Wireshark-4.4.0

Introduksjon til Wireshark

Wireshark pakken inneholder en nettverks protokollanalysator, også kjent som en «sniffer.» Dette er nyttig for å analysere registrerte data «off the wire» fra en levende nettverkstilkobling, eller data lest fra en registreringsfil.

Wireshark gir både en grafisk og en TTY modus grenseflate for å undersøke fangede nettverkspakker fra over 500 protokoller, samt muligheten til å lese en fangstfil fra mange andre populære nettverksanalysatorer.

[Notat]

Notat

Utviklingsversjoner av BLFS kan ikke bygge eller kjøre noen pakker riktig hvis LFS eller avhengigheter har blitt oppdatert siden den siste stabile versjonene av bøkene.

Pakkeinformasjon

Ytterligere Nedlastinger

Wireshark Avhengigheter

Påkrevd

CMake-3.30.4, c-ares-1.33.1, GLib-2.82.1, libgcrypt-1.11.0, Qt-6.7.3, og Speex-1.2.1

Anbefalt

Valgfri

asciidoctor-2.0.23, Brotli-1.1.0, Doxygen-1.12.0, git-2.46.2, GnuTLS-3.8.7.1, libnl-3.10.0, libxslt-1.1.42, libxml2-2.13.4, Lua-5.4.7, MIT Kerberos V5-1.21.3, nghttp2-1.63.0, SBC-2.0, BCG729, libilbc, libsmi, libssh, MaxMindDB, Minizip, Snappy, og Spandsp

Kjernekonfigurasjon

Kjernen må ha pakkeprotokollen aktivert for at Wireshark skal fange opp levende pakker fra nettverket:

[*] Networking support --->                                                [NET]
  Networking options --->
    <*/M> Packet socket                                                 [PACKET]

Hvis bygget som en modul, er navnet af_packet.ko.

Installasjon av Wireshark

Wireshark er en veldig stor og kompleks applikasjon. Disse instruksjonene gir ytterligere sikkerhetstiltak for å sikre at bare pålitelige brukere har lov til å se nettverkstrafikk. Først, sett opp en systemgruppe for wireshark. Som root bruker:

groupadd -g 62 wireshark

Fortsett å installere Wireshark ved å kjøre følgende kommandoer:

mkdir build &&
cd    build &&

cmake -D CMAKE_INSTALL_PREFIX=/usr \
      -D CMAKE_BUILD_TYPE=Release  \
      -D CMAKE_INSTALL_DOCDIR=/usr/share/doc/wireshark-4.4.0 \
      -G Ninja \
      .. &&
ninja

Denne pakken kommer ikke med en testpakke.

Nå, som root bruker:

ninja install &&

install -v -m755 -d /usr/share/doc/wireshark-4.4.0 &&
install -v -m644    ../README.linux ../doc/README.* ../doc/randpkt.txt \
                    /usr/share/doc/wireshark-4.4.0 &&

pushd /usr/share/doc/wireshark-4.4.0 &&
   for FILENAME in ../../wireshark/*.html; do
      ln -s -v -f $FILENAME .
   done &&
popd
unset FILENAME

Hvis du lastet ned noen av dokumentasjonsfilene fra siden oppført i 'Ytterligere nedlastinger', installer dem ved å utstede følgende kommandoer som root bruker:

install -v -m644 <Nedlastede_filer> \
                 /usr/share/doc/wireshark-4.4.0

Sett nå eierskap og tillatelser for sensitive applikasjoner til bare å tillate autoriserte brukere. Som root bruker:

chown -v root:wireshark /usr/bin/tshark &&
chmod -v 6550 /usr/bin/tshark

Til slutt legger du til brukere i wireshark gruppen (som root bruker):

usermod -a -G wireshark <brukernavn>

Hvis du installerer wireshark for første gang, vil det være nødvendig å logge ut av økten og logge på igjen. Dette vil sette wireshark i din gruppe, fordi ellers vil ikke Wireshark fungere skikkelig.

Konfigurere Wireshark

Konfigurasjonsfiler

/etc/wireshark.conf og ~/.config/wireshark/* (med mindre det allerede er ~/.wireshark/* i systemet)

Konfigurasjonsinformasjon

Selv om standard konfigurasjonsparametere er veldig fornuftige, referer konfigurasjonsdelen av Wireshark User's Guide for konfigurasjonsinformasjon. Meste av Wireshark sin konfigurasjon kan utføres ved å bruke menyalternativene til wireshark grafiske grensesnitt.

[Notat]

Notat

Hvis du vil se på pakker, sørg for at du ikke filtrerer dem ut med iptables-1.8.10. Hvis du vil utelukke visse klasser av pakker, er det mer effektivt å gjøre det med iptables enn det er med Wireshark.

Innhold

Installerte Programmer: capinfos, captype, editcap, idl2wrs, mergecap, randpkt, rawshark, reordercap, sharkd, text2pcap, tshark, og wireshark
Installerte Biblioteker: libwireshark.so, libwiretap.so, libwsutil.so, og mange moduler under /usr/lib/wireshark/plugins
Installerte Mapper: /usr/{lib,share}/wireshark og /usr/share/doc/wireshark-4.4.0

Korte Beskrivelser

capinfos

leser en lagret fangstfil og returnerer noen eller alle av flere statistikker om den filen. Den er i stand til å oppdage og lese all fangst støttet av Wireshark pakken

captype

skriver ut filtypene for fangstfiler

editcap

redigerer og/eller oversetter formatet til fangstfiler. Det vet hvordan å lese libpcap fangstfiler, inkludert tcpdump, Wireshark og andre verktøy som skriver fangster i det formatet

idl2wrs

er et program som tar en brukerspesifisert CORBA IDL fil og genererer «C» kildekode for en Wireshark «programtillegg.» Den er avhengig av to Python programmer wireshark_be.py og wireshark_gen.py, som ikke er installert som standard. De må kopieres manuelt fra tools mappen til $PYTHONPATH/site-packages/ mappen

mergecap

kombinerer flere lagrede fangstfiler til en enkelt utdatafil

randpkt

oppretter tilfeldige pakkefangstfiler

rawshark

dumper og analyserer rå libpcap data

reordercap

omorganiserer tidsstempler for inndatafilrammer til en utdatafil

sharkd

er en nisse som lytter på UNIX sockets

text2pcap

leser inn en ASCII hex dump og skriver dataene beskrevet i en libpcap-stil fangstfil

tshark

er en TTY-modus nettverksprotokollanalysator. Den lar deg fange pakkedata fra et levende nettverk eller lese pakker fra en tidligere lagret fangstfil

wireshark

er Qt GUI nettverksprotokollanalysator. Den lar deg interaktivt bla gjennom pakkedata fra et levende nettverk eller fra en tidligere lagret fangstfil

libwireshark.so

inneholder funksjoner som brukes av Wireshark programmer for å utføre filtrering og pakkefangst

libwiretap.so

er et bibliotek som utvikles som en fremtidig erstatning for libpcap, den nåværende standard Unix bibliotek for pakkefangst. For mer informasjon, se README filen i kilde wiretap mappen