安装
Windows下使用网络截包软件,一般使用都是使用图形化的软件,如Sniffer Pro /Ethereal/EtherPeek
,Linux 下字符界面的TCPDump 操作实现太难记了,而且演示,分析,培训效果都不好,所以尝试在CentOS5.4中安装Linux下的gnome界面的图形化抓包工具WireShark。WireShark官方主页上可以下载到widows和MAC
OS下的安装包,而linux下的rpm或者deb包并没有,只是提供了原始代码。
http://www.wireshark.org/download.html
感谢google,在网上找到这两个链接:
http://redhatsolution.googlecode.com/files/wireshark-1.1.2-1.pre1.i386.rpm
http://redhatsolution.googlecode.com/files/wireshark-gnome-1.1.2-1.pre1.i386.rpm
其中wireshark-gnome-1.1.2-1.pre1.i386.rpm是基于gnome的图形界面,wireshark-
1.1.2-1.pre1.i386.rpm 是核心库。后者要先安装。
笔者CentOS5.4系统中自带了WireShark,#rpm -q
wireshark可以找到这个包,还有一些文档,配置文件也有,但是二进制文件没有,而且也找不到原始的安装包。
自带的版本是1.0.8,所以为了更新现有的新的wireshark版本,首先卸载掉系统中旧的,而且是不完全的,无法运行的老版本。
#rpm -e wireshark-1.0.8.......
然后全新安装新的wireshark,看了网上一些安装的提示之后知道,需要提前安装一些需要的库。
http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz http://www.portaudio.com/archives/pa_stable_v19_20071207.tar.gz
简单的 tar -jxvf /configure /make /make
install期间会遇到一些需要下载安装的包,依序都yes即可。
安装步骤:使用rpm 的--force --nodeps 强行安装,忽略依赖包
1 rpm -ivh wireshark-1.1.2-1.pre1.i386.rpm 2 rpm -i --force
--nodeps wireshark-gnome-1.1.2-1.pre1.i386.rpm 3
安装libpcap-1.0.0.tar.gz ; pa_stable_v19_20071207.tar.gz
这一些动态库一般安装在/usr/local/lib下.执行时可以用如下方法调用
export LD_LIBRARY_PATH=/usr/local/lib;wireshark
但是每次运行前都这样声明环境变量太麻烦了,所以直接将LD_LIBRARY_PATH=/usr/local/lib;写进环境变量配置文件,/etc/bashrc中加入下面这两行:
LD_LIBRARY_PATH=/usr/local/lib
export LD_LIBRARY_PATH
这样即使重启后,也可以直接在终端里使用wireshark直接打开图形化界面。
使用(ZZ)
这是RHEL运行的界面
跟WINDOWS界面比较一下
快速使用手册
点击第一个列表,可以选择一个网卡抓包,LINUX版的可以抓lo,就是本机内部之间包交流的包.这给开发带来不少
方便,WireShark也能抓无线网卡的包了.
抓包时界面,分为三栏,上面是包列表,中间包分析结果,下面包原始数据罗列,最方便功能是原始数能按BYTE拷贝出来.这样在C语言构造一个包,
拿这现成包改改就行
第二个按键,较多的抓包选项.
使用过滤表达式