Introduksjon til Wireshark
Wireshark pakken inneholder en
nettverks protokollanalysator, også kjent som en «sniffer.» Dette er
nyttig for å analysere registrerte data «off the wire» fra en
levende nettverkstilkobling, eller data lest fra en
registreringsfil.
Wireshark gir både en grafisk og
en TTY modus grenseflate for å undersøke fangede nettverkspakker
fra over 500 protokoller, samt muligheten til å lese en fangstfil
fra mange andre populære nettverksanalysatorer.
Notat
Utviklingsversjoner av BLFS kan ikke bygge eller kjøre noen
pakker riktig hvis LFS eller avhengigheter har blitt oppdatert
siden den siste stabile versjonene av bøkene.
Pakkeinformasjon
Ytterligere Nedlastinger
Wireshark Avhengigheter
Påkrevd
CMake-3.30.4, c-ares-1.33.1, GLib-2.82.1,
libgcrypt-1.11.0, Qt-6.7.3, og Speex-1.2.1
Anbefalt
libpcap-1.10.5 (nødvendig for å fange data)
Valgfri
asciidoctor-2.0.23, Brotli-1.1.0,
Doxygen-1.12.0, git-2.46.2, GnuTLS-3.8.7.1, libnl-3.10.0, libxslt-1.1.42, libxml2-2.13.4, Lua-5.4.7, MIT Kerberos V5-1.21.3, nghttp2-1.63.0, SBC-2.0, BCG729,
libilbc, libsmi,
libssh,
MaxMindDB, Minizip,
Snappy, og Spandsp
Kjernekonfigurasjon
Kjernen må ha pakkeprotokollen aktivert for at Wireshark skal fange opp levende pakker fra
nettverket:
[*] Networking support ---> [NET]
Networking options --->
<*/M> Packet socket [PACKET]
Hvis bygget som en modul, er navnet af_packet.ko
.
Installasjon av Wireshark
Wireshark er en veldig stor og
kompleks applikasjon. Disse instruksjonene gir ytterligere
sikkerhetstiltak for å sikre at bare pålitelige brukere har lov til
å se nettverkstrafikk. Først, sett opp en systemgruppe for
wireshark. Som root
bruker:
groupadd -g 62 wireshark
Fortsett å installere Wireshark
ved å kjøre følgende kommandoer:
mkdir build &&
cd build &&
cmake -D CMAKE_INSTALL_PREFIX=/usr \
-D CMAKE_BUILD_TYPE=Release \
-D CMAKE_INSTALL_DOCDIR=/usr/share/doc/wireshark-4.4.0 \
-G Ninja \
.. &&
ninja
Denne pakken kommer ikke med en testpakke.
Nå, som root
bruker:
ninja install &&
install -v -m755 -d /usr/share/doc/wireshark-4.4.0 &&
install -v -m644 ../README.linux ../doc/README.* ../doc/randpkt.txt \
/usr/share/doc/wireshark-4.4.0 &&
pushd /usr/share/doc/wireshark-4.4.0 &&
for FILENAME in ../../wireshark/*.html; do
ln -s -v -f $FILENAME .
done &&
popd
unset FILENAME
Hvis du lastet ned noen av dokumentasjonsfilene fra siden oppført i
'Ytterligere nedlastinger', installer dem ved å utstede følgende
kommandoer som root
bruker:
install -v -m644 <Nedlastede_filer>
\
/usr/share/doc/wireshark-4.4.0
Sett nå eierskap og tillatelser for sensitive applikasjoner til
bare å tillate autoriserte brukere. Som root
bruker:
chown -v root:wireshark /usr/bin/tshark &&
chmod -v 6550 /usr/bin/tshark
Til slutt legger du til brukere i wireshark gruppen (som
root
bruker):
usermod -a -G wireshark <brukernavn>
Hvis du installerer wireshark for første gang, vil det være
nødvendig å logge ut av økten og logge på igjen. Dette vil sette
wireshark i din gruppe, fordi ellers vil ikke Wireshark fungere
skikkelig.
Konfigurere Wireshark
Konfigurasjonsfiler
/etc/wireshark.conf
og ~/.config/wireshark/*
(med mindre det allerede
er ~/.wireshark/*
i systemet)
Konfigurasjonsinformasjon
Selv om standard konfigurasjonsparametere er veldig fornuftige,
referer konfigurasjonsdelen av Wireshark User's
Guide for konfigurasjonsinformasjon. Meste av Wireshark sin konfigurasjon kan utføres ved
å bruke menyalternativene til wireshark grafiske grensesnitt.
Notat
Hvis du vil se på pakker, sørg for at du ikke filtrerer dem ut
med iptables-1.8.10. Hvis du vil utelukke
visse klasser av pakker, er det mer effektivt å gjøre det med
iptables enn det er med
Wireshark.
Innhold
Installerte Programmer:
capinfos, captype, editcap, idl2wrs,
mergecap, randpkt, rawshark, reordercap, sharkd, text2pcap,
tshark, og wireshark
Installerte Biblioteker:
libwireshark.so, libwiretap.so,
libwsutil.so, og mange moduler under
/usr/lib/wireshark/plugins
Installerte Mapper:
/usr/{lib,share}/wireshark og
/usr/share/doc/wireshark-4.4.0
Korte Beskrivelser
capinfos
|
leser en lagret fangstfil og returnerer noen eller alle
av flere statistikker om den filen. Den er i stand til å
oppdage og lese all fangst støttet av Wireshark pakken
|
captype
|
skriver ut filtypene for fangstfiler
|
editcap
|
redigerer og/eller oversetter formatet til fangstfiler.
Det vet hvordan å lese libpcap fangstfiler, inkludert
tcpdump,
Wireshark og andre
verktøy som skriver fangster i det formatet
|
idl2wrs
|
er et program som tar en brukerspesifisert CORBA IDL fil
og genererer «C» kildekode for en Wireshark «programtillegg.» Den er avhengig av
to Python programmer wireshark_be.py og
wireshark_gen.py, som
ikke er installert som standard. De må kopieres manuelt
fra tools mappen til
$PYTHONPATH/site-packages/
mappen
|
mergecap
|
kombinerer flere lagrede fangstfiler til en enkelt
utdatafil
|
randpkt
|
oppretter tilfeldige pakkefangstfiler
|
rawshark
|
dumper og analyserer rå libpcap data
|
reordercap
|
omorganiserer tidsstempler for inndatafilrammer til en
utdatafil
|
sharkd
|
er en nisse som lytter på UNIX sockets
|
text2pcap
|
leser inn en ASCII hex dump og skriver dataene beskrevet
i en libpcap-stil
fangstfil
|
tshark
|
er en TTY-modus nettverksprotokollanalysator. Den lar deg
fange pakkedata fra et levende nettverk eller lese pakker
fra en tidligere lagret fangstfil
|
wireshark
|
er Qt GUI nettverksprotokollanalysator. Den lar deg
interaktivt bla gjennom pakkedata fra et levende nettverk
eller fra en tidligere lagret fangstfil
|
libwireshark.so
|
inneholder funksjoner som brukes av Wireshark programmer for å utføre
filtrering og pakkefangst
|
libwiretap.so
|
er et bibliotek som utvikles som en fremtidig erstatning
for libpcap , den nåværende
standard Unix bibliotek for pakkefangst. For mer
informasjon, se README
filen i kilde wiretap
mappen
|