitä tietoturvaongelmien tutkimiseen
- Kehittäjät käyttävät sitä protokollatoteutusten debuggaamiseen
- Muut käyttävät sitä verkkoprotokollien sisäisten ominaisuuksien oppimiseen
Ominaisuudet yhdellä silmäyksellä
Seuraavassa on lueteltu joitain niistä monista ominaisuuksista mitä Wireshark tarjoaa:
- Sieppaa suoraa pakettidataa verkkoliitännästä.
- Avaa tiedostoja, jotka sisältävät tcpdump/WinDumpilla, Wiresharkilla ja useilla muilla pakettien kaappausohjelmilla kaapattuja pakettitietoja.
- Tuo paketteja tekstitiedostoista, jotka sisältävät pakettidatan heksadumppia.
- Näytä paketteja erittäin yksityiskohtaisilla protokollatiedoilla.
- Tallenna kaapattuja pakettitietoja.
- Vie joitain paketteja tai kaikki paketit useissa kaappaustiedostomuodoissa.
- Suodattaa paketteja monilla kriteereillä.
- Etsii paketteja monilla kriteereillä.
- Värittää pakettien näyttöä suodattimien perusteella.
- Luoda erilaisia tilastoja.
Miten Wiresharkia käytetään verkkopakettien tarkastamiseen Linuxissa?
Pakettien kaappaaminen
Kun olet ladannut ja asentanut Wiresharkin, voit käynnistää sen ja napsauttaa liitännän nimeä Interface List -kohdassa aloittaaksesi pakettien kaappaamisen kyseisestä liitännästä. Jos esimerkiksi haluat kaapata langattoman verkon liikennettä, napsauta langatonta liitäntää. Voit määrittää lisäominaisuuksia napsauttamalla Capture Options.
Heti kun napsautat käyttöliittymän nimeä, näet, että paketit alkavat näkyä reaaliajassa. Wireshark kaappaa jokaisen järjestelmään tai järjestelmästä lähetetyn paketin. Jos kaappaat langattoman liitännän ja kaappausasetuksissa on otettu käyttöön promiscuous-tila, näet myös muut verkon muut paketit.
Värikoodaus
Värikoodaus
Näet todennäköisesti vihreällä, sinisellä ja mustalla korostettuja paketteja. Wireshark käyttää värejä, jotta voit tunnistaa liikennetyypit yhdellä silmäyksellä. Oletusarvoisesti vihreä on TCP-liikennettä, tummansininen on DNS-liikennettä, vaaleansininen on UDP-liikennettä, ja musta tunnistaa TCP-paketit, joissa on ongelmia – ne on esimerkiksi voitu toimittaa epäkunnossa.
Johtopäätökset
Kuten aiemmin mainitsin, Wireshark on saatavilla kaikille alustoille, mutta millään näistä muista alustoista ei ole Linuxin ominaisuuksien tasoa.
Wireshark on erittäin tehokas työkalu, ja tämä opetusohjelma raapaisee vasta pintaa siitä, mitä sillä voi tehdä. Ammattilaiset käyttävät sitä verkkoprotokollatoteutusten debuggaamiseen, tietoturvaongelmien tutkimiseen ja verkkoprotokollan sisäisten osien tarkastamiseen. Tutustu tähän viralliseen DOKUMENTTIIN, josta löydät lisää siitä, mitä Wiresharkilla voi tehdä.
LinuxAndUbuntu hosting is sponsored by massiveGRID
