具体步骤:
“Should non-superusers be able to capture packages?”
选择Yes
在组策略中会出现wireshark组,默认没有任何用户属于这个组,只需把特定的用户加入组中(需要注销后重新登录来使设置生效)就可以以该用户来运行wireshark实时抓网络数据包
安装编译工具:
$sudo apt-get install build-essential
为了成功编译Wireshark,您需要安装GTK+的开发文件和GLib库(libraries)。
$sudo apt-get install libgtk2.0-dev libglib2.0-dev
安装Checkinstall以便管理您系统中直接由源代码编译安装的软件。
$sudo apt-get install checkinstall
wireshark源码下载地址:http://www.wireshark.org/download.html(页面中的source code)
下载后的文件名:wireshark-1.2.2.tar.bz2
cd到文件目录解压:$tar -xvf wireshark-1.2.2.tar.bz2
$cd wireshark-1.2.2
编译安装命令如下:
$./configure
$make
$sudo make install
其中make编译时间会比较长,这样下来就基本安装了。
下面是我这篇文章的关键,也是用ubuntu安装的过程中极有可能遇到的问题,且都是在进行./configure编译过程中出现,两个问题如下:
---------------------------------------------------------------------------------------------------------
问题1:
- ./configure执行到最后出错
- checking
for perl... /usr/bin/perl - checking
for bison... no - checking
for byacc... no - checking
for yacc... no - configure:
error: I couldn't find yacc (or bison or ...); make sure it's installed and in your path
解决办法:
- sudo
apt-get install flex bison
yacc(Yet Another Compiler Compiler),是Unix/Linux上一个用来生成编译器的编译器(编译器代码生成器)。
如想深入了解google下。
问题2:
- configure:
error: Header file pcap.h not found; if you installed libpcap from source, did you also do "make install-incl", and if you installed a binary package of libpcap, is there also a developer's package of libpcap, - and
did you also install that package?
问题原因是ubuntu下缺少pcap.h等文件。
解决方法:
编译安装libpcap.
在www.tcpdump.org页面中可下载源码:libpcap-1.0.0.tar.gz
cd到文件目录:
- $tar
-xvf libpcap-1.0.0.tar.gz - $cd
libpcap-1.0.0.tar.gz - $./configure
- $make
- $sudo
make install
----------------------------------------------------------------------------------------------------------------------------------------------------
采用上面的方法后再回到文章前面的步骤:
$cd wireshark-1.2.2编译安装:
$./configure
$make
$sudo make install
这样就安装好了。
启动方法:进入wireshark-1.2.2,输入命令:
- $sudo
./wireshark
这里如果不用sudo,则wireshark找不到网络设备接口,这主要与权限有关,启动时注意下就行。
使用如下命令,可以得到Ethereal或Wireshark的详细依赖关系列表。
| #apt-cache depends wireshark |
| #apt-cache depends etherea |
| #wireshark |
| #ethereal |
选择需要捕捉的设备。
| Capture -> Options |
选择您想要捕捉的设备后点击Start。
Wireshark的运行结果。
为了更加高效的使用Wireshark,详细 了解其各项功能 以及学习 如何管理和使用过滤器 找到自己想要的结果也是十分必要的。
界面说明:
在成功运行Wireshark之后,我们就可以进入下一步,更进一步了解这个强大的工具。
下面是一张地址为192.168.1.2的计算机正在访问“openmaniak.com”网站时的截图。
 |
1.
 |
| - "File"(文件) - "Edit" (编辑) - "View"(查看) - "Go" (转到) - "Capture"(捕获) - "Analyze"(分析) - "Statistics" (统计) - "Help" (帮助) | 打开或保存捕获的信息。 查找或标记封包。进行全局设置。 设置Wireshark的视图。 跳转到捕获的数据。 设置捕捉过滤器并开始捕捉。 设置分析选项。 查看Wireshark的统计信息。 查看本地或者在线支持。 |
2.
 |
您可以将鼠标指针移动到某个图标上以获得其功能说明。
 |
请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考 Wireshark过滤器 中的详细内容。
4.
 |
 |
如果捕获的是一个OSI layer 2的封包,您在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空。
如果捕获的是一个OSI layer 3或者更高层的封包,您在Source(来源)和Destination(目的地)列中看到的将是IP地址。Port(端口)列仅会在这个封包属于第4或者更高层时才会显示。
您可以在这里添加/删除列或者改变各列的颜色:
Edit menu -> Preferences
5.
 |
信息按照不同的OSI layer进行了分组,您可以展开每个项目查看。下面截图中展开的是HTTP信息。
 |
 |
在上面的例子里,我们在“封包详细信息”中选择查看TCP端口(80),其对应的16进制数据将自动显示在下面的面板中(0050)。
7.
 |
- - 正在进行捕捉的网络设备。
- 捕捉是否已经开始或已经停止。
- 捕捉结果的保存位置。
- 已捕捉的数据量。
- 已捕捉封包的数量。(P)
- 显示的封包数量。(D) (经过显示过滤器过滤后仍然显示的封包)
- 被标记的封包数量。(M)
过滤器:
正如您在Wireshark教程第一部分看到的一样,安装、运行Wireshark并开始分析网络是非常简单的。
使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。
过犹不及。
这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
| - - | 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 |
两种过滤器的目的是不同的。
捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。
显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。
两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍:
1. 捕捉过滤器
捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。
设置捕捉过滤器的步骤是:
- 选择 capture -> options。
- 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存,以便在今后的捕捉中继续使用这个过滤器。
- 点击开始(Start)进行捕捉。
| 语法: |
|
|
|
|
|
| ||||||
| 例子: |
|
|
|
|
|
|
Protocol(协议):
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议,则默认使用所有支持的协议。
Direction(方向):
可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地,则默认使用 "src or dst" 作为关键字。
例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。
Host(s):
可能的值: net, port, host, portrange.
如果没有指定此值,则默认使用"host"关键字。
例如,"src 10.1.1.1"与"src host 10.1.1.1"相同。
Logical Operations(逻辑运算):
可能的值:not, and, or.
否("not")具有最高的优先级。或("or")和与("and")具有相同的优先级,运算时从左至右进行。
例如,
"not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。
"not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。
例子:
| tcp dst port 3128 |
显示目的TCP端口为3128的封包。
| ip src host 10.1.1.1 |
显示来源IP地址为10.1.1.1的封包。
| host 10.1.2.3 |
显示目的或来源IP地址为10.1.2.3的封包。
| src portrange 2000-2500 |
显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。
| not imcp |
显示除了icmp以外的所有封包。(icmp通常被ping工具使用)
| src host 10.7.2.12 and not dst net 10.200.0.0/16 |
显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。
| (src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 |
显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。
注意事项:
当使用关键字作为值时,需使用反斜杠“\”。
"ether proto \ip" (与关键字"ip"相同).
这样写将会以IP协议作为目标。
"ip proto \icmp" (与关键字"icmp"相同).
这样写将会以ping工具常用的icmp作为目标。
可以在"ip"或"ether"后面使用"multicast"及"broadcast"关键字。
当您想排除广播请求时,"no broadcast"就会非常有用。
查看
在Wiki Wireshark website上可以找到更多捕捉过滤器的例子。
2.
通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。
它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不需要重新捕捉一次。
| 语法: | Protocol | . |
| . |
|
operator |
|
Operations |
expression | |||||
|
|
|
|
|
|
|
|
|
您可以使用大量位于OSI模型第2至7层的协议。点击"Expression..."按钮后,您可以看到它们。
比如:IP,TCP,DNS,SSH
您同样可以在如下所示位置找到所支持的协议:
Wireshark的网站提供了对各种
协议的子类。
点击相关父类旁的"+"号,然后选择其子类。
可以使用6种比较运算符:
| 英文写法: | C语言写法: | 含义: |
|
|
| 等于 |
|
|
| 不等于 |
|
|
| 大于 |
|
|
| 小于 |
|
|
| 大于等于 |
|
|
| 小于等于 |
| 英文写法: | C语言写法: | 含义: |
|
|
| 逻辑与 |
|
|
| 逻辑或 |
|
|
| 逻辑异或 |
|
|
| 逻辑非 |
被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时,只有当且仅当其中的一个条件满足时,这样的结果才会被显示在屏幕上。
让我们举个例子:
"tcp.dstport 80 xor tcp.dstport 1025"
只有当目的TCP端口为80或者来源于端口1025(但又不能同时满足这两点)时,这样的封包才会被显示。
例子:
| snmp || dns || icmp | 显示SNMP或DNS或ICMP封包。 |
| ip.addr == 10.1.1.1 |
| ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 |
换句话说,显示的封包将会为:
来源IP:除了10.1.2.3以外任意;目的IP:任意
以及
来源IP:任意;目的IP:除了10.4.5.6以外任意
| ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 |
换句话说,显示的封包将会为:
来源IP:除了10.1.2.3以外任意;同时须满足,目的IP:除了10.4.5.6以外任意
| tcp.port == 25 | 显示来源或目的TCP端口号为25的封包。 |
| tcp.dstport == 25 | 显示目的TCP端口号为25的封包。 |
| tcp.flags | 显示包含TCP标志的封包。 |
| tcp.flags.syn == 0x02 | 显示包含TCP SYN标志的封包。 |
 | 表达式正确 |
 | 表达式错误 |
在进行网络测试的时候,我们经常需要进行抓包的工作,当然有许多测试工具可以使用,比如sniffer, ethreal等.但最为方便和简单得就非TCPDump莫属. Linux的发行版里基本都包括了这个工具. TCPDump将网络接口设置成混杂模式以便捕获到达的每一个数据包.下面给出TCPDump的部分常用选项:
-i <interface> 指定监听的网络接口
-v指定详细模式输出详细的报文信息
-vv指定更详细模式输出更详细的报文信息
-x指定以16进制数格式显示数据包
-X规定以ASCII码格式显示输出
-n规定在捕获过程中不需向DNS查询IP地址
-F <file> 从指定文件中读取表达式
-D显示可用网络接口
-s <length> 设置捕获数据包的长度
TCPDump的表达式:
默认情况下TCPDump将捕获所有到达网络的数据包.这并不是我们想要的,因此就必须通过表达式来限制不必要的流量,只输出我们需要监听的数据包.
1.类型限定词
类型限定词有: host, port和net. host用来指定主机或目的地址,port指定端口,net可以用来指定某一子网. 如:
tcpdump 'port 80' 监听80端口
tcpdump 'net 192.168.1' 监听子网192.168.1.0
tcpdump 'net 192.168.1.0/24'
2.逻辑运算符
逻辑运算符有AND,OR和NOT. ()可将多个表达式组合起来.
tcpdump 'port 80 and (host 192.168.1.10 or host 192.168.1.11)'
监听主机192.168.1.10 或192.168.1.11的80端口.
3.传输方向限定词
关键词src指定源地址,dst指定目的地址
tcpdump 'port 80 and (src 192.168.1.10 or src 192.168.1.11)'
tcpdump 'dst port 25'
4.协议限定词
用来捕获特定协议的数据包有: ether(Ethernet), TCP,UDP,ICMP,IP,ip6(IPv6),ARP,rarp(reverse ARP)等.
5.原语
原语主要有: 算术运算符(+,-,*,/,>,<,>=,<=,!=等), broadcast, gateway, greater, less.
broadcast捕获广播数据包, greater和less相当于>=和<=.
小例子:
//本机20000端口通讯数据抓包
tcpdump -s 0 -i lo port 20000 -w /tmp/20000.pcap
tcpdump -i lo tcp port 4000 -w /tmp/auth.pcap
//10.8.2.181:7001端口通讯数据抓包
tcpdump -i eth0 -s 0 host 10.8.2.181 and port 7001 -w /tmp/syrk.pcap
459
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
