Wireshark (Русский)

Wireshark (ранее Ethereal) - бесплатная программа-анализатор с открытым исходным кодом. Программа используется для анализа, перехвата (сниффинга) интернет пакетов.

Установка

Wireshark имеет несколько реализаций: CLI, Qt:

• wireshark-qt
• wireshark-cli

Захват пакетов от обычного пользователя

Arch Linux использует метод из вики Wireshark для разделения привилегий. Если установлен wireshark-cli, используйте скрипт для совместимости /usr/bin/dumpcap.

$ getcap /usr/bin/dumpcap

/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

/usr/bin/dumpcap единственный процесс имеющий привилегии для перехвата пакетов.

Существуют несколько способов перехвата пакетов от обычного пользователя:

Добавить пользователя в группу wireshark

Для использования wireshark без прав суперпользователя можно добавить пользователя в группу wireshark:

# gpasswd -a username wireshark

Если вы не хотите перезапускать текущую сессию, то используйте эту команду:

# newgrp wireshark

Использование sudo

Также возможно использование sudo, чтобы временно использовать группу wireshark. Следующие строки позволят всем пользователям группы wheel запускать программы, используя GID wireshark:

%wheel ALL=(:wireshark) /usr/bin/wireshark, /usr/bin/tshark

Для запуска wireshark:

$ sudo -g wireshark wireshark

Методы анализа захваченных пакетов

Wireshark поддерживает огромное количество методов анализа пакетов с помощью фильтров.

Фильтрация TCP пакетов

Если вы желаете просмотреть все текущие TCP пакеты, то введите tcp в строку "Filter".

Фильтрация UDP пакетов

Если вы желаете просмотреть все текущие UDP пакеты, то введите udp в строку "Filter".

Фильтрование пакетов из специфичного IP-адреса

• Если вы желаете просмотреть весь текущий трафик исходящие из специфичного адреса, то используйте следующий фильтр: ip.dst == 1.2.3.4.
• Для просмотра входящего трафика, используя специфичный адрес: ip.src == 1.2.3.4.
• Для просмотра исходящего трафика: ip.addr == 1.2.3.4.

Вместо 1.2.3.4 подставьте нужный вам ip-адрес.