Come installare e utilizzare WireShark su Ubuntu

Come installare e utilizzare WireShark su Ubuntu

Wireshark è un analizzatore di pacchetti di rete. Cattura ogni pacchetto che entra o uscirà da un'interfaccia di rete e li mostra in un testo ben formattato. È utilizzato dagli ingegneri di rete in tutto il mondo.

Wireshark è una piattaforma incrociata ed è disponibile per Linux, Windows e Mac OS. Ottieni la stessa esperienza utente in qualsiasi sistema operativo che usi.

Per saperne di più su Wireshark, visitare il sito ufficiale di Wireshark all'indirizzo https: // www.Wireshark.org

In questo articolo, ti mostrerò come installare Wireshark su Ubuntu e come usarlo. Sto usando Ubuntu 18.04 LTS per la dimostrazione. Ma dovrebbe funzionare su qualsiasi versione LTS di Ubuntu ancora supportata al momento della stesura. Iniziamo.

Installazione di Wireshark:

Wireshark è disponibile nel repository di pacchetti ufficiali di Ubuntu 14.04 LTS e più tardi. Quindi è davvero facile da installare.

Prima aggiorna la cache del repository del pacchetto APT con il comando seguente:

$ sudo apt update

La cache del repository del pacchetto APT deve essere aggiornata.

Ora, esegui il seguente comando per installare Wireshark sulla tua macchina Ubuntu:

$ sudo apt install wireshark

Ora premi y e poi premere .

Per impostazione predefinita, Wireshark deve essere avviato come radice (può anche essere fatto con sudo) privilegi per lavorare. Se vuoi eseguire Wireshark senza radice privilegi o senza sudo, quindi selezionare e premere .

Wireshark dovrebbe essere installato.

Ora se hai selezionato Nella sezione precedente per eseguire WireShark senza accesso al root, quindi eseguire il seguente comando per aggiungere l'utente al Wireshark gruppo:

$ sudo usermod -ag wireshark $ (whoami)

Infine, riavvia il tuo computer con il seguente comando:

$ sudo riavvia

Iniziare Wireshark:

Ora che Wireshark è installato, puoi iniziare Wireshark dal Menu dell'applicazione di Ubuntu.

Puoi anche eseguire il seguente comando per avviare Wireshark dal terminale:

$ wireshark

Se non hai permesso a Wireshark di correre senza radice privilegi o sudo, quindi il comando dovrebbe essere:

$ Sudo Wireshark

Wireshark dovrebbe iniziare.

Cattura dei pacchetti usando Wireshark:

Quando inizi a WireShark, vedrai un elenco di interfacce da poter acquisire pacchetti da e da.

Esistono molti tipi di interfacce che puoi monitorare usando Wireshark, ad esempio, Cablato, senza fili, USB e molti dispositivi esterni. Puoi scegliere di mostrare tipi specifici di interfacce nella schermata di benvenuto dalla sezione marcata dello screenshot di seguito.

Qui, ho elencato solo il Cablato Interfacce di rete.

Ora per iniziare a catturare i pacchetti, basta selezionare l'interfaccia (nell'interfaccia del mio caso Ens33) e fare clic su Inizia a catturare i pacchetti icona come contrassegnato nello screenshot seguente. Puoi anche fare doppio clic sull'interfaccia che si desidera acquisire pacchetti da e per iniziare a catturare i pacchetti su quella particolare interfaccia.

Puoi anche acquisire pacchetti da e verso più interfacce contemporaneamente. Basta premere e tenere e fai clic sulle interfacce che si desidera acquisire pacchetti da e per e quindi fare clic su Inizia a catturare i pacchetti icona come contrassegnato nello screenshot seguente.

Usando Wireshark su Ubuntu:

Sto catturando i pacchetti sul Ens33 Interfaccia di rete cablata come puoi vedere nello screenshot qui sotto. In questo momento, non ho pacchetti catturati.

Ho pingote Google.com dal terminale e come puoi vedere, molti pacchetti sono stati catturati.

Ora puoi fare clic su un pacchetto per selezionarlo. La selezione di un pacchetto mostrerebbe molte informazioni su quel pacchetto. Come puoi vedere, sono elencate informazioni su diversi livelli di protocollo TCP/IP.

Puoi anche vedere i dati grezzi di quel particolare pacchetto.

È inoltre possibile fare clic sulle frecce per espandere i dati dei pacchetti per un particolare livello di protocollo TCP/IP.

Filtro pacchetti che utilizzano Wireshark:

Su una rete impegnata migliaia o milioni di pacchetti verranno catturati ogni secondo. Quindi l'elenco sarà così lungo che sarà quasi impossibile scorrere l'elenco e cercare un certo tipo di pacchetto.

La cosa buona è, a Wireshark, puoi filtrare i pacchetti e vedere solo i pacchetti di cui hai bisogno.

Per filtrare i pacchetti, è possibile digitare direttamente l'espressione del filtro nella casella di testo come contrassegnato nello screenshot seguente.

Puoi anche filtrare i pacchetti catturati da Wireshark graficamente. Per fare ciò, fai clic su Espressione… pulsante come contrassegnato nello screenshot in basso.

Una nuova finestra dovrebbe aprirsi come mostrato nello screenshot seguente. Da qui è possibile creare espressione di filtro per cercare i pacchetti in modo molto specifico.

Nel Nome campo Sezione Quasi tutti i protocolli di networking sono elencati. L'elenco è enorme. Puoi digitare quale protocollo stai cercando in Ricerca Casella di testo e Nome campo La sezione mostrerebbe quelli che si abbinano.

In questo articolo, ho intenzione di filtrare tutti i pacchetti DNS. Quindi ho selezionato DNS Domain Name System dal Nome campo elenco. Puoi anche fare clic su freccia su qualsiasi protocollo

E rendere la tua selezione più specifica.

È inoltre possibile utilizzare gli operatori relazionali per verificare se un campo è uguale, non uguale, grande o inferiore a un valore. Ho cercato tutto il DNS IPv4 indirizzo che è uguale a 192.168.2.1 Come puoi vedere nello screenshot qui sotto.

L'espressione del filtro è anche mostrata nella sezione marcata dello screenshot seguente. Questo è un ottimo modo per imparare a scrivere l'espressione del filtro in Wireshark.

Una volta che hai finito, fai clic su OK.

Ora fai clic sull'icona contrassegnata per applicare il filtro.

Come puoi vedere, vengono mostrati solo i pacchetti del protocollo DNS.

Fermare la cattura dei pacchetti in Wireshark:

È possibile fare clic sull'icona rossa come contrassegnato nello screenshot in basso per smettere di catturare i pacchetti Wireshark.

Salvare i pacchetti catturati in un file:

È possibile fare clic sull'icona contrassegnata per salvare i pacchetti catturati in un file per un uso futuro.

Ora seleziona una cartella di destinazione, digita il nome del file e fai clic su Salva.

Il file dovrebbe essere salvato.

Ora puoi aprire e analizzare i pacchetti salvati in qualsiasi momento. Per aprire il file, vai a File > Aprire da Wireshark o Press + o

Quindi selezionare il file e fare clic su Aprire.

I pacchetti catturati devono essere caricati dal file.

Ecco come installi e usi Wireshark su Ubuntu. Grazie per aver letto questo articolo.