Wireshark là nền tảng chéo và nó có sẵn cho Linux, Windows và Mac OS. Bạn có được trải nghiệm người dùng giống nhau trong bất kỳ hệ điều hành nào bạn sử dụng.
Để tìm hiểu thêm về Wireshark, hãy truy cập trang web chính thức của Wireshark tại https://www.wireshark.org
Trong bài viết này, tôi sẽ hướng dẫn bạn cách cài đặt Wireshark trên Ubuntu và cách sử dụng nó. Tôi đang sử dụng Ubuntu 18.04 LTS để trình diễn. Nhưng nó sẽ hoạt động trên bất kỳ phiên bản LTS nào của Ubuntu vẫn được hỗ trợ tại thời điểm viết bài này. Bắt đầu nào.
Wireshark có sẵn trong kho gói chính thức của Ubuntu 14.04 LTS trở lên. Vì vậy, nó thực sự dễ dàng để cài đặt.
Trước tiên, hãy cập nhật bộ đệm ẩn của kho lưu trữ gói APT bằng lệnh sau:
$sudocập nhật apt 
Bộ nhớ cache của kho lưu trữ gói APT nên được cập nhật.
Bây giờ, chạy lệnh sau để cài đặt Wireshark trên máy Ubuntu của bạn:
$sudođúng cáchTải vềWirehark 
Bây giờ bấm và và sau đó nhấn .
Theo mặc định, Wireshark phải được bắt đầu bằng nguồn gốc (cũng có thể được thực hiện với sudo ) các đặc quyền để làm việc. Nếu bạn muốn chạy Wireshark mà không có nguồn gốc đặc quyền hoặc không sudo , sau đó chọn và hãy nhấn .
Wireshark nên được cài đặt.
Bây giờ nếu bạn đã chọn trong phần trước để chạy Wireshark mà không cần quyền truy cập root, sau đó chạy lệnh sau để thêm người dùng của bạn vào Wirehark tập đoàn:
$sudousermod-aGWirehark $(tôi là ai) 
Cuối cùng, khởi động lại máy tính của bạn bằng lệnh sau:
$sudokhởi động lại 
Khởi động Wireshark:
Bây giờ Wireshark đã được cài đặt, bạn có thể khởi động Wireshark từ Menu ứng dụng của Ubuntu.
Bạn cũng có thể chạy lệnh sau để khởi động Wireshark từ Terminal:
$WireharkNếu bạn không bật Wireshark để chạy mà không có nguồn gốc đặc quyền hoặc sudo , thì lệnh phải là:
$sudoWireharkWireshark sẽ bắt đầu.
Chụp các gói bằng Wireshark:
Khi khởi động Wireshark, bạn sẽ thấy một danh sách các giao diện mà bạn có thể bắt các gói đến và đi.
Có nhiều loại giao diện bạn có thể giám sát bằng cách sử dụng Wireshark, chẳng hạn như Có dây , Không dây , USB và nhiều thiết bị bên ngoài. Bạn có thể chọn hiển thị các loại giao diện cụ thể trong màn hình chào mừng từ phần được đánh dấu của ảnh chụp màn hình bên dưới.
Ở đây, tôi chỉ liệt kê Có dây giao diện mạng.
Bây giờ để bắt đầu bắt các gói, chỉ cần chọn giao diện (trong giao diện trường hợp của tôi ens33 ) và nhấp vào Bắt đầu bắt các gói tin biểu tượng như được đánh dấu trong ảnh chụp màn hình bên dưới. Bạn cũng có thể nhấp đúp vào giao diện mà bạn muốn nắm bắt các gói đến và đi để bắt đầu bắt các gói trên giao diện cụ thể đó.
Bạn cũng có thể nắm bắt các gói tin đến và đi từ nhiều giao diện cùng một lúc. Chỉ cần nhấn và giữ và nhấp vào giao diện mà bạn muốn nắm bắt các gói đến và đi, sau đó nhấp vào Bắt đầu bắt các gói tin biểu tượng như được đánh dấu trong ảnh chụp màn hình bên dưới.
Sử dụng Wireshark trên Ubuntu:
Tôi đang nắm bắt các gói tin trên ens33 giao diện mạng có dây như bạn có thể thấy trong ảnh chụp màn hình bên dưới. Hiện tại, tôi không có gói tin nào bị bắt.
Tôi đã ping google.com từ thiết bị đầu cuối và như bạn có thể thấy, nhiều gói tin đã được bắt.
Bây giờ bạn có thể nhấp vào một gói để chọn nó. Chọn một gói sẽ hiển thị nhiều thông tin về gói đó. Như bạn có thể thấy, thông tin về các lớp khác nhau của Giao thức TCP / IP được liệt kê.
Bạn cũng có thể xem dữ liệu RAW của gói tin cụ thể đó.
Bạn cũng có thể nhấp vào các mũi tên để mở rộng dữ liệu gói cho một Lớp giao thức TCP / IP cụ thể.
Lọc các gói bằng Wireshark:
Trên một mạng bận rộn, hàng nghìn hoặc hàng triệu gói tin sẽ được bắt mỗi giây. Vì vậy, danh sách sẽ dài đến mức gần như không thể cuộn qua danh sách và tìm kiếm một số loại gói tin nhất định.
Điều tốt là, trong Wireshark, bạn có thể lọc các gói và chỉ xem các gói mà bạn cần.
Để lọc các gói, bạn có thể nhập trực tiếp biểu thức bộ lọc vào hộp văn bản như được đánh dấu trong ảnh chụp màn hình bên dưới.
Bạn cũng có thể lọc các gói được Wireshark bắt bằng đồ họa. Để làm điều đó, hãy nhấp vào Biểu hiện… như được đánh dấu trong ảnh chụp màn hình bên dưới.
Một cửa sổ mới sẽ mở ra như trong ảnh chụp màn hình bên dưới. Từ đây, bạn có thể tạo biểu thức bộ lọc để tìm kiếm các gói rất cụ thể.
bên trong Tên trường hầu như tất cả các giao thức mạng được liệt kê. Danh sách rất lớn. Bạn có thể nhập giao thức bạn đang tìm kiếm trong Tìm kiếm hộp văn bản và Tên trường phần sẽ hiển thị những cái phù hợp.
Trong bài viết này, tôi sẽ lọc ra tất cả các gói DNS. Vì vậy, tôi đã chọn DNS Hệ Thống Tên Miền từ Tên trường danh sách. Bạn cũng có thể nhấp vào mũi tên trên bất kỳ giao thức nào
Và làm cho lựa chọn của bạn cụ thể hơn.
Bạn cũng có thể sử dụng các toán tử quan hệ để kiểm tra xem một số trường có bằng, không bằng, lớn hơn hoặc nhỏ hơn một giá trị nào đó hay không. Tôi đã tìm kiếm tất cả DNS IPv4 địa chỉ bằng 192.168.2.1 như bạn có thể thấy trong ảnh chụp màn hình bên dưới.
Biểu thức bộ lọc cũng được hiển thị trong phần được đánh dấu của ảnh chụp màn hình bên dưới. Đây là một cách tuyệt vời để học cách viết biểu thức bộ lọc trong Wireshark.
Khi bạn đã hoàn tất, chỉ cần nhấp vào VÂNG .
Bây giờ hãy nhấp vào biểu tượng được đánh dấu để Áp dụng bộ lọc.
Như bạn có thể thấy, chỉ các gói giao thức DNS được hiển thị.
Dừng chụp gói trong Wireshark:
Bạn có thể nhấp vào biểu tượng màu đỏ như được đánh dấu trong ảnh chụp màn hình bên dưới để dừng bắt các gói Wireshark.
Lưu các gói đã chụp vào một tệp:
Bạn có thể nhấp vào biểu tượng được đánh dấu để lưu các gói đã chụp vào một tệp để sử dụng trong tương lai.
Bây giờ hãy chọn một thư mục đích, nhập tên tệp và nhấp vào Cứu .
Tệp sẽ được lưu.
Bây giờ bạn có thể mở và phân tích các gói đã lưu bất cứ lúc nào. Để mở tệp, hãy truy cập Tập tin > Mở ra từ Wireshark hoặc nhấn + hoặc
Sau đó chọn tệp và nhấp vào Mở ra .
Các gói đã bắt sẽ được tải từ tệp.
Vì vậy, đó là cách bạn cài đặt và sử dụng Wireshark trên Ubuntu. Cảm ơn đã đọc bài viết này.