Библиотека сайта rus-linux.net
Анализ сети в системе Ubuntu 9.10 с помощью пакета Wireshark
Оригинал: "Network Analysis With Wireshark On Ubuntu 9.10 "Автор: Falko Timme
Дата публикации: 2010-02-18
Перевод: Н.Ромоданов
Дата перевода: март 2010 г.
Wireshark является анализатором сетевого протокола (или "пакетным сниффером"), который можно использовать для анализа сети, для поиска проблем, возникших в сети, при разработке программ, в процессе обучения и т. п. В настоящем руководстве описывается, как установить этот пакет в системе Ubuntu 9.10 и использовать его при анализе трафика, проходящего через сетевую карту локальной сети.
Настоящая инструкции предоставляется без каких-либо гарантий! Я не гарантирую, что все, описанное ниже, будет работать у вас!
1. Установка пакета Wireshark
Перейдите в меню в раздел Applications > Ubuntu Software Center...
и выберите пакет Wireshark:
Пометьте пакет Wireshark и щелкните по стрелке, указывающей вправо:
На следующем экране щелкните по кнопке Install (Установить):
Введите свой пароль:
После этого пакет Wireshark будет загружен и установлен:
Теперь вы можете закрыть окно Ubuntu Software Center:
2. Использование пакета Wireshark
Вы должны запускать пакет Wireshark с привилегиями root с тем, чтобы он имел достаточно прав для мониторинга сетевых интерфейсов. Поскольку по умолчанию пакет Wireshark запускается с привилегиями обычного пользователя, то сейчас мы должны модифицировать его процедуру запуска. Щелкните правой кнопкой по пункту Applications (Приложения) и выберите пункт Edit Menus (Редактирование Меню):
В редакторе меню перейдите в раздел Internet > Wireshark и щелкните по кнопке Properties (Свойства):
В окне Launcher Properties (Свойства процедуры запуска) в поле Command (Команда) добавьте gksu с тем, чтобы запускаемая команда имела вид gksu wireshark. После этого щелкните по кнопке Close (Закрыть) и выйдите из редактора меню:
Откройте приложение Wireshark (Applications > Internet > Wireshark):
Поскольку мы запустили приложение Wireshark с правами root, вы получите следующее предупреждение (Running as user "root" and group "root". This could be dangerous — Запуск с правами пользователя "root" в группе "root", это опасно.). Щелкните по кнопке OK:
При первом запуске приложение Wireshark будет выглядеть следующим образом:
Щелкните по кнопке List the available capture interfaces... (Список имеющихся отслеживаемых интерфейсов...):
Откроется новое окно со списком сетевых интерфейсов, имеющихся в вашей системе. Скорее всего вы захотите следить за трафиком, проходящим через ваше первичное сетевой устройство (в этом примере - eth0), поэтому для того, чтобы начать анализ трафика с этого интерфейса, щелкните по кнопке Start, расположенной в строке eth0:
Теперь в главном окне вы можете следить за пакетами, отслеживаемыми для различных протоколов:
Сбор данных будет продолжаться до тех пор, пока вы не нажмете кнопку Stop:
После этого вы можете просмотреть результаты, применить фильтры, заняться поиском проблем и т.п.
Для того, чтобы выполнить более тонкую настройку, щелкните по кнопке Show the capture options (Показать параметры сбора данных):
Откроется новое окно, в котором вы можете установить параметры, которые будут использованы при следующем сборе данных. После этого щелкните по кнопке Start с тем, чтобы начать сбор данных:
По умолчанию в результатах будут приведены данные по всем найденным протоколам. Если вы захотите сконцентрироваться на каком-нибудь определенном протоколе, вы можете к полученному результату применить фильтр. Перейдите к пункту Analyze > Display Filters...:
Откроется новое окно, в котором вы можете выбрать нужным вам протокол (например, TCP). После этого щелкните по кнопке OK:
Теперь в окне с результирующими данными вы увидите только трафик для протокола TCP — все другие протоколы будут отфильтрованы:
Для того, чтобы больше узнать об использовании приложения Wireshark, о том, как читать результаты и т. п., обратитесь к документации по Wireshark.