Ubuntu 16.04下安装网络流量分析工具 Wireshark

前端之家收集整理的这篇文章主要介绍了Ubuntu 16.04下安装网络流量分析工具 Wireshark前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

Ubuntu 16.04下安装网络流量分析工具 Wireshark

@H_502_4@如果你经常分析不同的网络协议和研究数据包,那么你一定听说过 Wireshark。与其它难以操作的命令行网络协议分析工具不同的是,Wireshark 拥有非常简洁易用的图形界面,使用 Wireshark 可以很容易地查看有线和无线网络的实时信息。与此同时,这款免费的开源工具还同时支持 Windows、Linux 和 OS X 等多种平台。

Wireshark 2.0.5发布带来了多项改进

@H_502_4@Wireshark 2.0.5 是 Wireshark 2.0 系列的第五个更新维护版本,该版本较上次更新而言,共解决用户所提交的 20 多项问题。

@H_502_4@此外该版本还修复了 9 个安全漏洞并更新了对协议和捕获文件支持,内置协议的支持更新包括:802.11 Radiotap、BGP、CAN、CANopen、H.248 Q.1950、IPv4、IPv6、LANforge、LDSS、MPTCP、OSPF、PacketBB、PRP、RLC、RMT-FEC、RSVP、RTP MIDI、T.30、TDS、USB、WAP、WBXML、WiMax RNG-RSP 和 WSP。

@H_502_4@需要指出的是,该版本只是问题修复和支持更新,并未带来任何新功能和对新协议或文件格式的支持。如果你想了解完全的 Wireshark 2.0.5 更新日志,可以访问发行说明

@H_502_4@Wireshark 2.0.5下载

@H_502_4@Ubuntu13.10 安装 Wiresharkhttp://www.linuxidc.com/Linux/2015-08/121326.htm

@H_502_4@网络抓包工具Wireshark的简单使用http://www.linuxidc.com/Linux/2013-05/84174.htm

@H_502_4@Ubuntu 12.04 下安装Wiresharkhttp://www.linuxidc.com/Linux/2012-06/63582.htm

@H_502_4@Linux中从普通用户启动Wireshark抓包http://www.linuxidc.com/Linux/2012-06/63580.htm

@H_502_4@Linux下安装和运行Wiresharkhttp://www.linuxidc.com/Linux/2014-09/106522.htm

@H_502_4@下面说说在 Ubuntu 16.04下安装网络流量分析工具 Wireshark 的方法及问题解决

@H_502_4@sudo apt-add-repository ppa:wireshark-dev/stable

@H_502_4@sudo apt-get update

@H_502_4@sudo apt-get install wireshark

@H_502_4@sudo dpkg-reconfigure wireshark-common

@H_502_4@中间要设定,见下图:

@H_502_4@这样就安装好了。在Ubuntu下使用Wireshark也是很有必要的,虽然我们可以使用tcpdump等工具。

@H_502_4@出于安全方面的考虑,普通用户不能够打开网卡设备进行抓包,wireshark不建议用户通过sudo在root权限下运行,wireshark为ubuntu(Debian)用户提供了一种在非root下的解决方法

@H_502_4@具体步骤:

@H_502_4@2. dpkg-reconfigure wireshark-common

@H_502_4@“Should non-superusers be able to capture packages?”

@H_502_4@选择Yes (默认是no)

@H_502_4@3. sudo vim /etc/group

@H_502_4@如下图

@H_502_4@在组策略中会出现wireshark组,默认没有任何用户属于这个组,只需把特定的用户加入组中(需要注销后重新登录来使设置生效)就可以以该用户来运行wireshark实时抓网络数据包

@H_502_4@再次打开:

@H_502_4@安装、运行Wireshark并开始分析网络是非常简单的。

@H_502_4@使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。

@H_502_4@过犹不及。

@H_502_4@这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。

@H_502_4@-

@H_502_4@- 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。

@H_502_4@显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改

@H_502_4@那么我应该使用哪一种过滤器呢?

@H_502_4@两种过滤器的目的是不同的。

@H_502_4@捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件

@H_502_4@显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

@H_502_4@两种过滤器使用的语法是完全不同的。我们将在接下来对它们进行介绍:

@H_502_4@1. 捕捉过滤器

@H_502_4@捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。

@H_502_4@设置捕捉过滤器的步骤是:

@H_502_4@- 选择 capture -> options。

@H_502_4@- 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。

@H_502_4@- 点击开始(Start)进行捕捉。

@H_502_4@Protocol(协议):
可能的值: ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp and udp.
如果没有特别指明是什么协议,则默认使用所有支持的协议。
Direction(方向):

@H_502_4@可能的值: src,dst,src and dst,src or dst
如果没有特别指明来源或目的地,则默认使用 "src or dst" 作为关键字。
例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。

@H_502_4@Host(s):

@H_502_4@可能的值: net,port,host,portrange.
如果没有指定此值,则默认使用"host"关键字。
例如,"src 10.1.1.1"与"src host 10.1.1.1"相同。

@H_502_4@Logical Operations(逻辑运算):

@H_502_4@可能的值:not,and,or.
否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级,运算时从左至右进行。
例如,
"not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。
"not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。

@H_502_4@例子:

@H_502_4@tcp dst port 3128

@H_502_4@显示目的TCP端口为3128的封包。

@H_502_4@ip src host 10.1.1.1

@H_502_4@显示来源IP地址为10.1.1.1的封包。

@H_502_4@host 10.1.2.3

@H_502_4@显示目的或来源IP地址为10.1.2.3的封包。

@H_502_4@src portrange 2000-2500

@H_502_4@显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。

@H_502_4@not imcp

@H_502_4@显示除了icmp以外的所有封包。(icmp通常被ping工具使用)

@H_502_4@src host 10.7.2.12 and not dst net 10.200.0.0/16

@H_502_4@显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。

@H_502_4@(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

@H_502_4@显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。

@H_502_4@注意事项:
当使用关键字作为值时,需使用反斜杠“\”。
"ether proto \ip" (与关键字"ip"相同).
这样写将会以IP协议作为目标。
"ip proto \icmp" (与关键字"icmp"相同).
这样写将会以ping工具常用的icmp作为目标。
可以在"ip"或"ether"后面使用"multicast"及"broadcast"关键字。
当您想排除广播请求时,"no broadcast"就会非常有用。

@H_502_4@Wireshark 的详细介绍请点这里
Wireshark 的下载地址请点这里

@H_502_4@更多Ubuntu相关信息见Ubuntu专题页面http://www.linuxidc.com/topicnews.aspx?tid=2

猜你在找的Ubuntu相关文章