I vores tidligere vejledning har vi lært at bruge tcpdump-kommandoen til at indsamle netværkspakker med henblik på analyse/fejlfinding. Men det kan være en trættende opgave at analysere alle disse netværkslogs via CLI. Men det er ikke den eneste mulighed, vi kan også installere Wireshark, som har en GUI sammen med masser af funktioner & gør det nemt at fange & analysere netværkspakkerne.
Wireshark er gratis & Open source netværkspakkeanalysator, der bruges til netværksanalyse, fejlfinding osv. Wireshark er en software på tværs af platforme, der er tilgængelig for forskellige Linux/UNIX-distributioner, Mac-OS, Solaris, BSD & Windows osv. Det bruger GTK til at implementere brugergrænseflade & opfanger pakker ved hjælp af PCAP.
Anbefalet læsning: Top 7 kommandoer til overvågning af netværkstrafik i Linux
Også læs: Læs: Overvågning af netværksbåndbredde med iftop-kommandoen
Wireshark minder meget om tcpdump, den største forskel mellem de to er, at Wireshark har en grafisk grænseflade med indbyggede filtreringsmuligheder, hvilket gør den nem at bruge. Wireshark giver en række funktioner, nogle af disse funktioner er,
– Live packet capture & offline analyse,
– En række visningsfiltre,
– Understøttelse af hundredvis af protokoller,
– Rigtig VOIP-analyse,
– Læs/skriv funktion forskellige filformater,
– Live data kan læses fra ethernet port, Bluetooth, USB, Token rings tec
I denne tutorial vil vi lære at installere Wireshark på CentOS & Ubuntu operativsystem.
(Anbefalet læsning : Komplet overvågningsløsning : Installer OMD (Open Monitoring Distribution) )
Installation på CentOS
Hvor vi kan installere Wireshark, skal vi sikre os, at alle afhængigheder for Wireshark er til stede på systemet. Installer alle afhængigheder ved hjælp af følgende kommando,
$ yum install gcc gcc-c++ bison flex libpcap-devel qt-devel gtk3-devel rpm-build libtool c-ares-devel qt5-qtbase-devel qt5-qtmultimedia-devel qt5-linguist desktop-file-utils
Wireshark er tilgængelig med standard CentOS-pakkerepositorierne & kan installeres ved hjælp af YUM. Installer Wireshark på centos ved hjælp af følgende kommando,
$ sudo yum install wireshark wireshark wireshark-qt
Men du får muligvis ikke den nyeste pakke til Wireshark ved hjælp af denne metode. For at få den nyeste pakke til Wireshark skal vi installere den ved hjælp af kildekodepakker. Metoden til at installere Wireshark fra kildepakken er nævnt nedenfor.
Installation på Ubuntu
Først skal du installere alle de nødvendige afhængigheder for Wireshark ved hjælp af følgende kommando,
$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d
Når alle afhængigheder er blevet installeret, installer Wireshark (tilgængelig med Ubuntu-standardrepositorierne) ved hjælp af følgende kommando,
$ sudo apt-get install wireshark
Du kan også bruge de officielle repositorier for Ubuntu til at installere den nyeste Wireshark-pakke, som måske ikke er tilgængelig med Ubuntu-standardrepositoriet. Hvis du vil installere den nyeste Wireshark ved hjælp af det officielle repository, skal du køre følgende kommandoer i samme rækkefølge,
$ sudo add-apt-repository ppa:wireshark-dev/stable
$ sudo apt-get update
$ sudo apt-get install wireshark
Installation af Wireshark ved hjælp af kildekode
For at installere den nyeste version af Wireshark anbefales det, at vi installerer den ved at bygge en pakke fra kildekode. Du henter den nyeste Wireshark-kildepakke ved hjælp af følgende kommando,
$ wget https://1.as.dl.wireshark.org/src/wireshark-3.0.0.tar.xz
Udpak den ved hjælp af følgende kommando,
$ tar -xf wireshark-3.0.0.0.tar.xz -C /tmp
$ cd /tmp/wireshark-3.0.0.0
kør derefter følgende kommandoer for at kompilere & installere kildekoden,
$ ./autogen.sh
$ ./configure -enable-setcap-install
$ make
$ sudo make install
$ sudo ldconfig
Det er det, dette vil installere Wireshark på din maskine. For at starte Wireshark skal du nu enten åbne den via menuen eller udføre følgende kommando for at starte Wireshark via terminalen,
$ wireshark
Note: Hvis du får en “Tilladelse nægtet”-fejl, når du starter Wireshark som en lokal bruger, kan du starte Wireshark som root eller med sudo privilegier eller tilføje den lokale bruger til Wireshark-gruppen ved hjælp af følgende kommando,
$ sudo usermod -a -G wireshark brugernavn
Forsøg nu at starte Wireshark med igen. Det burde virke. Når Wireshark virker, kan du derefter vælge en hvilken som helst port for at starte pakkeopsamlingen & og derefter kan du anvende filtre til at analysere dataene.
Dette afslutter vores vejledning om installation af Wireshark på Centos & Ubuntu-systemer. Send venligst eventuelle forespørgsler eller forslag relateret til denne artikel ved hjælp af kommentarfeltet nedenfor.