一、简介
•Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。 •Wireshark不是入侵侦测软件(IntrusionDetectionSoftware,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。二、wireshark的安装
•1、方法一:
如果是ubuntu版本系统的话,最简单的在软件中心搜索wireshark直接点安装。(需要机器连接网络)•2、方法二:适合debian的系统
使用apt-get命令安装(前提是机器能够连接网络) •在终端执行以下命令: •$sudo apt-get installwireshark •等待片刻即可-------- •注:有一个问题就是,以上的两种安装方法安装结束后,如果不进行任何设置的话,wireshark还是不能使用。这时打开wireshark会提示“thereare no interfaces on which a capturecan be done”。原因是出于安全方面的考虑,普通用户不能够打开网卡设备进行抓包(即在默认情况下,普通用户没有截取网络数据的权限)。 •当然,可以通过运行#sudowireshark,这样可以正常使用wireshark,但这并不是一个好方法,正如wireshark提示的那样: •“Running as user "root" and group "root". •This could be dangerous. •If you're runningWireshark this way in order to perform live capture, you may want to be awarethat there is a better way documented at •/usr/share/doc/wireshark-common/README.Debian” •wireshark为ubuntu(Debian)用户提供了一种在非root下的解决方法。 •具体步骤: •(1)执行: •$sudodpkg-reconfigurewireshark-common(会创建wireshark用户组) •出现一个图形提示界面 •“Should non-superusers be able tocapturepackages?” •选择Yes(默认是no) •(2)在wireshark组后添加用户 •$sudousermod -a -Gwireshark $USER •在组策略中会出现wireshark组,默认没有任何用户属于这个组,只需把特定的用户加入组中 •(需要注销后重新登录来使设置生效)就可以以该用户来运行wireshark实时抓网络数据包。 •执行完以上两步操作后重启系统完成配置就可以了,直接在终端键入“wireshark”命令即可。•3、方法三:源码包编译安装
(1)安装编译工具:
$sudo apt-get install build-essential
(2)为了成功编译Wireshark,您需要安装GTK+的开发文件和GLib库(libraries)。
$sudo apt-get install libgtk2.0-dev libglib2.0-dev
(3)安装Checkinstall以便管理您系统中直接由源代码编译安装的软件。
$sudo apt-get installcheckinstall
(4)编译安装libpcap.
(5)编译安装wireshark:
$./configure
$make
$sudo make install
其中make编译时间会比较长,这样下来就基本安装了。
三、Linux下wireshark的使用
•1、终端下执行:$wireshark,出现图形界面窗口 •2、配置选项:captureoptions •主要设置:接口(interface)、工作模式(混杂模式)、Display options、capture filter(可以空着) •3、点击start开始抓取数据包 •4、分析数据包注:具体的界面操作本文在这里就不做介绍了