Bruke Wireshark på Ubuntu
Wireshark er en kraftig open source-nettverksanalysator som kan brukes til å snuse dataene på et nettverk, som et hjelpemiddel for å feilsøke nettverkstrafikkanalyse, men også som et pedagogisk verktøy for å forstå prinsippene for nettverk og kommunikasjonsprotokoller.
Den er lett tilgjengelig for omtrent hvilken som helst Linux-distribusjon og for Ubuntu, kan den installeres via Ubuntu Software Center eller terminalen:
sudo apt-get install wireshark
Før du bruker wireshark, må dumpcap
verktøyet gis tillatelse til å kjøre som root. Uten dette vil Wireshark ikke kunne fange nettverkstrafikk når du er logget inn som en vanlig bruker (som alltid er i distribusjoner som Ubuntu). For å legge til " setuid
" dumpcap
til dumpcap
, bruk følgende kommando:
sudo chmod 4711 `som dumpcap`
Vær oppmerksom på at anførselstegnene merker rundt "hvilken dumpkapsel" er ikke normale enkelt anførselstegn, men snarere gravekarakteren. På Unix-lignende systemer påkaller dette kommandosubstitusjon der utgangen fra which
kommando blir en parameter for chmod
kommandoen, dvs. den fullstendige banen til binær dumpcap
.
Start Wireshark og klikk deretter på nettverksgrensesnittet du vil bruke til å fange dataene. På et kablet nettverk, vil det trolig være eth0
. Klikk nå Start.
Wireshark vil begynne å fange trafikk og vise den som en fargekodet liste i hovedvinduet. TCP-trafikken er grønn, UDP-pakker er lyseblå, ARP-forespørsler er gule og DNS-trafikk vises i mørk blå.
Like under verktøylinjen er Filter-boksen. Hvis du bare vil se bestemte typer nettverkspakker, skriver du inn protokollnavnet i redigeringsboksen og klikker på Bruk. For eksempel, for å se kun ARP (Address Resolution Protocol) -meldingen, skriv inn arp
i Filter-boksen og klikk Apply. Listen endres til å bare vise ARP-meldinger. ARP brukes på et LAN for å oppdage hvilken maskin som bruker en bestemt IP-adresse. Andre eksempelfiltre er HTTP, ICMP, SMTP, SMB og så videre.
Wireshark kan filtrere ved hjelp av mer avanserte kriterier enn bare protokoll typen. For eksempel, for å se all DNS-relatert trafikk som kommer fra en bestemt vert, bruk filteret ip.src==192.168.1.101 and dns
der 192.168.1.101
er kilden adressen du vil filtrere.
Hvis du ser et interessant samspill mellom to verter som du vil se i sin helhet, har Wireshark et "følge stream" -alternativ. Høyreklikk på hvilken som helst pakke i Exchange, og klikk deretter på "Følg TCP Stream" (eller Følg UDP Stream, Følg SSL Stream, avhengig av protokolltypen). Wireshark vil da vise en komplett kopi av samtalen.
Prøv dette
Bruke Wireshark kan være så komplisert eller så enkelt som du trenger det, det er mange avanserte funksjoner for nettverkseksperter, men de som ønsker å lære om nettverk, kan også dra nytte av å bruke den. Her er noe å prøve hvis du vil lære mer om Wireshark. Start en fangst og sett filteret til ICMP. Nå ping Linux-maskinen din ved hjelp av en kommando som dette fra en annen Linux-maskin eller fra en Windows PC-kommandopåse:
ping 192.168.1.10
Hvor 192.168.1.10
er IP-adressen til Linux-maskinen. Se nå på pakkelisten og se om du ser nettverkstrafikken for pingen.