Wireshark er en nettverkspakkeanalysator. Den fanger opp hver pakke som kommer inn eller ut av et nettverksgrensesnitt og viser dem i en pent formatert tekst. Den brukes av Network Engineers over hele verden.

Wireshark er plattform og er tilgjengelig for Linux, Windows og Mac OS. Du får den samme brukeropplevelsen i ethvert operativsystem du bruker.

For å lære mer om Wireshark, besøk den offisielle nettsiden til Wireshark på https: // www.wireshark.org

I denne artikkelen vil jeg vise deg hvordan du installerer Wireshark på Ubuntu og hvordan du bruker den. Jeg bruker Ubuntu 18.04 LTS for demonstrasjonen. Men det skal fungere på en hvilken som helst LTS-versjon av Ubuntu som fremdeles støttes i skrivende stund. La oss komme i gang.

Installere Wireshark:

Wireshark er tilgjengelig i det offisielle pakkelageret til Ubuntu 14.04 LTS og senere. Så det er veldig enkelt å installere.

Oppdater først APT-pakkeoppbevaringsbufferen med følgende kommando:

$ sudo apt oppdatering

APT-pakkelagerbufferen bør oppdateres.

Kjør nå følgende kommando for å installere Wireshark på din Ubuntu-maskin:

$ sudo apt installere wireshark

Trykk nå y og trykk deretter på .

Som standard må Wireshark startes som rot (kan også gjøres med sudo) privilegier for å kunne jobbe. Hvis du vil kjøre Wireshark uten rot privilegier eller uten sudo, velg deretter og trykk .

Wireshark bør installeres.

Nå hvis du valgte i den tidligere delen for å kjøre Wireshark uten root-tilgang, og kjør deretter følgende kommando for å legge til brukeren din i wireshark gruppe:

$ sudo usermod -aG wireshark $ (whoami)

Til slutt starter du datamaskinen på nytt med følgende kommando:

$ sudo omstart

Starter Wireshark:

Nå som Wireshark er installert, kan du starte Wireshark fra Søknadsmeny av Ubuntu.

Du kan også kjøre følgende kommando for å starte Wireshark fra terminalen:

$ wireshark

Hvis du ikke aktiverte Wireshark å kjøre uten rot privilegier eller sudo, da skal kommandoen være:

$ sudo wireshark

Wireshark skal starte.

Fange pakker ved hjelp av Wireshark:

Når du starter Wireshark, vil du se en liste over grensesnitt som du kan fange pakker til og fra.

Det er for eksempel mange typer grensesnitt du kan overvåke ved hjelp av Wireshark, Kablet, Trådløst, USB og mange eksterne enheter. Du kan velge å vise bestemte typer grensesnitt på velkomstskjermen fra den merkede delen av skjermbildet nedenfor.

Her listet jeg bare opp Kablet nettverksgrensesnitt.

Nå for å begynne å fange pakker, er det bare å velge grensesnittet (i mitt tilfelle grensesnitt ens33) og klikk på Begynn å fange pakker som markert i skjermbildet nedenfor. Du kan også dobbeltklikke på grensesnittet du vil fange pakker til og fra for å begynne å fange pakker på det aktuelle grensesnittet.

Du kan også fange opp pakker til og fra flere grensesnitt samtidig. Bare trykk og hold nede og klikk på grensesnittene du vil fange pakker til og fra, og klikk deretter på Begynn å fange pakker som markert i skjermbildet nedenfor.

Bruke Wireshark på Ubuntu:

Jeg fanger pakker på ens33 kablet nettverksgrensesnitt som du kan se på skjermbildet nedenfor. Akkurat nå har jeg ingen fangede pakker.

Jeg pinget google.com fra terminalen, og som du ser, ble mange pakker fanget.

Nå kan du klikke på en pakke for å velge den. Hvis du velger en pakke, vises det mye informasjon om den pakken. Som du ser, er informasjon om forskjellige lag av TCP / IP-protokoll oppført.

Du kan også se RAW-dataene til den aktuelle pakken.

Du kan også klikke på pilene for å utvide pakkedata for et bestemt TCP / IP-protokolllag.

Filtrering av pakker ved bruk av Wireshark:

På et travelt nettverk blir tusenvis eller millioner av pakker fanget hvert sekund. Så listen vil være så lang at det vil være nesten umulig å bla gjennom listen og søke etter en bestemt type pakke.

Det gode er at i Wireshark kan du filtrere pakkene og bare se pakkene du trenger.

For å filtrere pakker, kan du skrive inn filteruttrykket direkte i tekstboksen som markert i skjermbildet nedenfor.

Du kan også filtrere pakker som er fanget av Wireshark grafisk. For å gjøre det, klikk på Uttrykk… som markert i skjermbildet nedenfor.

Et nytt vindu skal åpnes som vist på skjermbildet nedenfor. Herfra kan du lage filteruttrykk for å søke pakker veldig spesifikt.

I Feltnavn seksjonen er nesten alle nettverksprotokollene oppført. Listen er enorm. Du kan skrive inn hvilken protokoll du leter etter i Søk tekstboks og Feltnavn delen viser de som samsvarer.

I denne artikkelen skal jeg filtrere ut alle DNS-pakkene. Så jeg valgte DNS domenenavn system fra Feltnavn liste. Du kan også klikke på pil på hvilken som helst protokoll

Og gjør valget ditt mer spesifikt.

Du kan også bruke relasjonsoperatorer til å teste om noe felt er lik, ikke lik, stort eller mindre enn noen verdi. Jeg lette etter alle DNS IPv4 adresse som er lik 192.168.2.1 som du kan se på skjermbildet nedenfor.

Filteruttrykket vises også i den markerte delen av skjermbildet nedenfor. Dette er en fin måte å lære å skrive filteruttrykk i Wireshark.

Når du er ferdig, er det bare å klikke på OK.

Klikk nå på det merkede ikonet for å bruke filteret.

Som du kan se, vises bare DNS-protokollpakker.

Stoppe pakkefangst i Wireshark:

Du kan klikke på det røde ikonet som er merket i skjermbildet nedenfor for å slutte å fange Wireshark-pakker.

Lagre fangede pakker i en fil:

Du kan klikke på det merkede ikonet for å lagre fangede pakker i en fil for fremtidig bruk.

Velg nå en destinasjonsmappe, skriv inn filnavnet og klikk på Lagre.

Filen skal lagres.

Nå kan du åpne og analysere de lagrede pakkene når som helst. For å åpne filen, gå til Fil > Åpen fra Wireshark eller trykk + o

Velg deretter filen og klikk på Åpen.

De fangede pakkene skal lastes fra filen.

Så det er slik du installerer og bruker Wireshark på Ubuntu. Takk for at du leser denne artikkelen.