wireshark linux?linux自带抓包工具
802.11数据包分析3:抓包工具(Linux下Wireshark)
采用Wireshark进行Linux下的抓包操作是最常见且经济的选择。相比于Windows环境下,仅支持配置特定的昂贵网卡(如airpca系列)进行Wireshark抓包,Linux环境允许使用价格更为亲民的网卡。本文将详细阐述在Linux环境下,尤其是Ubuntu系统中,如何使用Wireshark进行无线数据包的抓包操作。
首先,确保你的Linux系统为Ubuntu,或者直接运行Kali Linux。安装Wireshark成为必要的第一步。安装命令通常为:
在终端输入:sudo apt-get install wireshark
安装完成后,需将无线网卡设置为monitor模式,以便捕捉到所有通过网络的数据帧,包括无线通信的数据。在Linux中,可以通过以下命令将网卡设置为monitor模式:
使用:sudo ifconfig wlan0 monitor
在无线网卡设置中,还存在其他模式,如管理、监听、混合等,具体操作依据实际需求调整。
接下来,启动Wireshark。点击界面顶部的“捕获选项”按钮,选择你的无线网络接口(如:wlan0),并开启混杂模式,确保所有无线帧都能被捕捉到。点击“开始”按钮,开始进行抓包操作。
注意,Wireshark捕获的数据包默认是固定信道的,若需要捕捉特定信道的数据包,则需手动调整设置。此外,若在root模式下启动Wireshark,可能会遇到警告信息,可以通过修改Lua脚本来解决这个问题。具体操作为在Lua脚本中注释掉相应的行。
本文旨在提供Wireshark在Linux环境下进行无线数据包抓包的实用指南,内容为原创,如需转载,需注明作者与原始链接。欢迎关注公众号“无线专家研习社”(WiFi_Professsional)获取更多无线通信相关资讯。
Linux入门之wireshark指令详解
Linux以其稳定性和开源特性深受技术人员喜爱,尤其在网络分析和安全领域,Wireshark扮演着关键角色。作为一款网络协议分析器,Wireshark能帮助初学者透彻理解网络协议工作原理和流量分析。本文将深入讲解Linux中Wireshark的基本指令,以快速入门。
首先,安装Wireshark是使用它的第一步。在Linux上,可以通过包管理器轻松安装,如在Ubuntu中输入“sudo apt-get install wireshark”,在CentOS中则是“sudo yum install wireshark”。安装完成后,通过终端输入“wireshark”启动工具。
启动Wireshark后,你会看到一个直观的界面,它主要由捕获工具、数据包显示、过滤器应用和更多选项组成。掌握基本的捕获指令,如“sudo wireshark-i any”以监听所有网络接口,或“sudo wireshark-k”启用包嗅探,是使用Wireshark的基础。
Wireshark的强大不仅在于捕获,还在于其深入的数据包分析功能。比如,你可以查看数据包详情、应用过滤规则、甚至解析TCP/UDP会话。通过这些功能,你可以深入了解通信过程。
此外,Wireshark还提供了一些高级特性,如性能分析、协议解码和脚本自动化等,这些功能让分析工作更高效。但是,本文所介绍的只是冰山一角,更多功能需要用户自己去探索和实践。
总结来说,Wireshark是一个强大的网络分析工具,熟练掌握其基本指令和功能,将有助于你快速入门网络协议分析,并在解决网络问题时游刃有余。不断学习和实践,你的Wireshark技能将日益提升。
Linux下Wireshark的网络抓包使用方法
Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。
与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。
Wireshark的优势:
-安装方便。
-简单易用的界面。
-提供丰富的功能。
Wireshark的原名是Ethereal,新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司,并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册,Wireshark这个新名字也就应运而生了。
Wireshark目前世界上最受欢迎的协议分析软件,利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式,极大地方便了对网络活动的监测分析和教学实验。它有十分丰富和强大的统计分析功能,可在Windows,Linux和UNIX等系统上运行。此软件于1998年由美国Gerald Combs首创研发,原名Ethereal,至今世界各国已有100多位网络专家和软件人员正在共同参与此软件的升级完善和维护。它的名称于2006年5月由原Ethereal改为Wireshark。至今它的更新升级速度大约每2~3个月推出一个新的版本,2007年9月时的版本号为0.99.6。但是升级后软件的主要功能和使用方法保持不变。它是一个开源代码的免费软件,任何人都可自由下载,也可参与共同开发。
Wireshark网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验,网络的日常安全监测,网络性能参数测试,网络恶意代码的捕获分析,网络用户的行为监测,黑客活动的追踪等。因此它在世界范围的网络管理专家,信息安全专家,软件和硬件开发人员中,以及美国的一些知名大学的网络原理和信息安全技术的教学、科研和实验工作中得到广泛的应用。
在安装新旧版本软件包和使用中,Ethereal与Wireshark的一些细微区别如下:
(1)Ethereal软件安装包中包含的网络数据采集软件是winpcap 3.0的版本,保存捕获数据时只能用英文的文件名,文件名默认后缀为.cap
(2)Wireshark软件安装包中,目前包含的网络数据采集软件是winpcap 4.0版本,保存捕获数据时可以用中文的文件名,文件名默认后缀为.pcap。另外,Wireshark可以翻译解释更多的网络通信协议数据,对网络数据流具有更好的统计分析功能,在网络安全教学和日常网络监管工作中使用更方便,而基本使用方法仍然与Ethereal相同。
winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。
在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析。
最近才发现,原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。
1、安装方法
CentOS:
复制代码代码如下:yum install-y wireshark
Ubuntu:
复制代码代码如下:apt-get install-y tshark
2、实时打印当前http请求的url(包括域名)
复制代码代码如下:
tshark-s 512-i eth0-n-f'tcp dst port 80'-R'http.host and http.request.uri'-T fields-e http.host-e http.request.uri-l| tr-d'\t'
下面介绍参数含义:
-s 512:只抓取前512个字节数据
-i eth0:捕获eth0网卡
-n:禁止网络对象名称解析
-f‘tcp dst port 80′:只捕捉协议为tcp,目的端口为80的数据包
-R‘http.host and http.request.uri’:过滤出http.host和http.request.uri
-T fields-e http.host-e http.request.uri:打印http.host和http.request.uri
-l:输出到标准输出
3、实时打印当前mysql查询语句
复制代码代码如下:
tshark-s 512-i eth0-n-f'tcp dst port 3306'-R'mysql.query'-T fields-e mysql.query
下面介绍参数含义:
-s 512:只抓取前512个字节数据
-i eth0:捕获eth0网卡
-n:禁止网络对象名称解析
-f‘tcp dst port 3306′:只捕捉协议为tcp,目的端口为3306的数据包
-R‘mysql.query’:过滤出mysql.query
-T fields-e mysql.query:打印mysql查询语句
tshark使用-f来指定捕捉包过滤规则,规则与tcpdump一样,可以通过命令man pcap-filter来查得。
tshark使用-R来过滤已捕捉到的包,与界面版wireshark的左上角Filter一致。
