Wireshark ist ein kostenloser und quelloffener, plattformübergreifender, GUI-basierter Netzwerkpaketanalysator das für Linux, Windows, MacOS, Solaris usw. verfügbar ist. Es erfasst Netzwerkpakete in Echtzeit und präsentiert sie in einem für Menschen lesbaren Format. Wireshark ermöglicht es uns, die Netzwerkpakete bis auf mikroskopische Ebene zu überwachen. Wireshark verfügt auch über ein Befehlszeilenprogramm namens "tshark". ‘, das die gleichen Funktionen wie Wireshark ausführt, jedoch über das Terminal und nicht über die GUI.
Wireshark kann zur Netzwerkfehlerbehebung, Analyse, Software- und Kommunikationsprotokollentwicklung und auch zu Bildungszwecken verwendet werden. Wireshark verwendet eine Bibliothek namens "pcap". ‘ zum Erfassen der Netzwerkpakete.
Wireshark bietet viele Funktionen und einige dieser Funktionen sind;
- Unterstützung für Hunderte von Prüfprotokollen
- Möglichkeit, Pakete in Echtzeit zu erfassen und für eine spätere Offline-Analyse zu speichern
- Eine Reihe von Filtern zum Analysieren von Daten
- Erfasste Daten können spontan komprimiert und dekomprimiert werden
- Verschiedene Dateiformate für die Datenanalyse werden unterstützt, die Ausgabe kann auch in XML-, CSV- und Nur-Text-Formaten gespeichert werden
- Daten können von einer Reihe von Schnittstellen wie Ethernet, WLAN, Bluetooth, USB, Frame Relay, Token Rings usw. erfasst werden.
In diesem Artikel werden wir besprechen, wie wir Wireshark auf Ubuntu/Debain-Rechnern installieren und wie wir Wireshark zum Erfassen von Netzwerkpaketen verwenden.
Installation von Wireshark auf Ubuntu 16.04 / 17.10
Wireshark ist mit Standard-Ubuntu-Repositories verfügbar und kann einfach mit dem folgenden Befehl installiert werden. Es besteht jedoch die Möglichkeit, dass Sie nicht die neueste Version von Wireshark erhalten.
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Um also die neueste Version von Wireshark zu installieren, müssen wir das offizielle Wireshark-Repository aktivieren oder konfigurieren .
Verwenden Sie die folgenden Befehle nacheinander, um das Repository zu konfigurieren und die neueste Version des Wireshark-Dienstprogramms zu installieren
[email protected]:~$ sudo add-apt-repository ppa:wireshark-dev/stable [email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Sobald Wireshark installiert ist, führen Sie den folgenden Befehl aus, damit Nicht-Root-Benutzer Live-Pakete von Schnittstellen erfassen können,
[email protected]:~$ sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
Installation von Wireshark auf Debian 9
Das Wireshark-Paket und seine Abhängigkeiten sind bereits in den standardmäßigen Debian 9-Repositories vorhanden. Um also die neueste und stabile Version von Wireshark auf Debian 9 zu installieren, verwenden Sie den folgenden Befehl:
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Während der Installation werden wir aufgefordert, dumpcap für Nicht-Superuser zu konfigurieren,
Wählen Sie „Ja“ und drücken Sie dann die Eingabetaste.
Sobald die Installation abgeschlossen ist, führen Sie den folgenden Befehl aus, damit Nicht-Root-Benutzer auch die Live-Pakete der Schnittstellen erfassen können.
[email protected]:~$ sudo chmod +x /usr/bin/dumpcap
Wir können auch das neueste Quellpaket verwenden, um Wireshark auf Ubuntu/Debain und vielen anderen Linux-Distributionen zu installieren.
Installieren von Wireshark mithilfe des Quellcodes auf Debian-/Ubuntu-Systemen
Laden Sie zuerst das neueste Quellpaket herunter (das zum Zeitpunkt des Schreibens dieses Artikels 2.4.2 war), verwenden Sie den folgenden Befehl,
[email protected]:~$ wget https://1.as.dl.wireshark.org/src/wireshark-2.4.2.tar.xz
Extrahieren Sie als nächstes das Paket und geben Sie es in das extrahierte Verzeichnis ein,
[email protected]:~$ tar -xf wireshark-2.4.2.tar.xz -C /tmp [email protected]:~$ cd /tmp/wireshark-2.4.2
Jetzt kompilieren wir den Code mit den folgenden Befehlen,
[email protected]:/tmp/wireshark-2.4.2$ ./configure --enable-setcap-install [email protected]:/tmp/wireshark-2.4.2$ make
Installieren Sie zuletzt die kompilierten Pakete, um Wireshark auf dem System zu installieren,
[email protected]:/tmp/wireshark-2.4.2$ sudo make install [email protected]:/tmp/wireshark-2.4.2$ sudo ldconfig
Bei der Installation wird auch eine separate Gruppe für Wireshark erstellt, wir fügen nun unseren Benutzer der Gruppe hinzu, damit er mit Wireshark arbeiten kann, andernfalls erhalten Sie möglicherweise „Berechtigung verweigert ‘Fehler beim Starten von Wireshark.
Um den Benutzer zur Wireshark-Gruppe hinzuzufügen, führen Sie den folgenden Befehl aus,
[email protected]:~$ sudo usermod -a -G wireshark linuxtechi
Jetzt können wir Wireshark entweder über das GUI-Menü oder über das Terminal mit diesem Befehl starten,
[email protected]:~$ wireshark
Zugriff auf Wireshark auf einem Debian 9-System
Klicken Sie auf das Wireshark-Symbol
Zugriff auf Wireshark unter Ubuntu 16.04 / 17.10
Klicken Sie auf das Wireshark-Symbol
Pakete erfassen und analysieren
Sobald Wireshark gestartet wurde, sollte uns das Wireshark-Fenster angezeigt werden, das Beispiel ist oben für Ubuntu- und Debian-Systeme gezeigt.
All dies sind die Schnittstellen, von denen wir die Netzwerkpakete erfassen können. Abhängig von den Schnittstellen, die Sie auf Ihrem System haben, kann dieser Bildschirm für Sie anders aussehen.
Wir wählen „enp0s3“ aus, um den Netzwerkverkehr für diese Schnittstelle zu erfassen. Nachdem Sie die Schnittstelle ausgewählt haben, beginnen Netzwerkpakete für alle Geräte in unserem Netzwerk zu füllen (siehe Screenshot unten)
Wenn wir diesen Bildschirm zum ersten Mal sehen, werden wir möglicherweise von den Daten, die auf diesem Bildschirm angezeigt werden, überwältigt und haben vielleicht darüber nachgedacht, wie wir diese Daten sortieren können, aber keine Sorge, eine der besten Funktionen von Wireshark sind seine Filter.
Wir können die Daten basierend auf IP-Adresse, Portnummer sortieren/filtern, können auch Quell- und Zielfilter, Paketgröße usw. verwenden und können auch 2 oder mehr Filter miteinander kombinieren, um umfassendere Suchen zu erstellen. Wir können unsere Filter entweder in „Apply a Display Filter“ schreiben ‘ Tab , oder wir können auch eine der bereits erstellten Regeln auswählen. Um einen vorgefertigten Filter auszuwählen, klicken Sie auf „Markieren“. ‘-Symbol neben ‘Anzeigefilter anwenden ‘Tab,
Wir können Daten auch basierend auf der Farbcodierung filtern. Standardmäßig ist hellviolett TCP-Verkehr , hellblau ist UDP-Verkehr , und Schwarz identifiziert Pakete mit Fehlern , um zu sehen, was diese Codes bedeuten, klicken Sie auf Anzeigen -> Ausmalregeln , auch wir können diese Codes ändern.
Nachdem wir die benötigten Ergebnisse haben, können wir auf eines der erfassten Pakete klicken, um weitere Details zu diesem Paket zu erhalten. Dadurch werden alle Daten zu diesem Netzwerkpaket angezeigt.
Wireshark ist ein extrem leistungsfähiges Tool, das einige Zeit braucht, um sich daran zu gewöhnen und einen Befehl darüber zu geben. Dieses Tutorial hilft Ihnen beim Einstieg. Bitte zögern Sie nicht, Ihre Fragen oder Vorschläge in das Kommentarfeld unten zu schreiben.