Ubuntu 16.04下安装网络流量分析工具 Wireshark

@H_502_4@如果你经常分析不同的网络协议和研究数据包，那么你一定听说过 Wireshark。与其它难以操作的命令行网络协议分析工具不同的是，Wireshark 拥有非常简洁易用的图形界面，使用 Wireshark 可以很容易地查看有线和无线网络的实时信息。与此同时，这款免费的开源工具还同时支持 Windows、Linux 和 OS X 等多种平台。

Wireshark 2.0.5发布带来了多项改进

@H_502_4@Wireshark 2.0.5 是 Wireshark 2.0 系列的第五个更新维护版本，该版本较上次更新而言，共解决了用户所提交的 20 多项问题。

@H_502_4@此外该版本还修复了 9 个安全漏洞并更新了对协议和捕获文件的支持，内置协议的支持更新包括：802.11 Radiotap、BGP、CAN、CANopen、H.248 Q.1950、IPv4、IPv6、LANforge、LDSS、MPTCP、OSPF、PacketBB、PRP、RLC、RMT-FEC、RSVP、RTP MIDI、T.30、TDS、USB、WAP、WBXML、WiMax RNG-RSP 和 WSP。

@H_502_4@需要指出的是，该版本只是问题修复和支持更新，并未带来任何新功能和对新协议或文件格式的支持。如果你想了解完全的 Wireshark 2.0.5 更新日志，可以访问发行说明。

@H_502_4@Wireshark 2.0.5下载

@H_502_4@Ubuntu13.10 安装 Wiresharkhttp://www.linuxidc.com/Linux/2015-08/121326.htm

@H_502_4@网络抓包工具Wireshark的简单使用http://www.linuxidc.com/Linux/2013-05/84174.htm

@H_502_4@Ubuntu 12.04 下安装Wiresharkhttp://www.linuxidc.com/Linux/2012-06/63582.htm

@H_502_4@Linux中从普通用户启动Wireshark抓包http://www.linuxidc.com/Linux/2012-06/63580.htm

@H_502_4@Linux下安装和运行Wiresharkhttp://www.linuxidc.com/Linux/2014-09/106522.htm

@H_502_4@下面说说在 Ubuntu 16.04下安装网络流量分析工具 Wireshark 的方法及问题解决。

@H_502_4@sudo apt-add-repository ppa:wireshark-dev/stable

@H_502_4@sudo apt-get update

@H_502_4@sudo apt-get install wireshark

@H_502_4@sudo dpkg-reconfigure wireshark-common

@H_502_4@中间要设定，见下图：

@H_502_4@这样就安装好了。在Ubuntu下使用Wireshark也是很有必要的，虽然我们可以使用tcpdump等工具。

@H_502_4@出于安全方面的考虑，普通用户不能够打开网卡设备进行抓包，wireshark不建议用户通过sudo在root权限下运行，wireshark为ubuntu（Debian）用户提供了一种在非root下的解决方法。

@H_502_4@具体步骤：

@H_502_4@2. dpkg-reconfigure wireshark-common

@H_502_4@“Should non-superusers be able to capture packages?”

@H_502_4@选择Yes （默认是no）

@H_502_4@3. sudo vim /etc/group

@H_502_4@如下图

@H_502_4@在组策略中会出现wireshark组，默认没有任何用户属于这个组，只需把特定的用户加入组中（需要注销后重新登录来使设置生效）就可以以该用户来运行wireshark实时抓网络数据包

@H_502_4@再次打开：

@H_502_4@安装、运行Wireshark并开始分析网络是非常简单的。

@H_502_4@使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。

@H_502_4@过犹不及。

@H_502_4@这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。

@H_502_4@-

@H_502_4@- 捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。

@H_502_4@显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

@H_502_4@那么我应该使用哪一种过滤器呢？

@H_502_4@两种过滤器的目的是不同的。

@H_502_4@捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。

@H_502_4@显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

@H_502_4@两种过滤器使用的语法是完全不同的。我们将在接下来对它们进行介绍：

@H_502_4@1. 捕捉过滤器

@H_502_4@捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。

@H_502_4@设置捕捉过滤器的步骤是：

@H_502_4@- 选择 capture -> options。

@H_502_4@- 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。

@H_502_4@- 点击开始（Start）进行捕捉。

@H_502_4@Protocol（协议）:
可能的值: ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp and udp.
如果没有特别指明是什么协议，则默认使用所有支持的协议。
Direction（方向）:

@H_502_4@可能的值: src,dst,src and dst,src or dst
如果没有特别指明来源或目的地，则默认使用 "src or dst" 作为关键字。
例如，"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。

@H_502_4@Host(s):

@H_502_4@可能的值： net,port,host,portrange.
如果没有指定此值，则默认使用"host"关键字。
例如，"src 10.1.1.1"与"src host 10.1.1.1"相同。

@H_502_4@Logical Operations（逻辑运算）:

@H_502_4@可能的值：not,and,or.
否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级，运算时从左至右进行。
例如，
"not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。
"not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。

@H_502_4@例子：

@H_502_4@tcp dst port 3128

@H_502_4@显示目的TCP端口为3128的封包。

@H_502_4@ip src host 10.1.1.1

@H_502_4@显示来源IP地址为10.1.1.1的封包。

@H_502_4@host 10.1.2.3

@H_502_4@显示目的或来源IP地址为10.1.2.3的封包。

@H_502_4@src portrange 2000-2500

@H_502_4@显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包。

@H_502_4@not imcp

@H_502_4@显示除了icmp以外的所有封包。（icmp通常被ping工具使用）

@H_502_4@src host 10.7.2.12 and not dst net 10.200.0.0/16

@H_502_4@显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。

@H_502_4@(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

@H_502_4@显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。

@H_502_4@注意事项：
当使用关键字作为值时，需使用反斜杠“\”。
"ether proto \ip" (与关键字"ip"相同).
这样写将会以IP协议作为目标。
"ip proto \icmp" (与关键字"icmp"相同).
这样写将会以ping工具常用的icmp作为目标。
可以在"ip"或"ether"后面使用"multicast"及"broadcast"关键字。
当您想排除广播请求时，"no broadcast"就会非常有用。

@H_502_4@Wireshark 的详细介绍：请点这里
Wireshark 的下载地址：请点这里

@H_502_4@更多Ubuntu相关信息见Ubuntu专题页面http://www.linuxidc.com/topicnews.aspx?tid=2