在 Ubuntu 上使用 Wireshark

Wireshark 是一个功能强大的开源网络分析器,可用于嗅探网络上的数据,作为排除网络流量分析故障的助手,但同样作为帮助理解网络和通信协议原理的教育工具。

它适用于几乎任何 Linux 发行版,对于 Ubuntu,它可以通过 Ubuntu 软件中心或终端安装:

在使用wireshark之​​前, dumpcap 实用程序需要被授予以 root 身份运行的权限。 如果没有这个,当您以普通用户身份登录时(通常在 Ubuntu 等发行版中),Wireshark 将无法捕获网络流量。 添加“setuid” 位到 dumpcap,使用以下命令:

请注意,“which dumpcap”周围的引号不是普通的单引号,而是重音符号。 在类 Unix 系统上,这会调用命令替换,其中 which 命令成为参数 chmod 命令,即完整路径 dumpcap 二进制。

启动 Wireshark,然后单击要用于捕获数据的网络接口。 在有线网络上,它可能是 eth0. 现在单击开始。

Wireshark 将开始捕获流量并将其显示为主窗口中的颜色编码列表。 TCP 流量为绿色,UDP 数据包为浅蓝色,ARP 请求为黄色,DNS 流量为深蓝色。

Wireshark 实时捕获

工具栏正下方是过滤器框。 要仅查看某些类型的网络数据包,请在编辑框中输入协议名称并单击应用。 为了 example,要仅查看 ARP(地址解析协议)消息,请键入 arp 进入过滤器框,然后单击应用。 该列表将更改为仅显示 ARP 消息。 ARP 在 LAN 上用于发现哪台机器正在使用某个 IP 地址。 其他 example 过滤器有 HTTP、ICMP、SMTP、SMB 等。

Wireshark 可以使用更高级的标准进行过滤,而不仅仅是协议类型。 为了 example,要查看来自特定主机的所有与 DNS 相关的流量,请使用过滤器 ip.src==192.168.1.101 and dns 在哪里 192.168.1.101 是您要过滤的源地址。

Wireshark 跟随流

如果您发现想要完整查看两个主机之间的有趣交互,那么 Wireshark 有一个“关注流”选项。 右键单击交换中的任何数据包,然后单击“Follow TCP Stream”(或Follow UDP Stream,Follow SSL Stream,具体取决于协议类型)。 然后,Wireshark 将显示对话的完整副本。

试试这个

使用 Wireshark 可以像您需要的那样复杂或简单,网络专家有很多高级功能,但那些想要了解网络的人也可以从使用它中受益。 如果您想了解有关 Wireshark 的更多信息,可以尝试以下方法。 开始捕获并将过滤器设置为 ICMP。 现在从另一台 Linux 机器甚至是 Windows PC 命令 shell 使用类似这样的命令 ping 你的 Linux 机器:

在哪里 192.168.1.10 是 Linux 机器的 IP 地址。 现在查看数据包列表,看看您是否发现了 ping 的网络流量。

订阅我们的新闻!

我们最新的教程直接发送到您的收件箱

注册所有时事通讯。 注册即表示您同意我们的隐私政策并且欧洲用户同意数据传输政策。 我们不会共享您的数据,您可以随时取消订阅。 订阅