Linux下常用網絡故障調試工具介紹之wireshark的安裝與使用

一、簡介

• Wireshark（前稱Ethereal）是一個網絡封包分析軟體。網絡封包分析軟體的功能是撷取網絡封包，并盡可能顯示出最為詳細的網絡封包資料。 • Wireshark不是入侵偵測軟體（Intrusion DetectionSoftware,IDS）。對于網絡上的異常流量行為，Wireshark不會産生警示或是任何提示。然而，仔細分析Wireshark撷取的封包能夠幫助使用者對于網絡行為有更清楚的了解。Wireshark不會對網絡封包産生内容的修改，它隻會反映出目前流通的封包資訊。 Wireshark本身也不會送出封包至網絡上。

二、wireshark的安裝

•1、方法一：

如果是ubuntu版本系統的話，最簡單的在軟體中心搜尋wireshark直接點安裝。（需要機器連接配接網絡）

•2、方法二：适合debian的系統

使用apt-get指令安裝（前提是機器能夠連接配接網絡） •在終端執行以下指令： •$sudo apt-get install wireshark •等待片刻即可--------

•注：有一個問題就是，以上的兩種安裝方法安裝結束後，如果不進行任何設定的話，wireshark還是不能使用。這時打開wireshark會提示“thereare no interfaces on which a capturecan be done”。原因是出于安全方面的考慮，普通使用者不能夠打開網卡裝置進行抓包（即在預設情況下，普通使用者沒有截取網絡資料的權限）。 •當然，可以通過運作#sudo wireshark，這樣可以正常使用wireshark，但這并不是一個好方法，正如wireshark提示的那樣： •“Running as user "root" and group "root". •This could be dangerous. •If you're running Wireshark this way in order to perform live capture, you may want to be awarethat there is a better way documented at •/usr/share/doc/wireshark-common/README.Debian” •wireshark為ubuntu（Debian）使用者提供了一種在非root下的解決方法。 •具體步驟： •（1）執行： •$sudo dpkg-reconfigure wireshark-common（會建立wireshark使用者組） •出現一個圖形提示界面 •“Should non-superusers be able to capturepackages?” •選擇Yes（預設是no） •（2）在wireshark組後添加使用者 •$sudo usermod -a -G wireshark $USER •在組政策中會出現wireshark組，預設沒有任何使用者屬于這個組，隻需把特定的使用者加入組中 •（需要登出後重新登入來使設定生效）就可以以該使用者來運作wireshark實時抓網絡資料包。 •執行完以上兩步操作後重新開機系統完成配置就可以了，直接在終端鍵入“wireshark”指令即可。

•3、方法三：源碼包編譯安裝

（1）安裝編譯工具：

  $sudo apt-get install build-essential

（2）為了成功編譯Wireshark，您需要安裝GTK+的開發檔案和GLib庫(libraries)。

  $sudo apt-get install libgtk2.0-dev libglib2.0-dev

（3）安裝Checkinstall以便管理您系統中直接由源代碼編譯安裝的軟體。

  $sudo apt-get install checkinstall

（4）編譯安裝libpcap.

（5）編譯安裝wireshark：

$./configure

  $make

  $sudo make install

其中make編譯時間會比較長，這樣下來就基本安裝了。

三、Linux下wireshark的使用

•1、終端下執行：$wireshark，出現圖形界面視窗 •2、配置選項：captureoptions •主要設定:接口(interface)、工作模式(混雜模式)、Display options、capture filter(可以空着) •3、點選start開始抓取資料包 •4、分析資料包

注：具體的界面操作本文在這裡就不做介紹了