Установите и используйте Wireshark в Ubuntu Linux
Вкратце: вы узнаете, как установить последнюю версию Wireshark в Ubuntu и другой дистрибутив на основе Ubuntu из этого руководства. Вы также узнаете, как запустить Wireshark без sudo и как настроить его для перехвата пакетов.
Wireshark — это бесплатный анализатор сетевых протоколов с открытым исходным кодом, широко используемый во всем мире.
С помощью Wireshark вы можете захватывать входящие и исходящие пакеты сети в режиме реального времени и использовать его для устранения неполадок в сети, анализа пакетов, разработки программного обеспечения и протоколов связи и многого другого.
Он доступен во всех основных настольных операционных системах, таких как Windows, Linux, macOS, BSD и других.
В этом руководстве я расскажу вам, как установить Wireshark в Ubuntu и других дистрибутивах на основе Ubuntu. Я также покажу немного о настройке и конфигурации Wireshark для захвата пакетов.
Установка Wireshark в дистрибутивах Linux на основе Ubuntu
Wireshark доступен во всех основных дистрибутивах Linux. В этом руководстве я сосредоточусь на установке последней версии Wireshark только в дистрибутивах на основе Ubuntu, поэтому если вы пользуетесь другими операционными системами на основе Linux, вам стоит почитать официальную документацию и советы по установке.
Wireshark доступен в репозитории «Universe» Ubuntu. Вы можете подключить этот репозиторий и затем установить его с помощью этих команд:
sudo add-apt-repository universe && sudo apt install wireshark
Одна небольшая проблема этого подхода заключается в том, что вы не всегда можете получить последнюю версию Wireshark.
Например, в Ubuntu 18.04, если вы используете команду apt для проверки доступной версии Wireshark, это будет версия 2.6.
apt show wireshark Package: wireshark Version: 2.6.10-1~ubuntu18.04.0 Priority: optional Section: universe/net Origin: Ubuntu Maintainer: Balint Reczey
Тогда как стабильная версия Wireshark 3.2 была выпущена несколько месяцев назад. А новый релиз, конечно, приносит новые возможности.
Итак, что вы делаете в таком случае? К счастью, разработчики Wiresshark предоставляют официальный PPA, который вы можете использовать для установки последней стабильной версии Wireshark в Ubuntu и других дистрибутивах на основе Ubuntu.
Я надеюсь, что вы знакомы с PPA. Если нет, пожалуйста, прочитайте наше превосходное руководство по PPA, чтобы разобраться в этом вопросе до конца.
Откройте терминал и используйте следующие команды одну за другой:
sudo add-apt-repository ppa:wireshark-dev/stable sudo apt update sudo apt install wireshark
Даже если у вас установлена достаточно старая версия Wireshark, она будет обновлена до более новой версии.
Во время установки вам будет предложено разрешить не-суперпользователям перехватывать пакеты. Выберите «Да», чтобы разрешить, или «Нет», чтобы запретить не-суперпользователям захватывать пакеты, после этого завершите установку.
Запуск Wireshark без sudo
Если вы выбрали «Нет» в предыдущей установке, выполните следующую команду от имени пользователя root:
sudo dpkg-reconfigure wireshark-common
И выберите «Да», используя клавишу табуляции и затем клавишу ввода:
Поскольку вы разрешили не-суперпользователю перехватывать пакеты, вы должны добавить пользователя в группу wireshark. Используйте команду usermod, чтобы добавить себя в группу wireshark.
sudo usermod -aG wireshark $(whoami)
Наконец, перезапустите систему Ubuntu, чтобы внесенные изменения вступили в силу.
Забавный факт:
Впервые выпущенный в 1998 году, Wireshark изначально был известен как Ethereal. Разработчикам пришлось изменить его название на Wireshark в 2006 году из-за проблем с товарными знаками.
Запуск Wireshark
Запуск приложения Wireshark можно выполнить из панели запуска приложений или интерфейса командной строки.
Чтобы начать с CLI, просто введите wireshark в вашей консоли:
wiresshark
В графическом интерфейсе, напишите Wireshark в строке поиска и нажмите Enter.
Теперь давайте поиграем с Wireshark.
Захват пакетов с помощью Wireshark
Когда вы запустите Wireshark, вы увидите список интерфейсов, которые вы можете использовать для захвата пакетов.
Существует много типов доступных интерфейсов, которые вы можете отслеживать с помощью Wireshark, таких как проводные, внешние устройства и т.д. В зависимости от ваших предпочтений вы можете выбрать отображение определенных типов интерфейсов на экране приветствия из отмеченной области на приведенном ниже рисунке.
Например, я перечислил только проводные сетевые интерфейсы.
Затем, чтобы начать захват пакетов, вы должны выбрать интерфейс (в моем случае это ens33) и щелкнуть значок «Начать захват пакетов», как показано на рисунке ниже.
Вы также можете захватывать пакеты с нескольких интерфейсов одновременно. Просто нажмите и удерживайте кнопку CTRL, нажимая на интерфейсы, которые вы хотите захватить, и затем нажмите значок «Начать захват пакетов», как отмечено на изображении ниже.
Затем я попытался использовать команду ping google.com в терминале, и, как вы можете видеть, захватил много пакетов.
Теперь вы можете выбрать любой пакет для проверки. После нажатия на конкретный пакет вы можете увидеть информацию о различных уровнях протокола TCP / IP, связанных с ним.
Вы также можете увидеть RAW-данные этого конкретного пакета внизу, как показано на рисунке ниже.
Вот почему так важно сквозное шифрование
Представьте, что вы заходите на сайт, который не использует HTTPS. Любой в той же сети, что и вы, может перехватывать ваши пакеты, видеть имя пользователя и пароль в данных RAW.
Вот почему большинство приложений для чатов используют сквозное шифрование, и большинство веб-сайтов в наши дни используют https (вместо http).
Остановка захвата пакета в Wireshark
Вы можете нажать на красный значок, как отмечено на данном изображении, чтобы прекратить захват пакетов Wireshark.
Сохранить захваченные пакеты в файл
Вы можете нажать на отмеченный значок на изображении ниже, чтобы сохранить захваченные пакеты в файл для дальнейшего использования.
Примечание: вывод можно экспортировать в XML, PostScript®, CSV или обычный текст.
Затем выберите папку назначения, введите имя файла и нажмите «Сохранить».
Потом выберите файл и нажмите «Открыть».
Теперь вы можете открывать и анализировать сохраненные пакеты в любое время. Чтобы открыть файл, нажмите \ + o или перейдите в File > Open из интерфейса Wireshark.
Захваченные пакеты будут загружены из файла.
Заключение.
Wireshark поддерживает множество различных протоколов связи. Существует множество опций и функций, которые дают вам возможность захватывать и анализировать сетевые пакеты уникальным способом. Вы можете узнать больше о Wireshark из их официальной документации.
Я надеюсь, что это руководство помогло вам установить Wireshark в Ubuntu. Пожалуйста, дайте мне знать, если у вас остались вопросы или появились предложения.