Netværksanalyse med Wireshark på Ubuntu 9.10
Version 1.0
Author: Falko Timme
Følg mig på Twitter
Wireshark er en netværksprotokolanalysator (eller “packet sniffer”), der kan bruges til netværksanalyse, fejlfinding, softwareudvikling, uddannelse osv. Denne vejledning viser, hvordan du installerer og bruger den på en Ubuntu 9.10-desktop til at analysere trafikken på det lokale netværkskort.
Dette dokument leveres uden nogen form for garanti! Jeg udsteder ingen garanti for, at dette vil fungere for dig!
1 Installation af Wireshark
Gå til Programmer > Ubuntu Software Center…
… og søg efter wireshark:
Mærk Wireshark-pakken, og klik på pilen til højre:
På det næste skærmbillede skal du klikke på knappen Installer:
Indtast din adgangskode:
Wireshark er nu ved at blive hentet og installeret:
Du kan lukke vinduet Ubuntu Software Center bagefter:
2 Brug af Wireshark
Vi skal køre Wireshark med root-rettigheder, så den har tilstrækkelige tilladelser til at overvåge netværksgrænsefladerne. Da Wireshark-startprogrammet som standard starter Wireshark med normale brugerrettigheder, er vi nødt til at ændre startprogrammet nu. Højreklik på Programmer, og vælg Rediger menuer:
I Menu Editor skal du gå til Internet > Wireshark og klikke på knappen Egenskaber:
I vinduet Egenskaber for startprogram skal du tilføje gksu i feltet Kommando, så kommandoen lyder gksu wireshark. Klik herefter på Luk og forlad Menu Editor:
Åbn programmet Wireshark (Programmer > Internet > Wireshark):
Da vi kører Wireshark med root-privilegier, vil du se følgende advarsel (Kører som bruger “root” og gruppe “root”. Dette kan være farligt.). Klik på OK:
Sådan ser Wireshark ud, når du starter det første gang:
Klik på knappen List the available capture interfaces… (Liste over tilgængelige opsamlingsgrænseflader…):
Et nyt vindue åbnes med en liste over de tilgængelige netværksgrænseflader på dit system. Normalt ønsker du at opsamle trafikken på din primære netværksenhed (eth0 i dette eksempel), så du klikker på knappen Start i rækken eth0 for at starte en analyse af trafikken på denne grænseflade:
Du kan nu se de opsamlede pakker for forskellige protokoller i hovedvinduet.
Optagelsen fortsætter, indtil du klikker på knappen Stop:
Du kan nu gennemse resultaterne, anvende filtre, finde problemer osv.
For at finjustere fremtidige optagelser kan du klikke på knappen Vis optagelsesindstillingerne…:
Et nyt vindue åbnes, hvor du kan indstille parametre for den næste optagelse. Klik på Start bagefter for at starte optagelsen:
Resultatet af en capture viser som standard alle fundne protokoller. Hvis du gerne vil koncentrere dig om en bestemt protokol (f.eks.), kan du anvende et filter på resultatet. Gå til Analyze > Display Filters…:
Et nyt vindue åbnes, hvor du kan vælge den ønskede protokol (f.eks. TCP). Klik herefter på OK:
I resultatvinduet bør du nu kun finde TCP-trafik – alle andre protokoller er blevet filtreret fra:
For at få mere at vide om brugen af Wireshark, hvordan du læser resultaterne osv. kan du tage et kig på Wireshark-dokumentationen.