Wireshark 魔法探索

CybersecurityCybersecurityBeginner
立即练习

💡 本教程由 AI 辅助翻译自英文原版。如需查看原文,您可以 切换至英文原版

介绍

在本实验中,你将学习如何安装和设置 Wireshark,这将使你能够进行网络分析和故障排除。


Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL cybersecurity(("`Cybersecurity`")) -.-> cybersecurity/WiresharkGroup(["`Wireshark`"]) cybersecurity/WiresharkGroup -.-> cybersecurity/ws_installation("`Wireshark Installation and Setup`") cybersecurity/WiresharkGroup -.-> cybersecurity/ws_interface("`Wireshark Interface Overview`") cybersecurity/WiresharkGroup -.-> cybersecurity/ws_packet_capture("`Wireshark Packet Capture`") cybersecurity/WiresharkGroup -.-> cybersecurity/ws_packet_analysis("`Wireshark Packet Analysis`") cybersecurity/WiresharkGroup -.-> cybersecurity/ws_commandline_usage("`Wireshark Command Line Usage`") subgraph Lab Skills cybersecurity/ws_installation -.-> lab-415947{{"`Wireshark 魔法探索`"}} cybersecurity/ws_interface -.-> lab-415947{{"`Wireshark 魔法探索`"}} cybersecurity/ws_packet_capture -.-> lab-415947{{"`Wireshark 魔法探索`"}} cybersecurity/ws_packet_analysis -.-> lab-415947{{"`Wireshark 魔法探索`"}} cybersecurity/ws_commandline_usage -.-> lab-415947{{"`Wireshark 魔法探索`"}} end

安装 Wireshark

在这一步骤中,我们将完成 Wireshark 的安装过程,以便拥有分析网络流量的必要工具。

首先,让我们更新软件包仓库,确保我们拥有最新的软件版本:

打开终端,并输入以下命令:

sudo apt update

接下来,我们将使用包管理器安装 Wireshark:

sudo apt install wireshark

在安装过程中,系统会提示你是否允许非超级用户捕获数据包。请选择“是”,以确保安装允许非超级用户捕获数据包的 Dumpcap。如果需要,你可以使用以下命令重新选择该选项:

sudo dpkg-reconfigure wireshark-common

安装完成后,通过运行以下命令验证 Wireshark 是否已成功安装:

wireshark --version

这将显示 Wireshark 的版本信息。

配置 Wireshark 捕获权限

在这一步骤中,我们将确保 Wireshark 拥有捕获网络流量的必要权限。

首先,检查 wireshark 组是否存在:

getent group wireshark

如果 wireshark 组不存在,可以使用以下命令创建该组:

sudo groupadd wireshark

默认情况下,Wireshark 以非 root 权限运行,这可能会限制其从某些接口或协议捕获数据包的能力。为了通过 Dumpcap(与 Wireshark 一起安装的工具)赋予 Wireshark 必要的权限,请使用以下命令:

sudo chgrp wireshark /usr/bin/dumpcap
sudo chmod 4755 /usr/bin/dumpcap
sudo gpasswd -a $USER wireshark

前两条命令将 dumpcap 二进制文件的组所有权更改为 wireshark,然后设置其权限为无需超级用户权限即可执行。最后一条命令将当前用户添加到 wireshark 组中,允许非 root 用户访问 dumpcap 二进制文件,并使用 Wireshark 捕获网络数据包,而无需 root 权限。

现在,Wireshark 应该拥有从各种接口和协议捕获数据包的必要权限。

启动 Wireshark

在这一步骤中,我们将学习如何启动 Wireshark。请确保你正在使用桌面环境,以便能够看到 Wireshark 的界面。

要启动 Wireshark,请打开终端并输入以下命令:

wireshark

这将显示 Wireshark 窗口。

捕获网络流量

在这一步骤中,我们将学习如何使用 Wireshark 捕获网络流量并探索其用户界面。

当 Wireshark 运行时,你会看到一个窗口,需要选择一个接口进行监听。你可以点击 eth0 进入主界面,主界面由多个窗格组成,如下图所示:

  1. 数据包列表窗格:此窗格显示捕获的数据包列表,以及时间、源地址、目标地址、协议和数据包长度等基本信息。
  2. 数据包详情窗格:此窗格提供所选数据包的详细信息,包括协议解析和字段值。
  3. 数据包字节窗格:此窗格以十六进制和 ASCII 格式显示原始数据包数据。
Wireshark 用户界面

花一些时间探索各种菜单和工具栏按钮,以熟悉 Wireshark 的功能。

当你选择一个网络接口并进入主界面时,实际上已经开始捕获流量。捕获开始后,你应该会看到数据包在数据包列表窗格中显示出来。你可以使用显示过滤器工具栏或在数据包列表窗格中应用过滤器来筛选或搜索特定的数据包。

要停止捕获,请点击工具栏中的“停止”按钮,或转到“捕获”菜单并选择“停止”。

你可以通过转到“捕获”菜单并选择“选项”来查看其他可用接口。“捕获选项”窗口将显示可用接口列表。选择适当的接口以捕获流量,然后点击“开始”以开始捕获数据包。

Wireshark 用户界面

总结

在本实验中,你学习了如何安装和设置 Wireshark,这是一个强大的网络分析工具。你还学习了如何配置捕获权限以及捕获网络流量。通过这些基本技能,你将能够执行网络分析和故障排除。

您可能感兴趣的其他 Cybersecurity 教程