Wireshark er en nettverkspakkeanalysator. Den fanger hver pakke som kommer inn eller ut av et nettverksgrensesnitt og viser dem i en pent formatert tekst. Det brukes av nettverksingeniører over hele verden.

Wireshark er tverrplattform og den er tilgjengelig for Linux, Windows og Mac OS. Du får den samme brukeropplevelsen i et hvilket som helst operativsystem du bruker.

For å lære mer om Wireshark, besøk den offisielle nettstedet til Wireshark på https: // www.Wireshark.org

I denne artikkelen vil jeg vise deg hvordan du installerer Wireshark på Ubuntu og hvordan du bruker den. Jeg bruker Ubuntu 18.04 LTS for demonstrasjonen. Men det skal fungere på hvilken som helst LTS -versjon av Ubuntu som fortsatt støttes på dette tidspunktet. La oss komme i gang.

Installere Wireshark:

Wireshark er tilgjengelig i det offisielle pakkelageret til Ubuntu 14.04 LTS og senere. Så det er veldig enkelt å installere.

Oppdater først Apt Package Repository Cache med følgende kommando:

$ sudo apt oppdatering

Apt Package Repository Cache skal oppdateres.

Kjør nå følgende kommando for å installere Wireshark på Ubuntu -maskinen din:

$ sudo apt install wireshark

Trykk nå y Og trykk deretter .

Som standard må Wireshark startes som rot (Kan også gjøres med sudo) privilegier for å jobbe. Hvis du vil kjøre Wireshark uten rot privilegier eller uten sudo, Velg deretter og trykk .

Wireshark skal installeres.

Nå hvis du valgte I den tidligere delen for å kjøre Wireshark uten rottilgang, kjør deretter følgende kommando for å legge brukeren din til Wireshark gruppe:

$ sudo usermod -ag wireshark $ (whoami)

Til slutt, start datamaskinen på nytt med følgende kommando:

$ sudo omstart

Start Wireshark:

Nå som Wireshark er installert, kan du starte Wireshark fra Applikasjonsmeny av Ubuntu.

Du kan også kjøre følgende kommando for å starte Wireshark fra terminalen:

$ Wireshark

Hvis du ikke gjorde det mulig for Wireshark å løpe uten rot privilegier eller sudo, Da skal kommandoen være:

$ sudo wireshark

Wireshark bør starte.

Fanger pakker med Wireshark:

Når du starter Wireshark, vil du se en liste over grensesnitt som du kan fange pakker til og fra.

Det er mange typer grensesnitt du kan overvåke ved hjelp av Wireshark, for eksempel, Kablet, Trådløst, USB og mange eksterne enheter. Du kan velge å vise spesifikke typer grensesnitt i velkomstskjermen fra den markerte delen av skjermbildet nedenfor.

Her listet jeg bare Kablet nettverksgrensesnitt.

For å begynne å fange pakker, velg bare grensesnittet (i mitt tilfelle grensesnitt ENS33) og klikk på Begynn å fange pakker Ikonet som merket i skjermbildet nedenfor. Du kan også dobbeltklikke på grensesnittet du vil fange pakker til og fra for å begynne å fange pakker på det aktuelle grensesnittet.

Du kan også fange pakker til og fra flere grensesnitt samtidig. Bare trykk og hold og klikk på grensesnittene du vil fange pakker til og fra og deretter klikke på Begynn å fange pakker Ikonet som merket i skjermbildet nedenfor.

Bruker Wireshark på Ubuntu:

Jeg fanger pakker på ENS33 Kablet nettverksgrensesnitt som du kan se på skjermbildet nedenfor. Akkurat nå har jeg ingen fangede pakker.

Jeg pinget google.com fra terminalen, og som du kan se, ble mange pakker fanget.

Nå kan du klikke på en pakke for å velge den. Å velge en pakke vil vise mange informasjon om den pakken. Som du kan se, er informasjon om forskjellige lag med TCP/IP -protokoll listet opp.

Du kan også se rå data fra den aktuelle pakken.

Du kan også klikke på pilene for å utvide pakkedata for et bestemt TCP/IP -protokolllag.

Filtreringspakker ved hjelp av Wireshark:

På et travelt nettverk vil tusenvis eller millioner av pakker bli fanget hvert sekund. Så listen vil være så lang at det vil være nesten umulig å bla gjennom listen og søke etter en viss type pakke.

Det gode er at du i Wireshark kan filtrere pakkene og bare se pakkene du trenger.

For å filtrere pakker, kan du skrive inn filteruttrykket direkte i tekstboksen som merket på skjermbildet nedenfor.

Du kan også filtrere pakker fanget av Wireshark grafisk. For å gjøre det, klikk på Uttrykk… knappen som merket på skjermbildet nedenfor.

Et nytt vindu skal åpne som vist på skjermbildet nedenfor. Herfra kan du lage filteruttrykk for å søke på pakker veldig spesifikt.

I Feltnavn Avsnitt nesten alle nettverksprotokoller er oppført. Listen er enorm. Du kan skrive inn hvilken protokoll du leter etter i Søk tekstboks og Feltnavn Seksjonen vil vise de som matchet.

I denne artikkelen skal jeg filtrere ut alle DNS -pakkene. Så jeg valgte Dns domenenavn system fra Feltnavn liste. Du kan også klikke på pil på hvilken som helst protokoll

Og gjør valget ditt mer spesifikt.

Du kan også bruke relasjonelle operatører for å teste om noe felt er lik, ikke lik, flott enn eller mindre enn noen verdi. Jeg søkte etter alle DNS IPv4 adresse som er lik 192.168.2.1 Som du kan se på skjermbildet nedenfor.

Filteruttrykket er også vist i den markerte delen av skjermdumpen nedenfor. Dette er en flott måte å lære å skrive filteruttrykk i Wireshark.

Når du er ferdig, klikker du bare på Ok.

Klikk nå på det merkede ikonet for å bruke filteret.

Som du ser er det bare vist DNS -protokollpakker.

Stopper pakkefangst i Wireshark:

Du kan klikke på det røde ikonet som merket i skjermdumpen nedenfor for å slutte å fange Wireshark -pakker.

Lagrer fangede pakker til en fil:

Du kan klikke på det merkede ikonet for å lagre fangede pakker i en fil for fremtidig bruk.

Velg nå en destinasjonsmappe, skriv inn filnavnet og klikk på Lagre.

Filen skal lagres.

Nå kan du åpne og analysere de lagrede pakkene når som helst. For å åpne filen, gå til Fil > Åpen Fra Wireshark eller trykk + o

Velg deretter filen og klikk på Åpen.

De fangede pakkene skal lastes fra filen.

Så det er slik du installerer og bruker Wireshark på Ubuntu. Takk for at du leste denne artikkelen.