Wireshark er en kraftfuld open source-netværksanalysator, som kan bruges til at snyde dataene på et netværk som et hjælpemiddel til fejlfinding af netværkstrafikanalyse, men også som et undervisningsværktøj til at forstå principperne for netværk og kommunikationsprotokoller.

Den er let tilgængelig til næsten enhver Linux distribution og til Ubuntu, den kan installeres via Ubuntu Software Center eller terminalen:

 sudo apt-get install wireshark

Før du bruger wireshark, skal dumpcap værktøjet have tilladelse til at køre som root. Uden dette vil Wireshark ikke kunne fange netværkstrafik, når du er logget ind som en normal bruger (som altid er i distributioner som Ubuntu). For at tilføje " setuid " bit til dumpcap, brug følgende kommando:

 sudo chmod 4711 `hvilken dumpcap`

Bemærk, at citaterne mærker rundt om "hvilken dumpcap" er ikke normale enkelt citater, men snarere grave accent karakter. På Unix-lignende systemer påberåber dette kommandosubstitution, hvor udgangen fra which kommando bliver en parameter for chmod kommandoen, dvs. den fulde bane i dumpcap .

Start Wireshark og klik derefter på den netværksinterface, du vil bruge til at indlæse dataene. På et kablet netværk vil det sandsynligvis være eth0 . Klik nu på Start.

Wireshark begynder at fange trafik og vise det som en farvekodet liste i hovedvinduet. TCP-trafik er grøn, UDP-pakker er lyseblå, ARP-anmodninger er gule, og DNS-trafik vises i mørkeblå.

Lige under værktøjslinjen er filterboksen. Hvis du kun vil se visse typer netværkspakker, skal du indtaste protokolnavnet i redigeringsboksen og klikke på Anvend. Hvis du f.eks. Kun vil se meddelelsen ARP (Address Resolution Protocol), skal du skrive arp i filterboksen og klikke på Anvend. Listen ændres til kun at vise ARP-meddelelser. ARP bruges på et LAN for at opdage, hvilken maskine der bruger en bestemt IP-adresse. Andre eksempelfiltre er HTTP, ICMP, SMTP, SMB og så videre.

Wireshark kan filtrere ved hjælp af mere avancerede kriterier end blot protokol typen. Hvis du f.eks. ip.src==192.168.1.101 and dns se al den DNS-relaterede trafik, der kommer fra en bestemt vært, skal du bruge filteret ip.src==192.168.1.101 and dns hvor 192.168.1.101 er den kildeadresse, du vil filtrere.

Hvis du finder et interessant samspil mellem to værter, som du vil se i sin helhed, har Wireshark en "follow stream" mulighed. Højreklik på en pakke i udvekslingen, og klik derefter på "Følg TCP Stream" (eller følg UDP Stream, Følg SSL Stream afhængigt af protokol type). Wireshark vil så vise en komplet kopi af samtalen.

Prøv dette

Brug af Wireshark kan være så kompleks eller så simpelt som du har brug for at være, der er masser af avancerede funktioner til netværkseksperter, men dem, der ønsker at lære om netværk, kan også drage fordel af at bruge det. Her er noget at prøve, hvis du vil lære mere om Wireshark. Start en capture og indstil filteret til ICMP. Nu ping din Linux-maskine ved hjælp af en kommando som denne fra en anden Linux-maskine eller endda fra en Windows PC-kommando shell:

 ping 192.168.1.10

Hvor 192.168.1.10 er Linux- 192.168.1.10 IP-adresse. Se nu på pakkelisten, og se, om du ser netværkstrafikken for pingen.