Wireshark je bezplatný a open source analyzátor síťových paketů pro více platforem a GUI který je dostupný pro Linux, Windows, MacOS, Solaris atd. Zachycuje síťové pakety v reálném čase a prezentuje je ve formátu čitelném pro člověka. Wireshark nám umožňuje monitorovat síťové pakety až do mikroskopické úrovně. Wireshark má také nástroj příkazového řádku s názvem „tshark ‘ který provádí stejné funkce jako Wireshark, ale prostřednictvím terminálu a nikoli prostřednictvím GUI.
Wireshark lze použít pro řešení problémů se sítí, analýzu, vývoj softwaru a komunikačních protokolů a také pro účely vzdělávání. Wireshark používá knihovnu s názvem ‚pcap ‘ pro zachytávání síťových paketů.
Wireshark přichází se spoustou funkcí a některé z nich jsou;
- Podpora pro stovky protokolů pro kontrolu,
- Možnost zachytit pakety v reálném čase a uložit je pro pozdější offline analýzu,
- Řada filtrů pro analýzu dat,
- Zachycená data lze za běhu komprimovat a dekomprimovat,
- Podporovány různé formáty souborů pro analýzu dat, výstup lze také uložit do formátu XML, CSV, prostého textu,
- data lze zachytit z řady rozhraní, jako je ethernet, wifi, bluetooth, USB, Frame relay, token ring atd.
V tomto článku probereme, jak nainstalovat Wireshark na stroje Ubuntu/Debain a také se naučíme používat Wireshark pro zachycování síťových paketů.
Instalace Wireshark na Ubuntu 16.04 / 17.10
Wireshark je k dispozici s výchozími repozitáři Ubuntu a lze jej jednoduše nainstalovat pomocí následujícího příkazu. Ale může existovat šance, že nezískáte nejnovější verzi wireshark.
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Abychom mohli nainstalovat nejnovější verzi wireshark, musíme povolit nebo nakonfigurovat oficiální úložiště wireshark .
Použijte níže uvedené příkazy jeden po druhém ke konfiguraci úložiště a instalaci nejnovější verze nástroje Wireshark
[email protected]:~$ sudo add-apt-repository ppa:wireshark-dev/stable [email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Jakmile je Wireshark nainstalován, spusťte níže uvedený příkaz, aby uživatelé bez oprávnění root mohli zachytit živé pakety rozhraní,
[email protected]:~$ sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
Instalace Wireshark na Debian 9
Balíček Wireshark a jeho závislosti jsou již přítomny ve výchozích repozitářích debianu 9, takže k instalaci nejnovější a stabilní verze Wireshark na Debian 9 použijte následující příkaz:
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Během instalace nás vyzve ke konfiguraci dumpcap pro uživatele, kteří nejsou superuživateli,
Vyberte „ano“ a poté stiskněte Enter.
Po dokončení instalace spusťte níže uvedený příkaz, aby uživatelé bez oprávnění root mohli také zachytit živé pakety rozhraní.
[email protected]:~$ sudo chmod +x /usr/bin/dumpcap
Můžeme také použít nejnovější zdrojový balíček k instalaci wireshark na Ubuntu/Debain a mnoho dalších distribucí Linuxu.
Instalace Wiresharku pomocí zdrojového kódu na systémech Debian / Ubuntu
Nejprve si stáhněte nejnovější zdrojový balíček (který je v době psaní tohoto článku 2.4.2), použijte následující příkaz,
[email protected]:~$ wget https://1.as.dl.wireshark.org/src/wireshark-2.4.2.tar.xz
Dále extrahujte balíček a vstupte do extrahovaného adresáře,
[email protected]:~$ tar -xf wireshark-2.4.2.tar.xz -C /tmp [email protected]:~$ cd /tmp/wireshark-2.4.2
Nyní zkompilujeme kód pomocí následujících příkazů,
[email protected]:/tmp/wireshark-2.4.2$ ./configure --enable-setcap-install [email protected]:/tmp/wireshark-2.4.2$ make
Nakonec nainstalujte zkompilované balíčky pro instalaci Wireshark do systému,
[email protected]:/tmp/wireshark-2.4.2$ sudo make install [email protected]:/tmp/wireshark-2.4.2$ sudo ldconfig
Po instalaci bude také vytvořena samostatná skupina pro Wireshark, nyní do skupiny přidáme našeho uživatele, aby mohl pracovat s wireshark, jinak byste mohli dostat ‘povolení odepřeno ‘ chyba při spouštění wireshark.
Chcete-li přidat uživatele do skupiny wireshark, spusťte následující příkaz
[email protected]:~$ sudo usermod -a -G wireshark linuxtechi
Nyní můžeme spustit wireshark buď z GUI Menu nebo z terminálu pomocí tohoto příkazu,
[email protected]:~$ wireshark
Přístup k Wiresharku na systému Debian 9
Klikněte na ikonu Wireshark
Přístup k Wireshark na Ubuntu 16.04 / 17.10
Klikněte na ikonu Wireshark
Zachycování a analýza paketů
Jakmile bude wireshark spuštěn, mělo by se nám zobrazit okno wireshark, příklad je uveden výše pro systém Ubuntu a Debian.
To vše jsou rozhraní, odkud můžeme zachytit síťové pakety. V závislosti na rozhraních, která máte ve svém systému, se tato obrazovka může pro vás lišit.
Pro zachycení síťového provozu pro toto rozhraní vybíráme „enp0s3“. Po výběru rozhraní se začnou naplňovat síťové pakety pro všechna zařízení v naší síti (viz snímek obrazovky níže)
Když poprvé uvidíme tuto obrazovku, mohli bychom být zahlceni daty prezentovanými na této obrazovce a mohli jsme přemýšlet, jak tato data roztřídit, ale nebojte se, jednou z nejlepších funkcí Wiresharku jsou jeho filtry.
Můžeme třídit/filtrovat data na základě IP adresy, čísla portu, můžeme také použít zdrojové a cílové filtry, velikost paketů atd. &můžeme také kombinovat 2 nebo více filtrů dohromady a vytvořit tak komplexnější vyhledávání. Své filtry můžeme zapsat do části „Použít filtr zobrazení ‘ nebo můžeme také vybrat jedno z již vytvořených pravidel. Chcete-li vybrat předem vytvořený filtr, klikněte na „příznak ikonu vedle položky Použít filtr zobrazení ',
Data můžeme také filtrovat na základě barevného kódování. Ve výchozím nastavení je světle fialová provoz TCP , světle modrá je provoz UDP a černá barva označuje pakety s chybami . Chcete-li zjistit, co tyto kódy znamenají, klikněte na Zobrazit -> Pravidla barvení , také můžeme tyto kódy změnit.
Poté, co budeme mít výsledky, které potřebujeme, můžeme kliknout na kterýkoli ze zachycených paketů a získat další podrobnosti o tomto paketu. Tím se zobrazí všechna data o tomto síťovém paketu.
Wireshark je extrémně výkonný nástroj, chvíli trvá, než si na něj zvyknete a uděláte nad ním příkaz, tento návod vám pomůže začít. Neváhejte a napište své dotazy nebo návrhy do pole pro komentáře níže.