Linux下常用网络故障调试工具介绍之wireshark的安装与使用

一、简介

•Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

•Wireshark不是入侵侦测软件（IntrusionDetectionSoftware,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。

二、wireshark的安装

•1、方法一：

如果是ubuntu版本系统的话，最简单的在软件中心搜索wireshark直接点安装。（需要机器连接网络）

•2、方法二：适合debian的系统

使用apt-get命令安装（前提是机器能够连接网络）

•在终端执行以下命令：

•$sudo apt-get installwireshark

•等待片刻即可--------

•注：有一个问题就是，以上的两种安装方法安装结束后，如果不进行任何设置的话，wireshark还是不能使用。这时打开wireshark会提示“thereare no interfaces on which a capturecan be done”。原因是出于安全方面的考虑，普通用户不能够打开网卡设备进行抓包（即在默认情况下，普通用户没有截取网络数据的权限）。

•当然，可以通过运行#sudowireshark，这样可以正常使用wireshark，但这并不是一个好方法，正如wireshark提示的那样：

•“Running as user "root" and group "root".

•This could be dangerous.

•If you're runningWireshark this way in order to perform live capture, you may want to be awarethat there is a better way documented at

•/usr/share/doc/wireshark-common/README.Debian”

•wireshark为ubuntu（Debian）用户提供了一种在非root下的解决方法。

•具体步骤：

•（1）执行：

•$sudodpkg-reconfigurewireshark-common（会创建wireshark用户组）

•出现一个图形提示界面

•“Should non-superusers be able tocapturepackages?”

•选择Yes（默认是no）

•（2）在wireshark组后添加用户

•$sudousermod -a -Gwireshark $USER

•在组策略中会出现wireshark组，默认没有任何用户属于这个组，只需把特定的用户加入组中

•（需要注销后重新登录来使设置生效）就可以以该用户来运行wireshark实时抓网络数据包。

•执行完以上两步操作后重启系统完成配置就可以了，直接在终端键入“wireshark”命令即可。

•3、方法三：源码包编译安装

（1）安装编译工具：

 $sudo apt-get install build-essential

（2）为了成功编译Wireshark，您需要安装GTK+的开发文件和GLib库(libraries)。

  $sudo apt-get install libgtk2.0-dev libglib2.0-dev

（3）安装Checkinstall以便管理您系统中直接由源代码编译安装的软件。

 $sudo apt-get installcheckinstall

（4）编译安装libpcap.

（5）编译安装wireshark：

$./configure

 $make

  $sudo make install

其中make编译时间会比较长，这样下来就基本安装了。

三、Linux下wireshark的使用

•1、终端下执行：$wireshark，出现图形界面窗口

•2、配置选项：captureoptions

•主要设置:接口(interface)、工作模式(混杂模式)、Display options、capture filter(可以空着)

•3、点击start开始抓取数据包

•4、分析数据包

注：具体的界面操作本文在这里就不做介绍了