ubuntu 下wireshark 软件安装与使用

  在ubuntu下，使用wireshark也是很有必要的。虽然可以使用tcpdump等工具。

ubuntu：11.10

    1. sudo apt-get install wireshark

    出于安全方面的考虑，普通用户不能够打开网卡设备进行抓包，wireshark不建议用户通过sudo在root权限下运行，wireshark为ubuntu（Debian）用户提供了一种在非root下的解决方法。（详细解释可以参考：/usr/share/doc/wireshark-common/README.Debian）

具体步骤：

 

    2. dpkg-reconfigure wireshark-common

“Should non-superusers be able to capture packages?”

选择Yes （默认是no）

    3. sudo vim /etc/group

在组策略中会出现wireshark组，默认没有任何用户属于这个组，只需把特定的用户加入组中（需要注销后重新登录来使设置生效）就可以以该用户来运行wireshark实时抓网络数据包

 

安装编译工具：

　　$sudo apt-get install build-essential

　　为了成功编译Wireshark，您需要安装GTK+的开发文件和GLib库(libraries)。

　　$sudo apt-get install libgtk2.0-dev libglib2.0-dev

　　安装Checkinstall以便管理您系统中直接由源代码编译安装的软件。

　　$sudo apt-get install checkinstall

wireshark源码下载地址：http://www.wireshark.org/download.html（页面中的source code）

下载后的文件名：wireshark-1.2.2.tar.bz2

cd到文件目录解压：$tar -xvf wireshark-1.2.2.tar.bz2

$cd wireshark-1.2.2

编译安装命令如下：

$./configure

$make
$sudo make install

其中make编译时间会比较长，这样下来就基本安装了。

下面是我这篇文章的关键，也是用ubuntu安装的过程中极有可能遇到的问题，且都是在进行./configure编译过程中出现，两个问题如下：

---------------------------------------------------------------------------------------------------------

问题1：

 

[c-sharp] view plaincopy

 

1. ./configure执行到最后出错  
2. checking for perl... /usr/bin/perl  
3. checking for bison... no  
4. checking for byacc... no  
5. checking for yacc... no  
6. configure: error: I couldn't find yacc (or bison or ...); make sure it's installed and in your path  

解决办法：

 

[c-sharp] view plaincopy

 

1. sudo apt-get install flex bison  

yacc(Yet Another Compiler Compiler)，是Unix/Linux上一个用来生成编译器的编译器（编译器代码生成器）。

如想深入了解google下。

 

问题2：

 

[c-sharp] view plaincopy

 

1. configure: error: Header file pcap.h not found; if you installed libpcap from source, did you also do "make install-incl", and if you installed a binary package of libpcap, is there also a developer's package of libpcap,  
2. and did you also install that package?  

问题原因是ubuntu下缺少pcap.h等文件。

解决方法：

编译安装libpcap.

在www.tcpdump.org页面中可下载源码：libpcap-1.0.0.tar.gz

cd到文件目录：

 

[c-sharp] view plaincopy

 

1. $tar -xvf libpcap-1.0.0.tar.gz  
2. $cd libpcap-1.0.0.tar.gz  
3. $./configure  
4. $make  
5. $sudo make install  

 

----------------------------------------------------------------------------------------------------------------------------------------------------

采用上面的方法后再回到文章前面的步骤：

$cd wireshark-1.2.2编译安装：

$./configure

$make
$sudo make install

 

这样就安装好了。

启动方法：进入wireshark-1.2.2，输入命令：

[c-sharp] view plaincopy

 

1. $sudo ./wireshark  

这里如果不用sudo，则wireshark找不到网络设备接口，这主要与权限有关，启动时注意下就行。

 

使用如下命令，可以得到Ethereal或Wireshark的详细依赖关系列表。

#apt-cache depends wireshark

#apt-cache depends etherea

 

#wireshark

 

 

#ethereal

 

 
选择需要捕捉的设备。

 

Capture -> Options

 

选择您想要捕捉的设备后点击Start。 
 

Wireshark的运行结果。 

为了更加高效的使用Wireshark，详细了解其各项功能以及学习如何管理和使用过滤器找到自己想要的结果也是十分必要的。 
界面说明：

在成功运行Wireshark之后，我们就可以进入下一步，更进一步了解这个强大的工具。 
下面是一张地址为192.168.1.2的计算机正在访问“openmaniak.com”网站时的截图。 

 

1. MENUS（菜单）

程序上方的8个菜单项用于对Wireshark进行配置：

- "File"（文件） - "Edit" （编辑） - "View"（查看） - "Go" （转到） - "Capture"（捕获） - "Analyze"（分析） - "Statistics" （统计）  - "Help" （帮助）

打开或保存捕获的信息。 查找或标记封包。进行全局设置。 设置Wireshark的视图。 跳转到捕获的数据。 设置捕捉过滤器并开始捕捉。 设置分析选项。 查看Wireshark的统计信息。 查看本地或者在线支持。

2. SHORTCUTS（快捷方式）

在菜单下面，是一些常用的快捷按钮。
您可以将鼠标指针移动到某个图标上以获得其功能说明。

 

3. DISPLAY FILTER（显示过滤器）

显示过滤器用于查找捕捉记录中的内容。
请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。 
4. PACKET LIST PANE（封包列表）

封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址，TCP/UDP端口号，协议或者封包的内容。
如果捕获的是一个OSI layer 2的封包，您在Source（来源）和Destination（目的地）列中看到的将是MAC地址，当然，此时Port（端口）列将会为空。
如果捕获的是一个OSI layer 3或者更高层的封包，您在Source（来源）和Destination（目的地）列中看到的将是IP地址。Port（端口）列仅会在这个封包属于第4或者更高层时才会显示。
您可以在这里添加/删除列或者改变各列的颜色：
Edit menu -> Preferences 

 

5. PACKET DETAILS PANE（封包详细信息）

这里显示的是在封包列表中被选中项目的详细信息。
信息按照不同的OSI layer进行了分组，您可以展开每个项目查看。下面截图中展开的是HTTP信息。

 

6. DISSECTOR PANE（16进制数据）

“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同，只是改为以16进制的格式表述。
在上面的例子里，我们在“封包详细信息”中选择查看TCP端口（80），其对应的16进制数据将自动显示在下面的面板中（0050）。
7. MISCELLANOUS（杂项）

在程序的最下端，您可以获得如下信息：
- - 正在进行捕捉的网络设备。
- 捕捉是否已经开始或已经停止。
- 捕捉结果的保存位置。
- 已捕捉的数据量。
- 已捕捉封包的数量。(P)
- 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)
- 被标记的封包数量。(M)
过滤器：

 

正如您在Wireshark教程第一部分看到的一样，安装、运行Wireshark并开始分析网络是非常简单的。 
使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。
过犹不及。
这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。

- -	捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

那么我应该使用哪一种过滤器呢？
两种过滤器的目的是不同的。
捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。
显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。
两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍：

 

1. 捕捉过滤器
捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。 
设置捕捉过滤器的步骤是：
- 选择 capture -> options。
- 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。
- 点击开始（Start）进行捕捉。 

 

语法：

Protocol

Direction

Host(s)

Value

Logical Operations

Other expression

例子：

tcp

dst

10.1.1.1

80

and

tcp dst 10.2.2.2 3128

 

Protocol（协议）:
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议，则默认使用所有支持的协议。 
Direction（方向）:

可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地，则默认使用 "src or dst" 作为关键字。
例如，"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。

Host(s):

可能的值： net, port, host, portrange.
如果没有指定此值，则默认使用"host"关键字。
例如，"src 10.1.1.1"与"src host 10.1.1.1"相同。

Logical Operations（逻辑运算）:

可能的值：not, and, or.
否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级，运算时从左至右进行。
例如，
"not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。
"not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。

例子：

 

tcp dst port 3128

 

显示目的TCP端口为3128的封包。

 

ip src host 10.1.1.1

 

显示来源IP地址为10.1.1.1的封包。

 

host 10.1.2.3

 

显示目的或来源IP地址为10.1.2.3的封包。

 

src portrange 2000-2500

 

显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包。

 

not imcp

 

显示除了icmp以外的所有封包。（icmp通常被ping工具使用）

 

src host 10.7.2.12 and not dst net 10.200.0.0/16

 

显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。

 

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

 

显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。

注意事项：
当使用关键字作为值时，需使用反斜杠“”。
"ether proto ip" (与关键字"ip"相同).
这样写将会以IP协议作为目标。
"ip proto icmp" (与关键字"icmp"相同).
这样写将会以ping工具常用的icmp作为目标。 
可以在"ip"或"ether"后面使用"multicast"及"broadcast"关键字。
当您想排除广播请求时，"no broadcast"就会非常有用。

查看 TCPdump的主页以获得更详细的捕捉过滤器语法说明。
在Wiki Wireshark website上可以找到更多捕捉过滤器的例子。

2. 显示过滤器：
通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。
它的功能比捕捉过滤器更为强大，而且在您想修改过滤器条件时，并不需要重新捕捉一次。

 

语法：

Protocol

.

String 1

.

String 2

Comparison operator

Value

Logical Operations

Other expression

例子：

ftp

passive

ip

==

10.2.3.4

xor

icmp.type

 

 Protocol（协议）:
您可以使用大量位于OSI模型第2至7层的协议。点击"Expression..."按钮后，您可以看到它们。
比如：IP，TCP，DNS，SSH
 
您同样可以在如下所示位置找到所支持的协议：

 
Wireshark的网站提供了对各种 协议以及它们子类的说明。 
 String1, String2 (可选项):
协议的子类。
点击相关父类旁的"+"号，然后选择其子类。 
 
 Comparison operators （比较运算符）: 
可以使用6种比较运算符：

 

英文写法：	C语言写法：	含义：
eq	==	等于
ne	!=	不等于
gt	>	大于
lt	<<center>	小于
ge	>=	大于等于
le	<=	小于等于

 

 Logical expressions（逻辑运算符）:

 

英文写法：	C语言写法：	含义：
and	&&	逻辑与
or	||	逻辑或
xor	^^	逻辑异或
not	!	逻辑非

 

被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时，只有当且仅当其中的一个条件满足时，这样的结果才会被显示在屏幕上。
让我们举个例子：
"tcp.dstport 80 xor tcp.dstport 1025"
只有当目的TCP端口为80或者来源于端口1025（但又不能同时满足这两点）时，这样的封包才会被显示。

例子：

snmp || dns || icmp

显示SNMP或DNS或ICMP封包。

ip.addr == 10.1.1.1

显示来源或目的IP地址为10.1.1.1的封包。

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。
换句话说，显示的封包将会为：
来源IP：除了10.1.2.3以外任意；目的IP：任意
以及
来源IP：任意；目的IP：除了10.4.5.6以外任意

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。 
换句话说，显示的封包将会为：
来源IP：除了10.1.2.3以外任意；同时须满足，目的IP：除了10.4.5.6以外任意

tcp.port == 25

显示来源或目的TCP端口号为25的封包。

tcp.dstport == 25

显示目的TCP端口号为25的封包。

tcp.flags

显示包含TCP标志的封包。

tcp.flags.syn == 0x02

显示包含TCP SYN标志的封包。

如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。

	表达式正确
	表达式错误

您可以在Wireshark官方网站或Wiki Wireshark website上找到关于显示过滤器的补充信息。