簡(jiǎn)介：在本教程中，您將學(xué)習(xí)在Ubuntu 18.04和其他基于Ubuntu的Linux發(fā)行版上安裝最新的Wireshark。您還將學(xué)習(xí)如何在不使用sudo的情況下運(yùn)行Wireshark，以及如何對(duì)其進(jìn)行設(shè)置以進(jìn)行數(shù)據(jù)包嗅探。

Wireshark 是一個(gè)免費(fèi)開源的網(wǎng)絡(luò)嗅探器 – 一個(gè)用于抓取和分析網(wǎng)絡(luò)數(shù)據(jù)包的工具，在全球范圍內(nèi)廣泛使用。 Wireshark 可以解碼的協(xié)議數(shù)量巨大，不勝枚舉。

借助Wireshark，您可以實(shí)時(shí)捕獲網(wǎng)絡(luò)的傳入和傳出數(shù)據(jù)包，并將其用于網(wǎng)絡(luò)故障排除，數(shù)據(jù)包分析，軟件和通信協(xié)議開發(fā)等。

它在所有主要的桌面操作系統(tǒng)（例如Windows，Linux，macOS，BSD等）上均可用。

在本教程中，我將指導(dǎo)您在Ubuntu和其他基于Ubuntu的發(fā)行版上安裝Wireshark。我還將展示一些有關(guān)設(shè)置和配置Wireshark以捕獲數(shù)據(jù)包的信息。

在基于Ubuntu的Linux發(fā)行版上安裝Wireshark

Wireshark在所有主要的Linux發(fā)行版中均可用。您應(yīng)該查看官方安裝說(shuō)明。因?yàn)樵诒窘坛讨?，我將專注于僅在基于Ubuntu的發(fā)行版上安裝最新的Wireshark版本。

Wireshark可以在Ubuntu的Universe存儲(chǔ)庫(kù)中找到。 現(xiàn)在啟用Universe資源庫(kù)，然后按以下方式安裝它：

[linuxidc@linuxidc:~/www.linuxidc.com] $ sudo add-apt-repository universe
密碼：
已對(duì)所有源啟用了 “universe” 發(fā)行版組件。

[linuxidc@linuxidc:~/www.linuxidc.com] $ sudo apt install wireshark

這種方法的一個(gè)小問(wèn)題是您可能不會(huì)總是獲得最新版本的Wireshark。

例如，在Ubuntu 18.04中，如果使用apt命令檢查Wireshark的可用版本，則為2.6。

[linuxidc@linuxidc:~/www.linuxidc.com] $ apt show wireshark
Package: wireshark
Version: 2.6.10-1~ubuntu18.04.0
Priority: optional
Section: universe/net
Origin: Ubuntu

新版本帶來(lái)了新功能。Wiresshark開發(fā)人員為我們提供了一個(gè)官方PPA，您可以使用它在Ubuntu和其他基于Ubuntu的發(fā)行版上安裝Wireshark的最新穩(wěn)定版本。

打開一個(gè)終端，并逐一使用以下命令：

[linuxidc@linuxidc:~/www.linuxidc.com] $ sudo add-apt-repository ppa:wireshark-dev/stable

[linuxidc@linuxidc:~/www.linuxidc.com] $ sudo apt update

[linuxidc@linuxidc:~/www.linuxidc.com] $ sudo apt install wireshark

即使您安裝了舊版本的Wireshark，它也會(huì)更新為新版本。

在安裝時(shí)，系統(tǒng)將詢問(wèn)您是否允許非超級(jí)用戶捕獲數(shù)據(jù)包。 選擇是允許，選擇否限制非超級(jí)用戶捕獲數(shù)據(jù)包并完成安裝。

在沒(méi)有sudo的情況下運(yùn)行Wireshark

如果在先前的安裝中選擇了“否”，請(qǐng)以超級(jí)用戶身份運(yùn)行以下命令：

[linuxidc@linuxidc:~/www.linuxidc.com] $ sudo dpkg-reconfigure wireshark-common

然后按Tab鍵，選擇“是”，然后使用Enter鍵：

由于您已允許非超級(jí)用戶捕獲數(shù)據(jù)包，因此必須將用戶添加到wireshark組。 使用usermod命令將您自己添加到wirehark組。

sudo usermod -aG wireshark $(whoami)

最后，重新啟動(dòng)Ubuntu系統(tǒng)以對(duì)系統(tǒng)進(jìn)行必要的更改。

Wireshark于1998年首次發(fā)布，最初被稱為Ethereal。 由于商標(biāo)問(wèn)題，開發(fā)人員不得不在2006年將其名稱更改為Wireshark。

啟動(dòng)Wireshark

可以從應(yīng)用程序啟動(dòng)器或CLI啟動(dòng)Wireshark應(yīng)用程序。

要從CLI開始，只需在控制臺(tái)上鍵入wireshark：

wireshark

從GUI中，在搜索欄上搜索Wireshark應(yīng)用程序，然后按Enter。

現(xiàn)在讓我們來(lái)玩Wireshark吧。

使用Wireshark捕獲數(shù)據(jù)包

啟動(dòng)Wireshark時(shí)，您會(huì)看到一個(gè)接口列表，可用于捕獲往返的數(shù)據(jù)包。

您可以使用Wireshark監(jiān)視許多類型的接口，例如有線，外部設(shè)備等。根據(jù)您的喜好，您可以選擇在歡迎屏幕中從下面給定圖像的標(biāo)記區(qū)域顯示特定類型的接口。

選擇界面

例如，我只列出了無(wú)線網(wǎng)絡(luò)接口。

接下來(lái)，要開始捕獲數(shù)據(jù)包，您必須選擇接口（在我的情況下是wlp2s0），然后單擊開始捕獲數(shù)據(jù)包圖標(biāo)，如下圖所示。

您還可以同時(shí)捕獲與多個(gè)接口之間的數(shù)據(jù)包。在要捕獲的接口上單擊并按住CTRL鍵，然后單擊開始捕獲數(shù)據(jù)包圖標(biāo)。

現(xiàn)在，您可以選擇任何數(shù)據(jù)包以檢查該特定數(shù)據(jù)包。單擊特定的數(shù)據(jù)包后，您可以查看有關(guān)與其關(guān)聯(lián)的TCP/IP協(xié)議不同層的信息。您還可以在底部看到該特定數(shù)據(jù)包的RAW數(shù)據(jù)。

這就是為什么端到端加密很重要的原因，想象一下，您正在登錄一個(gè)不使用HTTPS的網(wǎng)站。與您位于同一網(wǎng)絡(luò)上的任何人都可以嗅探數(shù)據(jù)包，并在RAW數(shù)據(jù)中查看用戶名和密碼。這就是為什么大多數(shù)聊天應(yīng)用程序都使用端到端加密，而如今大多數(shù)網(wǎng)站都使用https（而不是http）的原因。

停止Wireshark中的數(shù)據(jù)包捕獲

您可以單擊給定標(biāo)記的紅色圖標(biāo)以停止捕獲Wireshark數(shù)據(jù)包。

將捕獲的數(shù)據(jù)包保存到文件

您可以單擊下面圖像中的標(biāo)記圖標(biāo)，將捕獲的數(shù)據(jù)包保存到文件中以備將來(lái)使用。

保存Wireshark捕獲的數(shù)據(jù)包

注意：輸出可以導(dǎo)出為XML，PostScript®，CSV或純文本。

接下來(lái)，選擇一個(gè)目標(biāo)文件夾，然后鍵入文件名，然后單擊“保存”。

然后選擇文件，然后單擊“打開”。

現(xiàn)在，您可以隨時(shí)打開并分析已保存的數(shù)據(jù)包。要打開文件，請(qǐng)轉(zhuǎn)到“文件”>“從Wireshark打開”。

捕獲的數(shù)據(jù)包應(yīng)從文件中加載。

總結(jié)

Wireshark支持許多不同的通信協(xié)議。有許多選項(xiàng)和功能，使您能夠以獨(dú)特的方式捕獲和分析網(wǎng)絡(luò)數(shù)據(jù)包。您可以從Wireshark的官方文檔中了解更多信息。

OK，就這樣，本文詳細(xì)介紹了如何在Ubuntu上安裝與使用Wireshark的過(guò)程，希望對(duì)你有所幫助。

相關(guān)：

在Ubuntu 17.10, 16.04中安裝Wireshark 2.4.4  http://www.linuxidc.com/Linux/2018-01/150472.htm

Wireshark 3.0.0 發(fā)布，開源和跨平臺(tái)網(wǎng)絡(luò)協(xié)議分析軟件  http://www.haoyitu.cn/Linux/2019-03/157213.htm