Wireshark数据抓包教程之安装Wireshark

安装Wireshark

通过上一节的学习可以根据自己的操作系统来下载安装Wireshark了。本书中已开发版1.99.7（中文版）为主，下面介绍分别在Windows和Linux上安装Wireshark。

在Windows系统中安装Wireshark

【实例1-1】在Windows中安装Wireshark。具体操作步骤如下所示：

（1）从Wireshark官网下载开发版的Windows安装包，其名称为Wireshark-win64-1.99.7.exe。

（2）双击下载的软件包，将显示如图1.8所示的界面。

（3）该界面显示了Wireshark的基本信息。此时单击Next按钮，将弹出许可协议对话框，如图1.9所示。

图1.8 欢迎界面图1.9 许可协议对话框

（4）该界面显示了使用Wireshark的许可证条款信息。此时单击I Agree按钮，将弹出选择组件对话框，如图1.10所示。

（5）该界面选择希望安装的Wireshark组件，这里使用默认的设置。然后单击Next按钮，将弹出Select Additional Tasks对话框，如图1.11所示。

图1.10 选择组件对话框图1.11 Select Additional Tasks对话框

（6）该界面用来设置创建快捷方式的位置和关联文件扩展名。设置完后，单击Next按钮，将显示安装位置对话框，如图1.12所示。

（7）在该界面选择Wireshark的安装位置。然后单击Next按钮，将显示安装WinPcap对话框，如图1.13所示。

图1.12 安装位置对话框图1.13 安装WinPcap对话框

（8）该界面提示是否要安装WinPcap。如果要使用Wireshark捕获数据，必须要安装WinPcap。所以这里必须将Install WinPcap 4.1.3复选框勾上。然后单击Install按钮，Wireshark将开始安装。等Wireshark安装过程进行了大约一半的时候，将弹出WinPcap欢迎界面，如图1.14所示。

（9）该界面显示了WinPcap基本信息。此时单击Next按钮，将显示WinPcap许可证条款对话框，如图1.15所示。

图1.14 WinPcap欢迎界面图1.15 WinPcap许可证条款对话框

（10）该界面显示了WinPcap许可证条款信息。此时单击I Agree按钮，将显示安装选项，如图1.16所示。

（11）在该界面显示了安装WinPcap选项，然后单击Install按钮，将显示如图1.17所示的界面。

图1.16 安装选项图1.17 安装WinPcap完成

（12）从该界面可以看到WinPcap已安装完成。此时单击Finish按钮，将继续安装Wireshark。安装完成后，将显示如图1.18所示的界面。

（13）从该界面可以看到Wireshark已经安装完成。此时单击Next按钮，将显示如图1.19所示的界面。

图1.18 Wireshark安装完成图1.19 完成界面

（14）从该界面可以看到Wireshark设置向导完成。此时如果想直接启动Wireshark，则选择Run Wireshark 1.99.7(64-bit)复选框。然后单击Finish按钮，Wireshark即可启动。

注意：在进行第7个步骤选择Wireshark的安装位置时，使用默认的安装位置。因为在安装WinPcap时，不能选择安装位置，它默认安装在C:\Program Files(x86)下。

（15）安装好以后，在Windows窗口程序中会出现Wireshark的两个图标，如图1.20所示。

（16）启动Wireshark Legacy程序是英文版界面，如图1.21所示。启动Wireshark是中文版界面，如图1.22所示。

图1.20 Wireshark图标图1.21 Wireshark英文版界面

图1.22 Wireshark中文版界面

在Linux系统中安装Wireshark

【实例1-2】下面演示在Kali Linux系统中安装Wireshark。具体操作步骤如下所示：

（1）从Wireshark官网下载Wireshark测试版的源码包，其软件名为wireshark-1.99.7.tar.bz2。这里把下载的包放在/root/。执行命令查看如下所示：

root@1:~# ls
Desktop New Graph (1).mtgx wireshark-1.99.7.tar.bz2

从输出信息中可以看到源码包wireshark-1.99.7.tar.bz2。

（2）解压Wireshark软件包。执行命令如下所示：

root@1:~# tar -jxvf wireshark-1.99.7.tar.bz2 -C /

执行上述命令后，wireshark-1.99.7.tar.bz2被解压到/目录下。并生成一个名为wireshark-1.99.7的文件夹。

（3）使用cd命令改变目录，查看目录下的文件夹。

root@1:~# cd /
root@1:/# ls
0 initrd.img opt srv vmware-tools-distrib
bin lib proc sys wireshark-1.99.7

从输出信息中可以看到解压源码包后生成的名为wireshark-1.99.7的文件夹（加粗部分）。

（4）进入该文件夹查看，执行命令如下所示：

root@1:/# cd wireshark-1.99.7/
root@1:/wireshark-1.99.7# ls
abi-descriptor.template help
acinclude.m4 idl
···
configure README.windows
configure.ac register.h
ConfigureChecks.cmake reordercap.c

该文件夹内容较多，用···替代，只列出了少许部分。其中有个名为configure的可执行文件（加粗部分）。

（5）配置Wireshark软件包。在配置Wireshark软件包时由于Wireshark依赖GTK+包，执行命令肯能会出现如下所示的错误信息：

root@1:/wireshark-1.99.7# ./configure
checking build system type... x86_64-unknown-linux-gnu
checking host system type... x86_64-unknown-linux-gnu
checking target system type... x86_64-unknown-linux-gnu
checking for a BSD-compatible install... /usr/bin/install -c
···
checking for pkg-config... (cached) /usr/bin/pkg-config
checking for GTK+ - version >= 3.0.0... no
*** Could not run GTK+ test program, checking why...
*** The test program failed to compile or link. See the file config.log for the
*** exact error that occured. This usually means GTK+ is incorrectly installed.
configure: error: GTK+3 is not available

输出的信息较多，由于篇幅原因，这里用···替代，只列举出了部分信息。在信息的尾部出现了错误信息（加粗部分），提示GTK+3是不可用的。因为在Wireshark 1.12.0以上版本中，默认配置使用的是GTK+3.0版本。而现在的GTK+不是3.0版本。

（6）查看GKT+版本，执行命令如下所示：

root@1:~# pkg-config gtk+-2.0 --modversion
2.24.10

输出信息可以看到GKT+版本为2.24.10。

（7）再次配置Wireshark软件包，执行命令如下所示：

root@1:/wireshark-1.99.7# ./configure --with-gtk2
checking build system type... x86_64-unknown-linux-gnu
checking host system type... x86_64-unknown-linux-gnu
checking target system type... x86_64-unknown-linux-gnu
checking for a BSD-compatible install... /usr/bin/install -c
···
checking for pcap.h... no
configure: error: Header file pcap.h not found; if you installed libpcap
from source, did you also do "make install-incl", and if you installed a
binary package of libpcap, is there also a developer's package of libpcap,
and did you also install that package?

输出的信息较多，由于篇幅原因，这里用···替代，只列举出了部分信息。尾部出现错误信息（加粗部分）。缺少pcap.h头文件。这是由于缺少libpcap-dev包。首先查看libpacp安装情况。

（8）在图形界面的菜单栏中依次选择“应用程序”|“系统工具”|“添加/删除软件”命令，弹出如图1.23所示的对话框。

（9）单击“确定继续”按钮，进入“添加/删除软件”对话框，如图1.24所示。

图1.23 对话框图图1.24 添加/删除软件

（10）在查找栏中输入libpcap，单击“查找”按钮，如图1.25所示。

图1.25 查找libpcap

图中前面有，代表该软件已安装，反之没安装。我们可以从中找到我们需要的libpcap软件包。这里安装的是libpcap软件包为libpcap0.8-1.3.0-1(64位)。可以看到其版本为1.3.0版本。所以找到对应版本的libpcap0.8-dev-1.3.0-1(64位)软件包，安装上就可以解决步骤（7）的问题了。

（11）安装完libpcap0.8-dev-1.3.0-1(64位)软件包，继续执行步骤（7）的命令即可。

（12）编译Wireshark软件包。执行命令如下所示：

root@1:/wireshark-1.99.7# make

（13）安装Wireshark软件包。执行命令如下所示：

root@1:/wireshark-1.99.7# make install

以上过程成功执行完后，表示Wireshark软件已成功安装。由于Wireshark软件默认安装在/usr/local/bin/下。

（14）启动Wireshark软件，执行命令如下所示：

root@1:~# cd /usr/local/bin/ #切换目录
root@1:/usr/local/bin# ls #查看内容
capinfos dftest editcap randpkt reordercap tshark xsser
captype dumpcap mergecap rawshark text2pcap wireshark-gtk
root@1:/usr/local/bin# wireshark-gtk #启动 Wireshark
wireshark-gtk: error while loading shared libraries: libwiretap.so.0: cannot open shared object file: No such file or directory

如果启动Wireshark软件时，从输出信息中看到发生了错误（加粗部分）。Wireshark加载共享库时发生错误。此时需要更新下动态库，执行命令如下所示：

root@1:/usr/local/bin# ldconfig

执行以上命令没有任何输出信息。

（15）再次启动Wireshark软件，执行命令如下所示：

root@1:/usr/local/bin# wireshark-gtk

执行以上命令后，将显示如图1.26所示的界面。

图1.26 警告信息图1.27 Wireshark主界面

该界面提示当前系统使用root用户启动了Wireshark工具，可能是危险的。可以直接单击“确定”按钮启动Wireshark，如图1.27所示。如果不想让该窗口再次弹出，将Don't show this message again前面的复选框勾上。

该界面显示了Wireshark的相关信息。该界面显示了Wireshark的四部分，由于截图，所以将该界面缩小。每部分内容中的命令，都可以使用鼠标单击打开进行查看。在该界面选择将要捕获数据的接口，单击Interface List命令将显示或者在Start命令下的方框中选择接口，然后单击Start命令开始捕获数据。

本文选自：Wireshark数据抓包基础教程大学霸内部资料，转载请注明出处，尊重技术尊重IT人！