Wireshark (Русский)

From ArchWiki
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.
Состояние перевода: На этой странице представлен перевод статьи Wireshark. Дата последней синхронизации: 19 января 2016. Вы можете помочь синхронизировать перевод, если в английской версии произошли изменения.

Wireshark (ранее Ethereal) - бесплатная программа-анализатор с открытым исходным кодом. Программа используется для анализа, перехвата (сниффинга) интернет пакетов.

Установка

Wireshark имеет несколько реализаций: CLI, Qt:

Захват пакетов от обычного пользователя

ArchLinux использует метод из вики Wireshark для разделения привилегий. Если установлен wireshark-cli, используйте скрипт для совместимости /usr/bin/dumpcap.

$ getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

/usr/bin/dumpcap единственный процесс имеющий привилегии для перехвата пакетов.

Важно: /usr/bin/dumpcap должен быть запущен либо от суперпользователя, либо от группы wireshark.

Существуют несколько способов перехвата пакетов от обычного пользователя:

Добавить пользователя в группу wireshark

Для использования wireshark без прав суперпользователя можно добавить пользователя в группу wireshark:

# gpasswd -a username wireshark

Если вы не хотите перезапускать текущую сессию, то используйте эту команду:

# newgrp wireshark

Использование sudo

Также возможно использование sudo, чтобы временно использовать группу wireshark. Следующие строки позволят всем пользователям группы wheel запускать программы, используя GID wireshark:

%wheel ALL=(:wireshark) /usr/bin/wireshark, /usr/bin/tshark

Для запуска wireshark:

$ sudo -g wireshark wireshark

Методы анализа захваченных пакетов

Wireshark поддерживает огромное количество методов анализа пакетов с помощью фильтров.

Примечание: Для более детального изучения синтаксиса, смотрите man pcap-filter(7)

Фильтрация TCP пакетов

Если вы желаете просмотреть все текущие TCP пакеты, то введите tcp в строку "Filter".

Фильтрация UDP пакетов

Если вы желаете просмотреть все текущие UDP пакеты, то введите udp в строку "Filter".

Фильтрование пакетов из специфичного IP-адреса

  • Если вы желаете просмотреть весь текущий трафик исходящие из специфичного адреса, то используйте следующий фильтр: ip.dst == 1.2.3.4.
  • Для просмотра входящего трафика, используя специфичный адрес: ip.src == 1.2.3.4.
  • Для просмотра исходящего трафика: ip.addr == 1.2.3.4.

Вместо 1.2.3.4 подставьте нужный вам ip-адрес.