Nätverksanalys med Wireshark på Ubuntu 9.10
Version 1.0
Författare: Falko Timme
Följ mig på Twitter
Wireshark är en nätverksprotokollanalysator (eller ”paketsniffare”) som kan användas för nätverksanalys, felsökning, mjukvaruutveckling, utbildning osv. Den här guiden visar hur man installerar och använder den på ett Ubuntu 9.10-datorbord för att analysera trafiken på det lokala nätverkskortet.
Detta dokument levereras utan någon som helst garanti! Jag utfärdar ingen garanti för att detta kommer att fungera för dig!
1 Installera Wireshark
Gå till Program > Ubuntu Software Center…
… och sök efter wireshark:
Markera paketet Wireshark och klicka på pilen till höger:
På nästa skärm klickar du på knappen Installera:
Ta in ditt lösenord:
Wireshark laddas nu ner och installeras:
Du kan stänga fönstret Ubuntu Software Center efteråt:
2 Användning av Wireshark
Vi måste köra Wireshark med root-privilegier så att den har tillräckliga behörigheter för att övervaka nätverksgränssnitten. Eftersom standardstartaren för Wireshark startar Wireshark med normala användarprivilegier måste vi ändra startaren nu. Högerklicka på Applications och välj Edit Menus:
I menyredigeraren går du till Internet > Wireshark och klickar på knappen Egenskaper:
I fönstret Launcher Properties lägger du till gksu i fältet Command så att kommandot lyder gksu wireshark. Klicka på Stäng efteråt och lämna menyredigeraren:
Öppna programmet Wireshark (Program > Internet > Wireshark):
Då vi kör Wireshark med root-privilegier kommer du att se följande varning (Körs som användare ”root” och grupp ”root”. Detta kan vara farligt.). Klicka på OK:
Så här ser Wireshark ut när du startar det första gången:
Klicka på knappen List the available capture interfaces… (Lista tillgängliga fångstgränssnitt…):
Ett nytt fönster öppnas med en lista över tillgängliga nätverksgränssnitt på ditt system. Normalt vill du fånga trafiken på din primära nätverksenhet (eth0 i det här exemplet), så du klickar på Start-knappen i raden eth0 för att starta en analys av trafiken på det gränssnittet:
Du kan nu se de fångade paketen för olika protokoll i huvudfönstret.
Fångsten fortsätter tills du klickar på knappen Stopp:
Du kan nu bläddra bland resultaten, tillämpa filter, hitta problem etc.
För att finjustera framtida fångster kan du klicka på knappen Visa fångstalternativen…:
Ett nytt fönster öppnas där du kan ställa in parametrar för nästa registrering. Klicka på Start efteråt för att starta fångsten:
Resultatet av en fångst listar som standard alla protokoll som hittats. Om du vill koncentrera dig på ett visst protokoll (till exempel) kan du tillämpa ett filter på resultatet. Gå till Analysera > Visa filter…:
Ett nytt fönster öppnas där du kan välja önskat protokoll (TCP till exempel). Klicka på OK efteråt:
I resultatfönstret bör du nu hitta endast TCP-trafik – alla andra protokoll har filtrerats bort:
Om du vill veta mer om Wireshark-användning, hur du läser resultaten osv. kan du ta en titt i Wireshark-dokumentationen.