Ubuntu 16.04下安裝網絡流量分析工具 Wireshark

如果你經常分析不同的網絡協定和研究資料包，那麼你一定聽說過 Wireshark。與其它難以操作的指令行網絡協定分析工具不同的是，Wireshark 擁有非常簡潔易用的圖形界面，使用 Wireshark 可以很容易地檢視有線和無線網絡的實時資訊。與此同時，這款免費的開源工具還同時支援 Windows、Linux 和 OS X 等多種平台。

Wireshark 2.0.5釋出帶來了多項改進

Wireshark 2.0.5 是 Wireshark 2.0 系列的第五個更新維護版本，該版本較上次更新而言，共解決了使用者所送出的 20 多項問題。

此外該版本還修複了 9 個安全漏洞并更新了對協定和捕獲檔案的支援，内置協定的支援更新包括：802.11 Radiotap、BGP、CAN、CANopen、H.248 Q.1950、IPv4、IPv6、LANforge、LDSS、MPTCP、OSPF、PacketBB、PRP、RLC、RMT-FEC、RSVP、RTP MIDI、T.30、TDS、USB、WAP、WBXML、WiMax RNG-RSP 和 WSP。

需要指出的是，該版本隻是問題修複和支援更新，并未帶來任何新功能和對新協定或檔案格式的支援。如果你想了解完全的 Wireshark 2.0.5 更新日志，可以通路發行說明。

Wireshark 2.0.5下載下傳

Ubuntu 13.10 安裝 Wireshark  http://www.linuxidc.com/Linux/2015-08/121326.htm

網絡抓包工具Wireshark的簡單使用 http://www.linuxidc.com/Linux/2013-05/84174.htm

Ubuntu 12.04 下安裝Wireshark http://www.linuxidc.com/Linux/2012-06/63582.htm

Linux中從普通使用者啟動Wireshark抓包 http://www.linuxidc.com/Linux/2012-06/63580.htm

Linux下安裝和運作Wireshark http://www.linuxidc.com/Linux/2014-09/106522.htm

下面說說在 Ubuntu 16.04下安裝網絡流量分析工具 Wireshark 的方法及問題解決。

sudo apt-add-repository ppa:wireshark-dev/stable

sudo apt-get update

sudo apt-get install wireshark

sudo dpkg-reconfigure wireshark-common

中間要設定，見下圖：

這樣就安裝好了。在Ubuntu下使用Wireshark也是很有必要的，雖然我們可以使用tcpdump等工具。

出于安全方面的考慮，普通使用者不能夠打開網卡裝置進行抓包，wireshark不建議使用者通過sudo在root權限下運作，wireshark為ubuntu（Debian）使用者提供了一種在非root下的解決方法。

具體步驟：

2. dpkg-reconfigure wireshark-common

“Should non-superusers be able to capture packages?”

選擇Yes （預設是no）

3. sudo vim /etc/group

如下圖

在組政策中會出現wireshark組，預設沒有任何使用者屬于這個組，隻需把特定的使用者加入組中（需要登出後重新登入來使設定生效）就可以以該使用者來運作wireshark實時抓網絡資料包

再次打開：

安裝、運作Wireshark并開始分析網絡是非常簡單的。

使用Wireshark時最常見的問題，是當您使用預設設定時，會得到大量備援資訊，以至于很難找到自己需要的部分。

過猶不及。

這就是為什麼過濾器會如此重要。它們可以幫助我們在龐雜的結果中迅速找到我們需要的資訊。

-

- 捕捉過濾器：用于決定将什麼樣的資訊記錄在捕捉結果中。需要在開始捕捉前設定。

顯示過濾器：在捕捉結果中進行詳細查找。他們可以在得到捕捉結果後随意修改。

那麼我應該使用哪一種過濾器呢？

兩種過濾器的目的是不同的。

捕捉過濾器是資料經過的第一層過濾器，它用于控制捕捉資料的數量，以避免産生過大的日志檔案。

顯示過濾器是一種更為強大（複雜）的過濾器。它允許您在日志檔案中迅速準确地找到所需要的記錄。

兩種過濾器使用的文法是完全不同的。我們将在接下來對它們進行介紹：

1. 捕捉過濾器

捕捉過濾器的文法與其它使用Lipcap（Linux）或者Winpcap（Windows）庫開發的軟體一樣，比如著名的TCPdump。捕捉過濾器必須在開始捕捉前設定完畢，這一點跟顯示過濾器是不同的。

設定捕捉過濾器的步驟是：

- 選擇 capture -> options。

- 填寫"capture filter"欄或者點選"capture filter"按鈕為您的過濾器起一個名字并儲存，以便在今後的捕捉中繼續使用這個過濾器。

- 點選開始（Start）進行捕捉。

Protocol（協定）:

可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

如果沒有特别指明是什麼協定，則預設使用所有支援的協定。 

Direction（方向）:

可能的值: src, dst, src and dst, src or dst

如果沒有特别指明來源或目的地，則預設使用 "src or dst" 作為關鍵字。

 例如，"host 10.2.2.2"與"src or dst host 10.2.2.2"是一樣的。

Host(s):

可能的值： net, port, host, portrange.

如果沒有指定此值，則預設使用"host"關鍵字。

 例如，"src 10.1.1.1"與"src host 10.1.1.1"相同。

Logical Operations（邏輯運算）:

可能的值：not, and, or.

否("not")具有最高的優先級。或("or")和與("and")具有相同的優先級，運算時從左至右進行。

 例如，

"not tcp port 3128 and tcp port 23"與"(not tcp port 3128) and tcp port 23"相同。

"not tcp port 3128 and tcp port 23"與"not (tcp port 3128 and tcp port 23)"不同。

例子：

tcp dst port 3128

顯示目的TCP端口為3128的封包。

ip src host 10.1.1.1

顯示來源IP位址為10.1.1.1的封包。

host 10.1.2.3

顯示目的或來源IP位址為10.1.2.3的封包。

src portrange 2000-2500

顯示來源為UDP或TCP，并且端口号在2000至2500範圍内的封包。

not imcp

顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）

src host 10.7.2.12 and not dst net 10.200.0.0/16

顯示來源IP位址為10.7.2.12，但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

顯示來源IP為10.4.1.12或者來源網絡為10.6.0.0/16，目的地TCP端口号在200至10000之間，并且目的位于網絡10.0.0.0/8内的所有封包。

注意事項：

 當使用關鍵字作為值時，需使用反斜杠“\”。

"ether proto \ip" (與關鍵字"ip"相同).

這樣寫将會以IP協定作為目标。

"ip proto \icmp" (與關鍵字"icmp"相同).

這樣寫将會以ping工具常用的icmp作為目标。 

可以在"ip"或"ether"後面使用"multicast"及"broadcast"關鍵字。

 當您想排除廣播請求時，"no broadcast"就會非常有用。

Wireshark 的詳細介紹：請點這裡

Wireshark 的下載下傳位址：請點這裡

更多Ubuntu相關資訊見Ubuntu 專題頁面 http://www.linuxidc.com/topicnews.aspx?tid=2

版權聲明：本文為CSDN部落客「weixin_34194087」的原創文章，遵循CC 4.0 BY-SA版權協定，轉載請附上原文出處連結及本聲明。

原文連結：https://blog.csdn.net/weixin_34194087/article/details/91953727