Beyond Linux® From Scratch (systemd Utgave) - Versjon 12.0

Chapter 16. Nettverksverktøy

Wireshark-4.0.7

Introduksjon til Wireshark

Wireshark pakken inneholder en nettverks protokollanalysator, også kjent som en sniffer. Dette er nyttig for å analysere registrerte data off the wire fra en levende nettverkstilkobling, eller data lest fra en registreringsfil.

Wireshark gir både en grafisk og en TTY modus grenseflate for å undersøke fangede nettverkspakker fra over 500 protokoller, samt muligheten til å lese en fangstfil fra mange andre populære nettverksanalysatorer.

Denne pakken er kjent for å bygge og fungere riktig ved å bruke en LFS 12.0 plattform.

Pakkeinformasjon

  • Nedlasting (HTTP): https://www.wireshark.org/download/src/all-versions/wireshark-4.0.7.tar.xz

  • Nedlasting MD5 sum: 8c23f20130bb1a346ca3da1ff43a16b4

  • Nedlastingsstørrelse: 41 MB

  • Estimert diskplass som kreves: 692 MB (med alle valgfrie avhengigheter tilgjengelig i BLFS boken)

  • Estimert byggetid: 2.1 SBU (med parallellisme=4 og alle valgfrie avhengigheter tilgjengelig i BLFS boken)

Ytterligere Nedlastinger

Wireshark Avhengigheter

Påkrevd

CMake-3.27.2, GLib-2.76.4, libgcrypt-1.10.2, og (Qt-5.15.10 eller qt-components-5.15.10 med qtmultimedia)

Anbefalt

libpcap-1.10.4 (nødvendig for å fange data)

Valgfri

asciidoctor-2.0.20, Brotli-1.0.9, c-ares-1.19.1, Doxygen-1.9.7, git-2.41.0, GnuTLS-3.8.1, libnl-3.7.0, libxslt-1.1.38, libxml2-2.10.4, Lua-5.2.4, MIT Kerberos V5-1.21.2, nghttp2-1.55.1, SBC-2.0, Speex-1.2.1, BCG729, libilbc, libsmi, lz4, libssh, MaxMindDB, Minizip, Snappy, og Spandsp

Kjernekonfigurasjon

Kjernen må ha pakkeprotokollen aktivert for at Wireshark skal fange opp levende pakker fra nettverket: 

[*] Networking support --->                                                [NET]
  Networking options --->
    <*/M> Packet socket                                                 [PACKET]

Hvis bygget som en modul, er navnet af_packet.ko.

Installasjon av Wireshark

Wireshark er en veldig stor og kompleks applikasjon. Disse instruksjonene gir ytterligere sikkerhetstiltak for å sikre at bare pålitelige brukere har lov til å se nettverkstrafikk. Først, sett opp en systemgruppe for wireshark. Som root bruker: 

groupadd -g 62 wireshark

Fortsett å installere Wireshark ved å kjøre følgende kommandoer: 

mkdir build &&
cd    build &&

cmake -DCMAKE_INSTALL_PREFIX=/usr \
      -DCMAKE_BUILD_TYPE=Release  \
      -DCMAKE_INSTALL_DOCDIR=/usr/share/doc/wireshark-4.0.7 \
      -G Ninja \
      .. &&
ninja

Denne pakken kommer ikke med en testpakke.

Nå, som root bruker: 

ninja install &&

install -v -m755 -d /usr/share/doc/wireshark-4.0.7 &&
install -v -m644    ../README.linux ../doc/README.* ../doc/randpkt.txt \
                    /usr/share/doc/wireshark-4.0.7 &&

pushd /usr/share/doc/wireshark-4.0.7 &&
   for FILENAME in ../../wireshark/*.html; do
      ln -s -v -f $FILENAME .
   done &&
popd
unset FILENAME

Hvis du lastet ned noen av dokumentasjonsfilene fra siden oppført i 'Ytterligere nedlastinger', installer dem ved å utstede følgende kommandoer som root bruker: 

install -v -m644 <Nedlastede_filer> \
                 /usr/share/doc/wireshark-4.0.7

Sett nå eierskap og tillatelser for sensitive applikasjoner til bare å tillate autoriserte brukere. Som root bruker: 

chown -v root:wireshark /usr/bin/{tshark,dumpcap} &&
chmod -v 6550 /usr/bin/{tshark,dumpcap}

Til slutt legger du til brukere i wireshark gruppen (som root bruker): 

usermod -a -G wireshark <brukernavn>

Hvis du installerer wireshark for første gang, vil det være nødvendig å logge ut av økten og logge på igjen. Dette vil sette wireshark i din gruppe, fordi ellers vil ikke Wireshark fungere skikkelig.

Konfigurere Wireshark

Konfigurasjonsfiler

/etc/wireshark.conf og ~/.config/wireshark/* (med mindre det allerede er ~/.wireshark/* i systemet)

Konfigurasjonsinformasjon

Selv om standard konfigurasjonsparametere er veldig fornuftige, referer konfigurasjonsdelen av Wireshark User's Guide for konfigurasjonsinformasjon. Meste av Wireshark sin konfigurasjon kan utføres ved å bruke menyalternativene til wireshark grafiske grensesnitt.

[Note]

Note

Hvis du vil se på pakker, sørg for at du ikke filtrerer dem ut med iptables-1.8.9. Hvis du vil utelukke visse klasser av pakker, er det mer effektivt å gjøre det med iptables enn det er med Wireshark.

Innhold

Installerte Programmer: capinfos, captype, dumpcap, editcap, idl2wrs, mergecap, randpkt, rawshark, reordercap, sharkd, text2pcap, tshark, og wireshark
Installerte Biblioteker: libwireshark.so, libwiretap.so, libwsutil.so, og mange moduler under /usr/lib/wireshark/plugins
Installerte Mapper: /usr/{include,lib,share}/wireshark og /usr/share/doc/wireshark-4.0.7

Korte Beskrivelser

capinfos

leser en lagret fangstfil og returnerer noen eller alle av flere statistikker om den filen. Den er i stand til å oppdage og lese all fangst støttet av Wireshark pakken

captype

skriver ut filtypene for fangstfiler

dumpcap

er et nettverkstrafikkdumpverktøy. Den lar deg fange opp pakkedata fra et levende nettverk og skriv pakkene til en fil

editcap

redigerer og/eller oversetter formatet til fangstfiler. Det vet hvordan å lese libpcap fangstfiler, inkludert tcpdump, Wireshark og andre verktøy som skriver fangster i det formatet

idl2wrs

er et program som tar en brukerspesifisert CORBA IDL fil og genererer C kildekode for en Wireshark programtillegg. Den er avhengig av to Python programmer wireshark_be.py og wireshark_gen.py, som ikke er installert som standard. De må kopieres manuelt fra tools mappen til $PYTHONPATH/site-packages/ mappen

mergecap

kombinerer flere lagrede fangstfiler til en enkelt utdatafil

randpkt

oppretter tilfeldige pakkefangstfiler

rawshark

dumper og analyserer rå libpcap data

reordercap

omorganiserer tidsstempler for inndatafilrammer til en utdatafil

sharkd

er en nisse som lytter på UNIX sockets

text2pcap

leser inn en ASCII hex dump og skriver dataene beskrevet i en libpcap-stil fangstfil

tshark

er en TTY-modus nettverksprotokollanalysator. Den lar deg fange pakkedata fra et levende nettverk eller lese pakker fra en tidligere lagret fangstfil

wireshark

er Qt GUI nettverksprotokollanalysator. Den lar deg interaktivt bla gjennom pakkedata fra et levende nettverk eller fra en tidligere lagret fangstfil

libwireshark.so

inneholder funksjoner som brukes av Wireshark programmer for å utføre filtrering og pakkefangst

libwiretap.so

er et bibliotek som utvikles som en fremtidig erstatning for libpcap, den nåværende standard Unix bibliotek for pakkefangst. For mer informasjon, se README filen i kilde wiretap mappen