Wireshark (Русский)
Wireshark (ранее Ethereal) - бесплатная программа-анализатор с открытым исходным кодом. Программа используется для анализа, перехвата (сниффинга) интернет пакетов.
Установка
Wireshark имеет несколько реализаций: CLI, Qt:
Захват пакетов от обычного пользователя
ArchLinux использует метод из вики Wireshark для разделения привилегий.
Если установлен wireshark-cli, используйте скрипт для совместимости /usr/bin/dumpcap
.
$ getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip
/usr/bin/dumpcap
единственный процесс имеющий привилегии для перехвата пакетов.
/usr/bin/dumpcap
должен быть запущен либо от суперпользователя, либо от группы wireshark.Существуют несколько способов перехвата пакетов от обычного пользователя:
Добавить пользователя в группу wireshark
Для использования wireshark без прав суперпользователя можно добавить пользователя в группу wireshark
:
# gpasswd -a username wireshark
Если вы не хотите перезапускать текущую сессию, то используйте эту команду:
# newgrp wireshark
Использование sudo
Также возможно использование sudo, чтобы временно использовать группу wireshark
. Следующие строки позволят всем пользователям группы wheel
запускать программы, используя GID wireshark:
%wheel ALL=(:wireshark) /usr/bin/wireshark, /usr/bin/tshark
Для запуска wireshark:
$ sudo -g wireshark wireshark
Методы анализа захваченных пакетов
Wireshark поддерживает огромное количество методов анализа пакетов с помощью фильтров.
man pcap-filter(7)
Фильтрация TCP пакетов
Если вы желаете просмотреть все текущие TCP пакеты, то введите tcp
в строку "Filter".
Фильтрация UDP пакетов
Если вы желаете просмотреть все текущие UDP пакеты, то введите udp
в строку "Filter".
Фильтрование пакетов из специфичного IP-адреса
- Если вы желаете просмотреть весь текущий трафик исходящие из специфичного адреса, то используйте следующий фильтр:
ip.dst == 1.2.3.4
. - Для просмотра входящего трафика, используя специфичный адрес:
ip.src == 1.2.3.4
. - Для просмотра исходящего трафика:
ip.addr == 1.2.3.4
.
Вместо 1.2.3.4
подставьте нужный вам ip-адрес.