与所有事物一样,必须有一个起点,Wireshark也是如此。要使用Wireshark,必须首先安装它。如果您正在运行Windows或macOS,则可以从https://www.wireshark.org/download.html下载官方发行版,进行安装,然后跳过本章的其余部分。
如果您正在运行其他操作系统,例如Linux或FreeBSD,则可能需要从源代码安装。一些Linux发行版提供Wireshark软件包,但它们通常提供过时的版本。到目前为止,没有其他版本的UNIX附带Wireshark。因此,您将需要知道从何处获取最新版本的Wireshark以及如何安装它。
本章介绍如何获取源代码和二进制软件包,以及如何从源代码构建Wireshark(如果您选择这样做)。
常规步骤如下:
- 根据您的需要下载相关的软件包,例如源代码或二进制发行版。
- 对于源代码分发,请将源代码编译为二进制文件。这可能涉及构建和/或安装其他必要的软件包。
- 将二进制文件安装到其最终目标位置。
2.2。获取源和二进制分布
您可以从Wireshark网站获得源代码发行版和二进制发行版:https : //www.wireshark.org/download.html。选择下载链接,然后选择所需的二进制或源程序包。
下载所有必需文件 | |
---|---|
如果要从源代码构建Wireshark,则可能需要下载其他一些依赖项。这将在下面详细介绍。 |
2.3。在Windows下安装Wireshark
Windows安装程序名称包含平台和版本。例如,Wireshark-win64-3.3.0.exe将为64位Windows安装Wireshark 3.3.0。Wireshark安装程序包含Npcap,这是数据包捕获所必需的。
只需从https://www.wireshark.org/download.html下载Wireshark安装程序并执行即可。官方软件包由Wireshark Foundation,Inc . 签署。您可以选择安装几个可选组件,然后选择已安装软件包的位置。建议大多数用户使用默认设置。
在安装程序的“选择组件”页面上,可以从以下选项中进行选择:
- Wireshark-我们都知道并且最喜欢的网络协议分析器。
- TShark-命令行网络协议分析器。如果您还没有尝试过,那么应该。
-
插件和扩展 -Wireshark和TShark解剖引擎的其他功能
- Dissector插件 -具有一些扩展解剖的插件。
- 树统计插件 -扩展统计。
- Mate-元分析和跟踪引擎 -显示过滤器引擎的用户可配置扩展,请参阅第12章,MATE了解详细信息。
- SNMP MIB -SNMP MIB,用于更详细的SNMP剖析。
-
工具 -用于捕获文件的其他命令行工具
- Editcap-读取捕获文件,并将部分或全部数据包写入另一个捕获文件。
- Text2Pcap-读取ASCII十六进制转储,并将数据写入pcap捕获文件。
- Reordercap-按时间戳重新排序捕获文件。
- Mergecap-将多个保存的捕获文件合并为一个输出文件。
- Capinfos-提供有关捕获文件的信息。
- Rawshark-原始数据包过滤器。
- 用户指南 -用户指南的本地安装。如果未在本地安装《用户指南》,则大多数对话框上的“帮助”按钮都需要连接互联网才能显示帮助页面。
- 开始菜单快捷方式 -添加一些开始菜单快捷方式。
- 桌面图标 -将Wireshark图标添加到桌面。
- 快速启动图标 -将Wireshark图标添加到资源管理器快速启动工具栏。
- 将文件扩展名关联到Wireshark-将标准网络跟踪文件关联到Wireshark。
默认情况下,Wireshark安装%ProgramFiles%\Wireshark
在32位Windows和%ProgramFiles64%\Wireshark
64位Windows上。这扩展到C:\Program Files\Wireshark
大多数系统上。
Wireshark安装程序包含最新的Npcap安装程序。
如果没有安装Npcap,则将无法捕获实时网络流量,但仍可以打开保存的捕获文件。默认情况下,将安装最新版本的Npcap。如果您不希望这样做或希望重新安装Npcap,则可以根据需要选中“ 安装Npcap”框。
有关Npcap的更多信息,请参见https://nmap.org/npcap/和 https://wiki.wireshark.org/Npcap。
对于特殊情况,有一些可用的命令行参数:
/S
使用默认值以静默方式运行安装程序或卸载程序。静默安装程序将不会安装Npcap。/desktopicon
安装桌面图标=yes
-强制安装=no
-不安装,否则使用默认设置。此选项对于无提示安装程序很有用。/quicklaunchicon
快速启动图标的=yes
安装,-强制安装,=no
-不要安装,否则请使用默认设置。/D
设置默认的安装目录($ INSTDIR),覆盖InstallDir和InstallDirRegKey。它必须是命令行中使用的最后一个参数,并且即使路径包含空格也不能包含任何引号。/NCRC
禁用CRC校验。我们建议不要使用此标志。
例:
Wireshark-win64-wireshark-2.0.5.exe / NCRC / S / desktopicon = yes / quicklaunchicon = no / D = C:\ Program Files \ Foo
运行不带任何参数的安装程序将显示普通的交互式安装程序。
如上所述,Wireshark安装程序还会安装Npcap。如果您希望手动安装Npcap或使用与Wireshark安装程序中包含的版本不同的版本,则可以从主要的Npcap站点https://nmap.org/npcap/下载Npcap 。
官方的Wireshark Windows软件包将检查新版本,并在可用时通知您。如果禁用了“ 检查更新”首选项,或者如果您在隔离的环境中运行Wireshark,则应订阅wireshark-announce邮件列表,以获知新版本。有关订阅此列表的详细信息,请参见第1.6.5节“邮件列表”。
新版本的Wireshark通常每四到六周发布一次。更新Wireshark与安装它的方法相同。只需下载并启动安装程序exe。通常不需要重新启动,并且所有个人设置保持不变。
Wireshark更新可能还包括Npcap的新版本。Npcap手动更新说明可在Npcap网站上找到,网址为https://nmap.org/npcap/。安装新的Npcap版本后,可能必须重新启动计算机。
您可以使用“ 程序和功能”控制面板来卸载Wireshark 。选择“ Wireshark”条目以开始卸载过程。
Wireshark卸载程序提供了几个删除选项。默认设置是删除核心组件,但保留您的个人设置和Npcap。Npcap被保留,以防其他程序需要它。
您可以使用“ 程序和功能”控制面板中的Npcap条目独立于Wireshark卸载Npcap 。请记住,如果卸载Npcap,将无法使用Wireshark捕获任何内容。
2.4。在Windows下从源代码构建
强烈建议您使用Windows二进制安装程序,除非您要开始在Windows平台上开发Wireshark。
有关如何从源代码构建Windows的Wireshark的更多信息,请参见https://www.wireshark.org/docs/wsdg_html_chunked/上的《开发人员指南》。
您可能还需要查看Development Wiki(https://wiki.wireshark.org/Development),以获取最新的可用开发文档。
2.5。在macOS下安装Wireshark
正式的macOS软件包以包含应用程序捆绑包的磁盘映像(.dmg)的形式分发。要安装Wireshark,只需打开磁盘映像并将Wireshark拖到您的/ Applications文件夹。
为了捕获数据包,必须安装“ ChmodBPF”启动守护程序。您可以通过打开Wireshark .dmg中的Install ChmodBPF.pkg文件或通过打开Wireshark → 关于Wireshark选择“文件夹”选项卡,然后双击“ macOS Extras”,从Wireshark iself中打开Install ChmodBPF.pkg文件。
安装程序包包括Wireshark以及ChmodBPF和系统路径包。有关更多详细信息,请参见随附的“先阅读我”文件。
2.6。在UNIX下从源代码构建Wireshark
构建Wireshark需要适当的构建环境,包括编译器和许多支持库。有关更多信息,请参见https://www.wireshark.org/docs/wsdg_html_chunked/上的《开发人员指南》 。
使用以下常规步骤从UNIX或Linux下的源代码构建Wireshark:
-
从压缩
tar
文件中解压缩源。如果您使用的是Linux或UNIX版本使用的是GNUtar
,则可以使用以下命令:tar xJf wireshark-2.9.0.tar.xz
在其他情况下,您将必须使用以下命令:
xz -d wireshark-2.9.0.tar.xz tar xf wireshark-2.9.0.tar
-
创建一个目录以构建Wireshark并更改为该目录。
mkdir build cd build
-
配置您的源,以便它将为您的UNIX版本正确构建。您可以使用以下命令执行此操作:
cmake ../wireshark-2.9.0
如果此步骤失败,则必须查看日志并纠正问题,然后重新运行
cmake
。第2.8节“在Unix上构建和安装期间的故障排除”中提供了故障排除提示。 -
建立源。
make
在
make
上面构建Wireshark之后,您应该可以输入来运行它run/wireshark
。 -
将软件安装在最终位置。
make install
一旦使用make install
上述工具安装了Wireshark ,您应该可以通过输入来运行它wireshark
。
2.7。在UNIX下安装二进制文件
通常,在您的UNIX版本下安装二进制文件将特定于您的UNIX版本使用的安装方法。例如,在AIX下,您将使用smit来安装Wireshark二进制软件包,而在Tru64 UNIX(以前是Digital UNIX)下,您将使用setld。
从Wireshark的源代码构建RPM会产生多个软件包(大多数发行版都使用同一系统):
- 该
wireshark
软件包包含核心的Wireshark库和命令行工具。 - 的
wireshark
或wireshark-qt
包中包含基于Qt的GUI。
许多发行版使用yum
或类似的软件包管理工具来简化软件(包括其依赖项)的安装。如果您的发行版使用yum
,请使用以下命令将Wireshark与Qt GUI一起安装:
yum install wireshark wireshark-qt
如果您是从Wireshark来源构建自己的RPM的,则可以通过运行来安装它们,例如:
rpm -ivh wireshark-2.0.0-1.x86_64.rpm wireshark-qt-2.0.0-1.x86_64.rpm
如果上述命令由于缺少依赖项而失败,请先安装依赖项,然后重试上述步骤。
2.7.2。在Debian,Ubuntu和其他Debian衍生版本下从debs安装
如果您只能从存储库安装,请使用
apt install wireshark
Apt应该为您解决所有依赖性问题。
捕获需要特权 | |
---|---|
通过安装Wireshark软件包,非root用户将不会自动获得捕获数据包的权限。要允许非root用户捕获数据包,请遵循/usr/share/doc/wireshark-common/README.Debian中描述的过程。 |
2.7.3。在Gentoo Linux下从Portage安装
使用以下命令在具有所有其他功能的Gentoo Linux下安装Wireshark:
USE="c-ares ipv6 snmp ssl kerberos threads selinux" emerge wireshark
2.7.4。从FreeBSD下的软件包安装
使用以下命令在FreeBSD下安装Wireshark:
pkg_add -r wireshark
pkg_add应该为您解决所有依赖性问题。
2.8。在Unix上构建和安装期间进行故障排除
在构建和安装过程中可能会发生许多错误。这里提供了一些解决这些问题的提示。
如果cmake
阶段失败,则需要找出原因。您可以检查文件CMakeOutput.log
并CMakeError.log
在构建目录中查找失败的原因。该文件的最后几行应有助于确定问题。
标准问题是您的系统上没有必需的开发包,或者该开发包不够新。请注意,仅安装库软件包是不够的。您还需要安装其开发包。cmake
如果您的系统上没有libpcap(至少需要包含文件),也会失败。
如果您无法确定问题所在,请发送电子邮件到 wireshark-dev邮件列表,说明您的问题。包括来自cmake
您的输出 以及您认为相关的其他任何信息,例如make
阶段的痕迹 。