Wireshark 是自由開源的、跨平臺的、基于 GUI 的網(wǎng)絡數(shù)據(jù)包分析器，可用于 Linux、Windows、MacOS、Solaris 等。它實時捕獲網(wǎng)絡數(shù)據(jù)包并以人類可讀的格式呈現(xiàn)它們。它使我們能夠監(jiān)控微觀層面的網(wǎng)絡數(shù)據(jù)包。它還有一個名為 tshark 的命令行程序，它執(zhí)行與 Wireshark 相同的功能，但通過終端而不是通過 GUI。

Wireshark 可用于網(wǎng)絡故障排除、分析、軟件和通信協(xié)議開發(fā)，也可用于教育目的。Wireshark 使用名為 pcap 的庫來捕獲網(wǎng)絡數(shù)據(jù)包。

Wireshark 的功能

• 支持檢查數(shù)百種協(xié)議
• 能夠?qū)崟r捕獲數(shù)據(jù)包并保存它們以供以后離線分析
• 一些用于分析數(shù)據(jù)的過濾器
• 捕獲的數(shù)據(jù)可以動態(tài)壓縮和解壓縮
• 支持多種數(shù)據(jù)分析文件格式，輸出也可以保存為 XML、CSV、純文本格式
• 可以從以太網(wǎng)、WiFi、藍牙、USB、幀中繼、令牌環(huán)等多種接口捕獲數(shù)據(jù)

先決條件

• 預裝 Ubuntu 22.04
• 具有 sudo 權(quán)限的本地用戶
• 互聯(lián)網(wǎng)連接

Wireshark 安裝步驟

從 Ubuntu 倉庫安裝

Wireshark 包可在默認的 Ubuntu 倉庫中找到，并且可以使用以下命令簡單地安裝。但你可能無法獲得最新版本的 wireshark。

$ sudo apt update
$ sudo apt install wireshark

Apt-Command-Install-Wireshark-Ubuntu

選擇 “Yes” 允許非超級用戶使用 Wireshark 捕獲數(shù)據(jù)包：

Allow-Non-SuperUsers-To-Capture-Packets-Wireshark-Ubuntu

安裝成功后，訪問 Wireshare UI。從“活動Activities”中搜索 “wireshark”，然后單擊其圖標。

Wireshark-UI-Ubuntu-Linux-Desktop

以上確認你的 Wireshark 安裝已成功完成。

安裝最新的版本

如果要安裝最新版本的 Wireshark，我們必須使用以下 apt 命令啟用官方 Wireshark 倉庫：

$ sudo add-apt-repository ppa:wireshark-dev/stable
$ sudo apt update

現(xiàn)在，安裝最新版本的 Wireshark，運行：

$ sudo apt install wireshark -y

安裝 Wireshark 后，驗證其版本：

$ wireshark --version

Wireshark-Version-Check-Ubuntu-Linux

要允許普通用戶使用 Wireshark 使用和捕獲數(shù)據(jù)包，請運行以下命令：

$ sudo dpkg-reconfigure wireshark-common

選擇 “Yes” 并按回車鍵。

Allow-Regular-User-Use-Wireshark-Ubuntu

使用 usermod 命令將本地用戶添加到 wireshark 組:

$ sudo usermod -aG wireshark $USER
$ newgrp wireshark

要使上述更改生效，請重新啟動系統(tǒng)。

$ sudo reboot

使用 Wireshark 捕獲數(shù)據(jù)包

啟動 Wireshark，從“活動”->搜索 “wireshark”。

Access-Wireshark-Ubuntu-Desktop

Access-Wireshark-Ubuntu-Desktop

單擊 Wireshark 圖標，

Choose-Interface-Wireshark-UI-Ubuntu

所有這些都是我們可以捕獲網(wǎng)絡數(shù)據(jù)包的接口。根據(jù)你系統(tǒng)上的界面，此頁面可能會有所不同。

我們選擇 “enp0s3” 來捕獲該接口的網(wǎng)絡流量。選擇接口后，我們網(wǎng)絡上所有設備的網(wǎng)絡數(shù)據(jù)包開始填充（請參閱下面的截圖）：

Capturing-Packets-WireShark-UI-Ubuntu

第一次看到此頁面時，我們可能會被此屏幕中顯示的數(shù)據(jù)淹沒，并且可能會想到如何整理這些數(shù)據(jù)，但不用擔心，Wireshark 的最佳功能之一就是它的過濾器。

我們可以根據(jù) IP 地址、端口號對數(shù)據(jù)進行排序/過濾，還可以使用源和目標過濾器、數(shù)據(jù)包大小等，還可以將 2 個或更多過濾器組合在一起以創(chuàng)建更全面的搜索。我們可以在“應用顯示過濾器Apply a Display Filter”選項卡中編寫過濾器，也可以選擇已創(chuàng)建的規(guī)則之一。要選擇預建過濾器，請單擊“旗幟”圖標，然后點擊“應用顯示過濾器”選項卡。

IP-Based-Filtering-WireShark-UI-Ubuntu

我們還可以根據(jù)顏色代碼來過濾數(shù)據(jù)，默認情況下，淺紫色是 TCP 流量，淺藍色是 UDP 流量，黑色標識有錯誤的數(shù)據(jù)包，要查看這些代碼的含義，請單擊“查看View”->“顏色規(guī)則Coloring Rules”，我們也可以更改這些代碼。

Coloring-Rules-WireShark-Ubuntu

獲得所需的結(jié)果后，我們可以單擊任何捕獲的數(shù)據(jù)包以獲取有關(guān)該數(shù)據(jù)包的更多詳細信息，這將顯示有關(guān)該網(wǎng)絡數(shù)據(jù)包的所有數(shù)據(jù)。

要停止捕獲數(shù)據(jù)包，請單擊紅色停止按鈕，然后將捕獲的數(shù)據(jù)包保存到文件中。

Save-Captured-Packets-Wireshark-Ubuntu

總結(jié)

Wireshark 是一款非常強大的工具，需要一些時間來適應和掌握它，這篇文章將幫助你開始使用。