在ubuntu下,使用wireshark也是很有必要的。虽然可以使用tcpdump等工具。

ubuntu:11.10

    1. sudo apt-get install wireshark
    出于安全方面的考虑,普通用户不能够打开网卡设备进行抓包,wireshark不建议用户通过sudo在root权限下运行,wireshark为ubuntu(Debian)用户提供了一种在非root下的解决方法。(详细解释可以参考:/usr/share/doc/wireshark-common/README.Debian)

具体步骤:

    2. dpkg-reconfigure wireshark-common

“Should non-superusers be able to capture packages?”

选择Yes (默认是no

    3.
sudo vim /etc/group

在组策略中会出现wireshark组,默认没有任何用户属于这个组,只需把特定的用户加入组中(需要注销后重新登录来使设置生效)就可以以该用户来运行wireshark实时抓网络数据包

安装编译工具:

  $sudo apt-get install build-essential

  为了成功编译Wireshark,您需要安装GTK+的开发文件和GLib库(libraries)。

  $sudo apt-get install libgtk2.0-dev libglib2.0-dev

  安装Checkinstall以便管理您系统中直接由源代码编译安装的软件。

  $sudo apt-get install checkinstall

wireshark源码下载地址:http://www.wireshark.org/download.html(页面中的source
code)

下载后的文件名:wireshark-1.2.2.tar.bz2

cd到文件目录解压:$tar -xvf wireshark-1.2.2.tar.bz2

$cd
wireshark-1.2.2

编译安装命令如下:

$./configure

$make
$sudo make install

其中make编译时间会比较长,这样下来就基本安装了。

下面是我这篇文章的关键,也是用ubuntu安装的过程中极有可能遇到的问题,且都是在进行./configure编译过程中出现,两个问题如下:

---------------------------------------------------------------------------------------------------------

问题1:

[c-sharp] view
plain
copy

 
  1. ./configure执行到最后出错
  2. checking for perl... /usr/bin/perl
  3. checking for bison... no
  4. checking for byacc... no
  5. checking for yacc... no
  6. configure: error: I couldn't find yacc (or bison or ...); make sure it's installed and in your path

解决办法:

[c-sharp] view
plain
copy

 
  1. sudo apt-get install flex bison

yacc(Yet Another Compiler
Compiler),是Unix/Linux上一个用来生成编译器的编译器(编译器代码生成器)。

如想深入了解google下。

问题2:

[c-sharp] view
plain
copy

 
  1. configure: error: Header file pcap.h not found; if you installed libpcap from source, did you also do "make install-incl", and if you installed a binary package of libpcap, is there also a developer's package of libpcap,
  2. and did you also install that package?

问题原因是ubuntu下缺少pcap.h等文件。

解决方法:

编译安装libpcap.

www.tcpdump.org页面中可下载源码:libpcap-1.0.0.tar.gz

cd到文件目录:

[c-sharp] view
plain
copy

 
  1. $tar -xvf libpcap-1.0.0.tar.gz
  2. $cd libpcap-1.0.0.tar.gz
  3. $./configure
  4. $make
  5. $sudo make install

----------------------------------------------------------------------------------------------------------------------------------------------------

采用上面的方法后再回到文章前面的步骤:

$cd
wireshark-1.2.2编译安装:

$./configure

$make
$sudo make install

这样就安装好了。

启动方法:进入wireshark-1.2.2,输入命令:

[c-sharp] view
plain
copy

 
  1. $sudo ./wireshark

这里如果不用sudo,则wireshark找不到网络设备接口,这主要与权限有关,启动时注意下就行。

使用如下命令,可以得到Ethereal或Wireshark的详细依赖关系列表。

#apt-cache depends
wireshark
#apt-cache depends
etherea
#wireshark
#ethereal

 
选择需要捕捉的设备。

Capture -> Options

选择您想要捕捉的设备后点击Start。 

Wireshark的运行结果。 

为了更加高效的使用Wireshark,详细了解其各项功能以及学习如何管理和使用过滤器找到自己想要的结果也是十分必要的。

界面说明:

在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。

下面是一张地址为192.168.1.2的计算机正在访问“openmaniak.com”网站时的截图。

1. MENUS(菜单)

程序上方的8个菜单项用于对Wireshark进行配置:

- "File"(文件)
- "Edit" (编辑)
- "View"(查看)
- "Go" (转到)
- "Capture"(捕获)
- "Analyze"(分析)
- "Statistics" (统计) 
- "Help" (帮助)
打开或保存捕获的信息。
查找或标记封包。进行全局设置。
设置Wireshark的视图。
跳转到捕获的数据。
设置捕捉过滤器并开始捕捉。
设置分析选项。
查看Wireshark的统计信息。
查看本地或者在线支持。

2. SHORTCUTS(快捷方式)

在菜单下面,是一些常用的快捷按钮。

您可以将鼠标指针移动到某个图标上以获得其功能说明。

3. DISPLAY
FILTER(显示过滤器)

显示过滤器用于查找捕捉记录中的内容。

请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark过滤器中的详细内容。

4. PACKET
LIST PANE(封包列表)

封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。

如果捕获的是一个OSI layer
2的封包,您在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。

如果捕获的是一个OSI layer
3或者更高层的封包,您在Source(来源)和Destination(目的地)列中看到的将是IP地址。Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。

您可以在这里添加/删除列或者改变各列的颜色:
Edit menu -> Preferences

5. PACKET
DETAILS PANE(封包详细信息)

这里显示的是在封包列表中被选中项目的详细信息。

信息按照不同的OSI layer进行了分组,您可以展开每个项目查看。下面截图中展开的是HTTP信息。

6. DISSECTOR
PANE(16进制数据)

“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。

在上面的例子里,我们在“封包详细信息”中选择查看TCP端口(80),其对应的16进制数据将自动显示在下面的面板中(0050)。
7. MISCELLANOUS(杂项)

在程序的最下端,您可以获得如下信息:

- - 正在进行捕捉的网络设备。
- 捕捉是否已经开始或已经停止。
- 捕捉结果的保存位置。
- 已捕捉的数据量。
- 已捕捉封包的数量。(P)
- 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)
- 被标记的封包数量。(M)
过滤器:

正如您在Wireshark教程第一部分看到的一样,安装、运行Wireshark并开始分析网络是非常简单的。

使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。
过犹不及。
这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。

-
-
捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。
显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

那么我应该使用哪一种过滤器呢?

两种过滤器的目的是不同的。

捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。

显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍:

1.
捕捉过滤器
捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。

设置捕捉过滤器的步骤是:
- 选择 capture -> options。
- 填写"capture filter"栏或者点击"capture
filter"按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。
- 点击开始(Start)进行捕捉。 

语法:   Protocol   Direction   Host(s)   Value   Logical Operations   Other expression
例子:   tcp   dst   10.1.1.1   80   and   tcp dst 10.2.2.2 3128

Protocol(协议):

可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl,
tcp and udp.
如果没有特别指明是什么协议,则默认使用所有支持的协议。 
Direction(方向):

可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地,则默认使用 "src or dst" 作为关键字。
例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。

Host(s):

可能的值: net, port, host, portrange.
如果没有指定此值,则默认使用"host"关键字。
例如,"src 10.1.1.1"与"src host 10.1.1.1"相同。

Logical
Operations(逻辑运算)
:

可能的值:not, and, or.
否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级,运算时从左至右进行。
例如,
"not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp
port 23"相同。
"not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp
port 23)"不同。

例子:

tcp dst port
3128

显示目的TCP端口为3128的封包。

ip src host
10.1.1.1

显示来源IP地址为10.1.1.1的封包。

host
10.1.2.3

显示目的或来源IP地址为10.1.2.3的封包。

src portrange
2000-2500

显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。

not
imcp

显示除了icmp以外的所有封包。(icmp通常被ping工具使用)

src host 10.7.2.12
and not dst net 10.200.0.0/16

显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。

(src host 10.4.1.12
or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net
10.0.0.0/8

显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。

注意事项:
当使用关键字作为值时,需使用反斜杠“\”。
"ether proto \ip" (与关键字"ip"相同).
这样写将会以IP协议作为目标。
"ip proto \icmp" (与关键字"icmp"相同).
这样写将会以ping工具常用的icmp作为目标。 
可以在"ip"或"ether"后面使用"multicast"及"broadcast"关键字。
当您想排除广播请求时,"no broadcast"就会非常有用。

查看 TCPdump的主页以获得更详细的捕捉过滤器语法说明。
Wiki Wireshark
website
上可以找到更多捕捉过滤器的例子。

2. 显示过滤器:

通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。
它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不需要重新捕捉一次。

语法:   Protocol . String 1 . String 2   Comparison
operator
  Value   Logical
Operations
  Other
expression
例子:   ftp   passive   ip   ==   10.2.3.4   xor   icmp.type

 Protocol(协议):
您可以使用大量位于OSI模型第2至7层的协议。点击"Expression..."按钮后,您可以看到它们。
比如:IP,TCP,DNS,SSH
 
您同样可以在如下所示位置找到所支持的协议:

 
Wireshark的网站提供了对各种 协议以及它们子类的说明

 String1,
String2
 (可选项):
协议的子类。
点击相关父类旁的"+"号,然后选择其子类。 
 
 Comparison operators
(比较运算符)

可以使用6种比较运算符:

英文写法: C语言写法: 含义:
eq == 等于
ne != 不等于
gt > 大于
lt <<center> 小于
ge >= 大于等于
le <= 小于等于

 Logical
expressions(逻辑运算符)
:

英文写法: C语言写法: 含义:
and && 逻辑与
or || 逻辑或
xor ^^ 逻辑异或
not ! 逻辑非

被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时,只有当且仅当其中的一个条件满足时,这样的结果才会被显示在屏幕上。

让我们举个例子:
"tcp.dstport 80 xor tcp.dstport 1025"
只有当目的TCP端口为80或者来源于端口1025(但又不能同时满足这两点)时,这样的封包才会被显示。

例子:

snmp || dns || icmp 显示SNMP或DNS或ICMP封包。
ip.addr ==
10.1.1.1

显示来源或目的IP地址为10.1.1.1的封包。

ip.src != 10.1.2.3
or ip.dst != 10.4.5.6

显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。

换句话说,显示的封包将会为:

来源IP:除了10.1.2.3以外任意;目的IP:任意

以及

来源IP:任意;目的IP:除了10.4.5.6以外任意

ip.src != 10.1.2.3
and ip.dst != 10.4.5.6

显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。

换句话说,显示的封包将会为:

来源IP:除了10.1.2.3以外任意;同时须满足,目的IP:除了10.4.5.6以外任意

tcp.port == 25 显示来源或目的TCP端口号为25的封包。
tcp.dstport == 25 显示目的TCP端口号为25的封包。
tcp.flags 显示包含TCP标志的封包。
tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包。

如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。

表达式正确
表达式错误

您可以在Wireshark官方网站Wiki
Wireshark website
上找到关于显示过滤器的补充信息。

ubuntu 下wireshark 软件安装与使用的更多相关文章

  1. ubuntu下的软件安装

    1.软件安装 最近开始将个人电脑由windows换成linux,第一步就是会装一些个人软件,以前玩linux都是用yum或者apt-get来进行安装. 下面介绍一下如何从官网下载文件并且安装的方法. ...

  2. Ubuntu下查看软件版本及安装位置【转】

    Ubuntu下查看软件版本及安装位置 查看软件版本:     aptitude show xxx 也可用apt-show-versions (要先安装sudo apt-get install apt- ...

  3. unbutu下wireshark编译安装(已更新)

    今天下午在ubuntu下进行编译安装wireshark,过程中出了很多错误,但最终安装成功了,这里写下自己的安装步骤和方法,有参考博文的安装编译方法,也有自己的总结和心得. 1 安装编译工具 $sud ...

  4. ubuntu一些基本软件安装方法

    ubuntu一些基本软件安装方法 首先说明一下 ubuntu 的软件安装大概有几种方式:1. deb 包的安装方式deb 是 debian 系 Linux 的包管理方式, ubuntu 是属于 deb ...

  5. Linux(Ubuntu)下MySQL的安装与配置

    转自:http://www.2cto.com/database/201401/273423.html 在Linux下MySQL的安装,我一直觉得挺麻烦的,因为之前安装时就是由于复杂的配置导致有点晕.今 ...

  6. ubuntu下的openfire安装、配置、运行

    openfire服务器              Openfire 采用Java开发,开源的实时协作(RTC)服务器基于XMPP(Jabber)协议.您可以使用它轻易的构建高效率的即时通信服务器.Op ...

  7. 2010-01-20 12:09 ubuntu下minicom的安装及使用

    转http://hi.baidu.com/npugtawqdnbgqrq/item/106f805409b42813db163527 ubuntu下minicom的安装及使用 安装: sudo apt ...

  8. ubuntu下root和安装mysql

    sudo password创建新的root密码: 1.用当前登录用户打开终端,在终端输入命令 sudo passwd,输入当前用户的密码然后回车 2.会提示输入新密码,输入完成后回车(http://w ...

  9. Ubuntu下FileZilla的安装

    FileZilla是一个免费而且开源的FTP客户端软件,共有两种版本:客户端版本.服务器版本.FileZilla有条理的界面和管理多站点的简化方式使得FileZilla Client成为一个方便高效的 ...

随机推荐

  1. javaIO(二)

    在程序中所有的数据都是以流的方式进行传输或保存的,程序需要数据时要使用输入流读取数据,而当程序需要将一些数据保存起来时,就要使用输出流. 在java.io包中流的操作主要有字节流.字符流两大类,两类都 ...

  2. 获取IplImage 数据并打印

    int main(int argc, char* argv[]){ IplImage *img=cvLoadImage("c://fruitfs.bmp",1);    CvSca ...

  3. linux下的三种解压文件的命令?

    那要看你的压缩文件使用哪种压缩方式:gzip,压缩文件名:zip或gz,解压命令:unzipbzip2,压缩文件名:bz,解压命令:bzip2 -d上面两个是最常用的压缩方式,一般在linux下可以通 ...

  4. Visual Studio Online Integrations-Productivity

                                        原文:http://www.visualstudio.com/zh-cn/explore/vso-integrations-di ...

  5. 一个简单例子:贫血模型or领域模型

    转:一个简单例子:贫血模型or领域模型 贫血模型 我们首先用贫血模型来实现.所谓贫血模型就是模型对象之间存在完整的关联(可能存在多余的关联),但是对象除了get和set方外外几乎就没有其它的方法,整个 ...

  6. 如何在windows中编写R程序包(转载)

    网上有不少R包的编译过程介绍,挑选了一篇比较详细的,做了稍许修改后转载至此,与大家分享 如何在windows中编写R程序包 created by helixcn modified by binaryf ...

  7. hdu 5183. Negative and Positive (哈希表)

    Negative and Positive (NP) Time Limit: 3000/1500 MS (Java/Others)    Memory Limit: 65536/65536 K (Ja ...

  8. Nginx 开启PATHINFO支持ThinkPHP框架实例

    ThinkPHP支持通过PATHINFO和URL rewrite的方式来提供友好的URL,只需要在配置文件中设置 'URL_MODEL' => 2 即可.在Apache下只需要开启mod_rew ...

  9. shell截取字符串

    image_tag="pangu-20151021102145\"" 1.用#号截取,符号-右面所有字符串 TMP=${image_tag#*-} echo $TMP 得 ...

  10. 他们在军训,我在搞OI(三)

    昨天忘记写了,因为急着去看 51nod 比赛,然而思考了许久还是一道都不会,好菜啊T_T... 补一下 Day 3 的情况. Day 3 上午还是常规地做 vjudge 上的套题,硬着头皮啃英文,感觉 ...