Как установить и использовать Wireshark в Ubuntu 20.04 LTS

Wireshark - это инструмент для анализа сетевых протоколов с открытым исходным кодом, незаменимый для системного администрирования и безопасности. Он детализирует и отображает данные, перемещающиеся по сети. Wireshark позволяет захватывать сетевые пакеты в реальном времени или сохранять их для автономного анализа.

Одна из особенностей Wireshark, которую вам будет интересно изучить, - это фильтр отображения, который позволяет вам проверять только тот трафик, который вам действительно интересен. Wireshark доступен для различных платформ, включая Windows, Linux, MacOS, FreeBSD и некоторые другие.

Некоторые из задач, которые можно выполнять с помощью Wireshark:

  • Захват и обнаружение трафика, проходящего через вашу сеть
  • Проверка сотен различных протоколов
  • Захват трафика в реальном времени / автономный анализ
  • Устранение неполадок с потерянными пакетами и проблемами задержки
  • Поиск при попытках атак или злонамеренных действий

В этой статье мы объясним, как установить Wireshark в системе Ubuntu. Процедуры установки были протестированы на Ubuntu 20.04 LTS.

Примечание:

  • Мы использовали терминал командной строки для процедуры установки. Вы можете запустить Терминал с помощью сочетания клавиш Ctrl + Alt + T.
  • Вы должны быть пользователем root или иметь права sudo, чтобы установить и использовать Wireshark для сбора данных в вашей системе.

Установка Wireshark

Для установки Wireshark вам необходимо добавить репозиторий «Universe». Для этого введите следующую команду в Терминале:

$ sudo add-apt-repository universe

Теперь введите следующую команду в Терминале для установки Wireshark в вашей системе:

$ sudo apt install Wireshark

При запросе пароля введите sudo password.

После выполнения указанной выше команды вас могут попросить подтвердить, нажмите y, а затем нажмите Enter, после чего в вашей системе начнется установка Wireshark.

Во время установки Wireshark появится следующее окно с вопросом, хотите ли вы разрешить пользователям, не являющимся суперпользователями, захватывать пакеты. Включение его может представлять угрозу безопасности, поэтому лучше оставить его отключенным и нажать Enter .

После завершения установки Wireshark вы можете проверить это с помощью следующей команды в Терминале:

$ wireshark --version

Если Wireshark успешно установлен, вы получите аналогичный вывод, отображающий установленную версию Wireshark.

Запустите Wireshark

Теперь вы готовы запустить и использовать Wireshark на своем компьютере с Ubuntu. Чтобы запустить Wireshark, введите в Терминале следующую команду:

$ sudo wireshark

Если вы вошли в систему как пользователь root, вы также можете запустить Wireshark из графического интерфейса. Нажмите супер-клавишу и введите wirehark в строке поиска. Когда появится значок Wireshark, щелкните его, чтобы запустить.

Помните, что вы не сможете захватить сетевой трафик, если запустите Wireshark без прав root или sudo.

Когда откроется Wireshark, вы увидите следующее представление по умолчанию:

Использование Wireshark

Wireshark - мощный инструмент с множеством функций. Здесь мы просто рассмотрим основы двух важных функций: захват пакетов и фильтр отображения.

Захват пакетов

Для захвата пакетов с помощью Wireshark выполните следующие простые шаги:

1. Из списка доступных сетевых интерфейсов в окне Wireshark выберите интерфейс, на котором вы хотите захватывать пакеты.

2. На панели инструментов вверху нажмите кнопку «Пуск», чтобы начать захват пакетов на выбранном интерфейсе, как показано на следующем снимке экрана.

Если в настоящее время нет трафика, вы можете генерировать некоторый трафик, посетив любой веб-сайт или получив доступ к файлу, доступному в сети. После этого вы увидите, что захваченные пакеты отображаются в режиме реального времени.

3. Чтобы остановить захват пакетов, нажмите кнопку остановки, как показано на следующем снимке экрана.

На приведенном выше снимке экрана вы можете увидеть Wireshark, разделенный на три панели:

1. Самый верхний участник панели - все пакеты, захваченные Wireshark.

2. На средней панели отображаются сведения о заголовке каждого выбранного пакета.

3. Третья панель показывает необработанные данные каждого выбранного пакета.

Фильтр отображения

Как вы видели на скриншотах выше, Wireshark отображает большое количество пакетов для одной сетевой активности. В обычной сети тысячи пакетов передаются туда и обратно по вашей сети. Очень сложно найти конкретный пакет из тысяч перехваченных пакетов. А вот и функция фильтрации отображения в Wireshark.

С фильтрами отображения Wireshark вы можете отображать только те типы пакетов, которые вам нужны. Таким образом, он сужает результаты и позволяет вам легко найти то, что вы ищете. Вы можете фильтровать результаты по протоколам, IP-адресам источника и назначения, номеру порта и другим параметрам.

Wireshark имеет множество предустановленных фильтров, которые вы можете использовать. Когда вы начинаете вводить имя фильтра, Wireshark помогает вам автоматически заполнить его, предлагая имена. Чтобы отображать только пакеты, содержащие определенный протокол, введите имя протокола в поле «Применить фильтр отображения» под панелью инструментов.

Пример:

Чтобы отобразить только TCP-пакеты из всех захваченных пакетов, введите tcp . После ввода имени фильтра вы увидите только TCP-пакеты.

Вот как вы можете установить и использовать Wireshark в системе Ubuntu 20.04 LTS. Мы только что обсудили основы инструмента Wireshark. Чтобы получить твердое представление о Wireshark, вам необходимо изучить все функции и поэкспериментировать с ними.

Комментарии