Wireshark jest darmowym analizatorem pakietów o otwartym kodzie źródłowym. Jest on używany do rozwiązywania problemów z siecią, analizy, tworzenia oprogramowania i protokołów komunikacyjnych. Pozwala zobaczyć, co dzieje się w sieci na poziomie mikroskopowym i jest standardem de facto (a często de jure) w wielu przedsiębiorstwach komercyjnych i non-profit, agencjach rządowych i instytucjach edukacyjnych. Wireshark jest narzędziem wieloplatformowym, które działa w systemach Linux, Microsoft Windows, macOS, BSD, Solaris i innych systemach operacyjnych Unix-like.
Table of Contents
Jak zainstalować Wiresharka w systemie Linux?
Aby zainstalować Wiresharka, wystarczy wpisać następujące polecenie w terminalu – sudo apt-get install Wireshark Wireshark zostanie zainstalowany i będzie dostępny do użycia. Jeśli uruchomisz Wiresharka jako użytkownik niebędący rootem (a powinieneś), na tym etapie napotkasz komunikat o błędzie o treści
„W tym systemie nie można używać żadnego interfejsu do przechwytywania w bieżącej konfiguracji”.Poniższe kroki pozwolą to naprawić.
Utwórz grupę Wiresharka.
sudo groupadd wireshark
Dodaj swoją nazwę użytkownika do grupy Wireshark –
sudo usermod -a -G wireshark USERNAME
Zmień własność grupową pliku dumpcap na wireshark –
sudo chgrp wireshark /usr/bin/dumpcap
Zmień tryb pliku dumpcap, aby zezwolić na wykonanie przez grupę wireshark –
sudo chmod 750 /usr/bin/dumpcap
Przyznaj uprawnienia za pomocą setcap –
sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
Weryfikuj zmianę –
sudo getcap /usr/bin/dumpcap
Do czego służy Wireshark?
Wireshark ma dość szerokie zastosowanie lub użycie. Oto kilka przykładów tego, do czego ludzie używają Wiresharka:
- Administratorzy sieci używają go do rozwiązywania problemów z siecią
- Inżynierowie bezpieczeństwa sieci używają go do badania problemów z bezpieczeństwem
- Deweloperzy używają go do debugowania implementacji protokołów
- Inni używają go do nauki wewnętrznych protokołów sieciowych
Funkcje w skrócie
Poniżej przedstawiono niektóre z wielu funkcji, jakie zapewnia Wireshark:
- Przechwytywanie danych pakietów na żywo z interfejsu sieciowego.
- Otwórz pliki zawierające dane pakietów przechwycone za pomocą programów tcpdump/WinDump, Wireshark i wielu innych programów do przechwytywania pakietów.
- Import pakietów z plików tekstowych zawierających zrzuty heksadecymalne danych pakietów.
- Wyświetlanie pakietów z bardzo szczegółowymi informacjami o protokole.
- Zapisywanie przechwyconych danych pakietów.
- Eksportowanie niektórych lub wszystkich pakietów w wielu formatach plików przechwytywania.
- Filtrowanie pakietów według wielu kryteriów.
- Wyszukiwanie pakietów według wielu kryteriów.
- Kolorowanie wyświetlania pakietów na podstawie filtrów.
- Tworzenie różnych statystyk.
Jak używać Wiresharka do inspekcji pakietów sieciowych w Linuksie?
Przechwytywanie pakietów
Po pobraniu i zainstalowaniu programu Wireshark możesz go uruchomić i kliknąć nazwę interfejsu w sekcji Interface List, aby rozpocząć przechwytywanie pakietów na tym interfejsie. Na przykład, jeśli chcesz przechwycić ruch w sieci bezprzewodowej, kliknij swój interfejs bezprzewodowy. Zaawansowane funkcje można skonfigurować klikając Capture Options.
Jak tylko klikniesz nazwę interfejsu, zobaczysz, że pakiety zaczną pojawiać się w czasie rzeczywistym. Wireshark przechwytuje każdy pakiet wysyłany do lub z twojego systemu. Jeśli dokonujesz przechwytywania na interfejsie bezprzewodowym i masz włączony tryb promiscuous w opcjach przechwytywania, zobaczysz również inne pakiety w sieci.
Kodowanie kolorami
Prawdopodobnie widzisz pakiety wyróżnione na zielono, niebiesko i czarno. Wireshark używa kolorów, aby pomóc w szybkiej identyfikacji typów ruchu. Domyślnie, kolor zielony oznacza ruch TCP, ciemnoniebieski – ruch DNS, jasnoniebieski – ruch UDP, a czarny identyfikuje pakiety TCP z problemami – na przykład, mogły zostać dostarczone poza kolejnością.
Wnioski
Jak wspomniałem wcześniej, Wireshark jest dostępny na wszystkich platformach, ale żadna z nich nie ma takiego parytetu funkcji jak Linux.
Wireshark jest niezwykle potężnym narzędziem, a ten samouczek tylko zarysowuje powierzchnię tego, co można z nim zrobić. Profesjonaliści używają go do debugowania implementacji protokołów sieciowych, badania problemów bezpieczeństwa i sprawdzania wewnętrznych elementów protokołów sieciowych. Sprawdź tę oficjalną DOKUMENTACJĘ, aby dowiedzieć się więcej o tym, co możesz zrobić z Wiresharkiem.
Hosting LinuxAndUbuntu jest sponsorowany przez massiveGRID
.