Используя Wireshark на Ubuntu

Wireshark — это мощный анализатор сети с открытым исходным кодом, который можно использовать для сниффинга данных в сети, как помощник в диагностике анализа сетевого трафика, так и как образовательный инструмент, помогающий понять принципы сетей и протоколов связи.

Он доступен для практически любого дистрибутива Linux, и для Ubuntu его можно установить через Центр программного обеспечения Ubuntu или терминал:

sudo apt-get install wireshark

Перед использованием Wireshark утилите dumpcap необходимо предоставить разрешение на выполнение от имени суперпользователя. Без этого Wireshark не сможет захватывать сетевой трафик, если вы вошли как обычный пользователь (что всегда происходит в таких дистрибутивах, как Ubuntu). Чтобы добавить бит “setuid” к dumpcap, используйте следующую команду:

sudo chmod 4711 `which dumpcap`

Обратите внимание, что кавычки вокруг “which dumpcap” не обычные одинарные кавычки, а символ обратной косой черты. В Unix-подобных системах это вызывает подстановку команд, где вывод команды which становится параметром для команды chmod, т.е. полным путем к бинарнику dumpcap.

wireshark-Start-capture

Запустите Wireshark и затем нажмите на сетевой интерфейс, который вы хотите использовать для захвата данных. В проводной сети это скорее всего будет eth0. Теперь нажмите “Старт”.

Wireshark начнет захватывать трафик и отображать его в виде цветного списка в основном окне. TCP-трафик зеленый, UDP-пакеты светло-голубые, ARP-запросы желтые, а DNS-трафик отображается темно-синим.

wireshark-live-capture

Чуть ниже панели инструментов находится поле фильтра. Чтобы увидеть только определенные типы сетевых пакетов, введите имя протокола в поле редактирования и нажмите “Применить”. Например, чтобы увидеть только сообщения ARP (протокол разрешения адресов), введите arp в поле фильтра и нажмите “Применить”. Список изменится, чтобы показывать только сообщения ARP. ARP используется в локальной сети для обнаружения, какая машина использует определенный IP-адрес. Другие примеры фильтров: HTTP, ICMP, SMTP, SMB и так далее.

Wireshark может фильтровать с использованием более сложных критериев, чем просто тип протокола. Например, чтобы увидеть весь трафик, связанный с DNS, который поступает от определенного хоста, используйте фильтр ip.src==192.168.1.101 and dns, где 192.168.1.101 — это исходный адрес, который вы хотите отфильтровать.

wireshark-follow-stream

Если вы заметите интересное взаимодействие между двумя хостами, которое хотите увидеть в полном объеме, у Wireshark есть опция “следить за потоком”. Щелкните правой кнопкой мыши по любому пакету в обмене и затем кликните на “Следить за TCP-потоком” (или Следить за UDP-потоком, Следить за SSL-потоком в зависимости от типа протокола). Wireshark затем покажет полную копию разговора.

Попробуйте это

Использование Wireshark может быть таким сложным или простым, каким вам нужно, есть множество продвинутых функций для сетевых экспертов, но те, кто хочет изучить сети, также могут извлечь пользу от его использования. Вот что можно попробовать, если вы хотите узнать больше о Wireshark. Начните захват и установите фильтр на ICMP. Теперь пингуйте свою Linux машину, используя команду вроде этой с другой машины Linux или даже из командной оболочки Windows: