Analiza sieci za pomocą Wiresharka na Ubuntu 9.10
Wersja 1.0
Autor: Falko Timme
Follow me on Twitter
Wireshark to analizator protokołów sieciowych (lub „packet sniffer”), który może być używany do analizy sieci, rozwiązywania problemów, tworzenia oprogramowania, edukacji itp. Ten przewodnik pokazuje, jak zainstalować i używać go na komputerze Ubuntu 9.10 do analizowania ruchu na lokalnej karcie sieciowej.
Ten dokument jest dostarczany bez gwarancji jakiegokolwiek rodzaju! Nie daję żadnej gwarancji, że to będzie działać dla Ciebie!
1 Instalacja Wireshark
Przejdź do Aplikacje > Centrum Oprogramowania Ubuntu…
… i wyszukaj wireshark:
Zaznacz pakiet Wireshark i kliknij na strzałkę po prawej stronie:
Na kolejnym ekranie kliknij przycisk Zainstaluj:
Wpisz swoje hasło:
Wireshark jest teraz pobierany i instalowany:
Po zakończeniu możesz zamknąć okno Centrum Oprogramowania Ubuntu:
2 Korzystanie z programu Wireshark
Musimy uruchomić program Wireshark z uprawnieniami roota, aby miał on wystarczające uprawnienia do monitorowania interfejsów sieciowych. Ponieważ domyślny launcher Wiresharka uruchamia go z uprawnieniami zwykłego użytkownika, musimy go teraz zmodyfikować. Klikamy prawym przyciskiem myszy na Applications i wybieramy Edit Menus:
W edytorze menu przejdź do pozycji Internet > Wireshark i kliknij przycisk Właściwości:
W oknie Launcher Properties w polu Command dodaj gksu, tak aby polecenie brzmiało gksu wireshark. Następnie kliknij przycisk Close i opuść Edytor menu:
Otwórz aplikację Wireshark (Aplikacje > Internet > Wireshark):
Ponieważ uruchamiamy Wireshark z uprawnieniami roota, zobaczysz następujące ostrzeżenie (Running as user „root” and group „root”. This could be dangerous.). Kliknij OK:
Tak wygląda Wireshark po pierwszym uruchomieniu:
Kliknij przycisk List the available capture interfaces…:
Otworzy się nowe okno z listą dostępnych interfejsów sieciowych w Twoim systemie. Zazwyczaj chcesz przechwycić ruch na głównym urządzeniu sieciowym (eth0 w tym przykładzie), więc kliknij przycisk Start w wierszu eth0, aby rozpocząć analizę ruchu na tym interfejsie:
Możesz teraz zobaczyć przechwycone pakiety dla różnych protokołów w głównym oknie.
Złapywanie trwa do momentu kliknięcia przycisku Stop:
Możesz teraz przeglądać wyniki, stosować filtry, znajdować problemy itp.
Aby dostroić przyszłe przechwytywanie, możesz kliknąć przycisk Pokaż opcje przechwytywania…:
Otworzy się nowe okno, w którym można ustawić parametry dla następnego przechwycenia. Kliknij przycisk Start po zakończeniu, aby rozpocząć przechwytywanie:
W wyniku przechwytywania domyślnie wyświetlana jest lista wszystkich znalezionych protokołów. Jeśli chcesz się skupić na określonym protokole (na przykład), możesz zastosować filtr do wyniku. Przejdź do analizy > Wyświetl filtry…:
Otworzy się nowe okno, w którym możesz wybrać żądany protokół (na przykład TCP). Następnie kliknij przycisk OK:
W oknie wyników powinieneś teraz znaleźć tylko ruch TCP – wszystkie inne protokoły zostały odfiltrowane:
Aby dowiedzieć się więcej o korzystaniu z programu Wireshark, jak odczytywać wyniki itp. zajrzyj do dokumentacji programu Wireshark.