Introduksjon til Wireshark
Wireshark pakken inneholder en
nettverks protokollanalysator, også kjent som en “sniffer.” Dette er
nyttig for å analysere registrerte data “off the wire” fra en
levende nettverkstilkobling, eller data lest fra en
registreringsfil.
Wireshark gir både en grafisk og
en TTY modus grenseflate for å undersøke fangede nettverkspakker
fra over 500 protokoller, samt muligheten til å lese en fangstfil
fra mange andre populære nettverksanalysatorer.
Denne pakken er kjent for å bygge og fungere riktig ved å bruke en
LFS 12.2 plattform.
Pakkeinformasjon
Ytterligere Nedlastinger
Wireshark Avhengigheter
Påkrevd
CMake-3.30.2, c-ares-1.33.0, GLib-2.80.4,
libgcrypt-1.11.0, Qt-6.7.2, og Speex-1.2.1
![[Note]](../images/note.png)
Note
Qt-6.7.2 er strengt tatt ikke nødvendig, siden den
kan bli erstattet med Qt5. Se
“Parameterforklaringer ” under.
Anbefalt
libpcap-1.10.4 (nødvendig for å fange data)
Valgfri
asciidoctor-2.0.23, Brotli-1.1.0,
Doxygen-1.12.0, git-2.46.0, GnuTLS-3.8.7.1, libnl-3.10.0, libxslt-1.1.42, libxml2-2.13.3, Lua-5.2.4, MIT Kerberos V5-1.21.3, nghttp2-1.62.1, qt5-components-5.15.14 med
qtmultimedia) (påkrevd hvis Qt-6.7.2 ikke er installert), SBC-2.0,
BCG729,
libilbc, libsmi,
libssh,
MaxMindDB, Minizip,
Snappy, og Spandsp
Kjernekonfigurasjon
Kjernen må ha pakkeprotokollen aktivert for at Wireshark skal fange opp levende pakker fra
nettverket:
[*] Networking support ---> [NET]
Networking options --->
<*/M> Packet socket [PACKET]
Hvis bygget som en modul, er navnet af_packet.ko.
Installasjon av Wireshark
Wireshark er en veldig stor og
kompleks applikasjon. Disse instruksjonene gir ytterligere
sikkerhetstiltak for å sikre at bare pålitelige brukere har lov til
å se nettverkstrafikk. Først, sett opp en systemgruppe for
wireshark. Som root bruker:
groupadd -g 62 wireshark
Fortsett å installere Wireshark
ved å kjøre følgende kommandoer:
mkdir build &&
cd build &&
cmake -D CMAKE_INSTALL_PREFIX=/usr \
-D CMAKE_BUILD_TYPE=Release \
-D CMAKE_INSTALL_DOCDIR=/usr/share/doc/wireshark-4.2.6 \
-G Ninja \
.. &&
ninja
Denne pakken kommer ikke med en testpakke.
Nå, som root bruker:
ninja install &&
install -v -m755 -d /usr/share/doc/wireshark-4.2.6 &&
install -v -m644 ../README.linux ../doc/README.* ../doc/randpkt.txt \
/usr/share/doc/wireshark-4.2.6 &&
pushd /usr/share/doc/wireshark-4.2.6 &&
for FILENAME in ../../wireshark/*.html; do
ln -s -v -f $FILENAME .
done &&
popd
unset FILENAME
Hvis du lastet ned noen av dokumentasjonsfilene fra siden oppført i
'Ytterligere nedlastinger', installer dem ved å utstede følgende
kommandoer som root bruker:
install -v -m644 <Nedlastede_filer> \
/usr/share/doc/wireshark-4.2.6
Sett nå eierskap og tillatelser for sensitive applikasjoner til
bare å tillate autoriserte brukere. Som root bruker:
chown -v root:wireshark /usr/bin/tshark &&
chmod -v 6550 /usr/bin/tshark
Til slutt legger du til brukere i wireshark gruppen (som
root bruker):
usermod -a -G wireshark <brukernavn>
Hvis du installerer wireshark for første gang, vil det være
nødvendig å logge ut av økten og logge på igjen. Dette vil sette
wireshark i din gruppe, fordi ellers vil ikke Wireshark fungere
skikkelig.
Konfigurere Wireshark
Konfigurasjonsfiler
/etc/wireshark.conf og ~/.config/wireshark/* (med mindre det allerede
er ~/.wireshark/* i systemet)
Konfigurasjonsinformasjon
Selv om standard konfigurasjonsparametere er veldig fornuftige,
referer konfigurasjonsdelen av Wireshark User's
Guide for konfigurasjonsinformasjon. Meste av Wireshark sin konfigurasjon kan utføres ved
å bruke menyalternativene til wireshark grafiske grensesnitt.
Note
Hvis du vil se på pakker, sørg for at du ikke filtrerer dem ut
med iptables-1.8.10. Hvis du vil utelukke
visse klasser av pakker, er det mer effektivt å gjøre det med
iptables enn det er med
Wireshark.
Innhold
Installerte Programmer:
capinfos, captype, editcap, idl2wrs,
mergecap, randpkt, rawshark, reordercap, sharkd, text2pcap,
tshark, og wireshark
Installerte Biblioteker:
libwireshark.so, libwiretap.so,
libwsutil.so, og mange moduler under
/usr/lib/wireshark/plugins
Installerte Mapper:
/usr/{lib,share}/wireshark og
/usr/share/doc/wireshark-4.2.6
Korte Beskrivelser
|
capinfos
|
leser en lagret fangstfil og returnerer noen eller alle
av flere statistikker om den filen. Den er i stand til å
oppdage og lese all fangst støttet av Wireshark pakken
|
|
captype
|
skriver ut filtypene for fangstfiler
|
|
editcap
|
redigerer og/eller oversetter formatet til fangstfiler.
Det vet hvordan å lese libpcap fangstfiler, inkludert
tcpdump,
Wireshark og andre
verktøy som skriver fangster i det formatet
|
|
idl2wrs
|
er et program som tar en brukerspesifisert CORBA IDL fil
og genererer “C” kildekode for en Wireshark “programtillegg.” Den er avhengig av
to Python programmer wireshark_be.py og
wireshark_gen.py, som
ikke er installert som standard. De må kopieres manuelt
fra tools mappen til
$PYTHONPATH/site-packages/
mappen
|
|
mergecap
|
kombinerer flere lagrede fangstfiler til en enkelt
utdatafil
|
|
randpkt
|
oppretter tilfeldige pakkefangstfiler
|
|
rawshark
|
dumper og analyserer rå libpcap data
|
|
reordercap
|
omorganiserer tidsstempler for inndatafilrammer til en
utdatafil
|
|
sharkd
|
er en nisse som lytter på UNIX sockets
|
|
text2pcap
|
leser inn en ASCII hex dump og skriver dataene beskrevet
i en libpcap-stil
fangstfil
|
|
tshark
|
er en TTY-modus nettverksprotokollanalysator. Den lar deg
fange pakkedata fra et levende nettverk eller lese pakker
fra en tidligere lagret fangstfil
|
|
wireshark
|
er Qt GUI nettverksprotokollanalysator. Den lar deg
interaktivt bla gjennom pakkedata fra et levende nettverk
eller fra en tidligere lagret fangstfil
|
|
libwireshark.so
|
inneholder funksjoner som brukes av Wireshark programmer for å utføre
filtrering og pakkefangst
|
|
libwiretap.so
|
er et bibliotek som utvikles som en fremtidig erstatning
for libpcap, den nåværende
standard Unix bibliotek for pakkefangst. For mer
informasjon, se README
filen i kilde wiretap
mappen
|