在 Ubuntu 22.04 中安装和使用 Wireshark

Wireshark 是一个强大的网络协议分析工具，以下是在 Ubuntu 22.04 上安装和配置它的完整指南。

安装 Wireshark

方法1：通过官方仓库安装

1. 更新软件包列表：

   sudo apt update
   

2. 安装 Wireshark：

   sudo apt install wireshark
   

方法2：通过 Wireshark 官方 PPA 安装（获取最新版本）

1. 添加 Wireshark 官方 PPA：

   sudo add-apt-repository ppa:wireshark-dev/stable
   sudo apt update
   

2. 安装 Wireshark：

   sudo apt install wireshark
   

配置 Wireshark

设置非 root 用户捕获数据包权限

默认情况下，Wireshark 需要 root 权限来捕获网络数据。为了提高安全性，可以配置非 root 用户也能捕获数据包：

1. 在安装过程中会弹出对话框，选择"是"以允许非 root 用户捕获数据包。

2. 如果错过了安装时的配置，可以手动设置：

   sudo dpkg-reconfigure wireshark-common
   

   选择"是"允许非 root 用户捕获数据包。

3. 将当前用户添加到 wireshark 组：

   sudo usermod -aG wireshark $USER
   

4. 为使组更改生效，需要注销并重新登录。

启动 Wireshark

图形界面启动

wireshark

命令行启动

sudo wireshark

(如果配置了非 root 用户权限，则不需要 sudo)

基本使用方法

1. 选择网络接口：启动后，Wireshark 会显示可用的网络接口列表，选择要监控的接口。

2. 开始捕获：点击接口名称旁边的蓝色鲨鱼鳍图标开始捕获数据包。

3. 停止捕获：点击红色方形按钮停止捕获。

4. 过滤数据包：

   • 在过滤器栏中输入过滤表达式（如 tcp.port == 80 只显示 HTTP 流量）
   • 常用过滤器：
     • ip.addr == 192.168.1.1 - 特定 IP 地址
     • tcp - 只显示 TCP 流量
     • udp - 只显示 UDP 流量
     • http - HTTP 流量
     • dns - DNS 查询

5. 查看数据包详情：点击任意数据包查看协议层级详情。

命令行工具 tshark

Wireshark 还提供了命令行工具 tshark：

# 捕获前10个数据包并显示
tshark -c 10

# 捕获特定接口的流量
tshark -i eth0

# 捕获并保存到文件
tshark -w capture.pcap

# 读取捕获文件
tshark -r capture.pcap

常见问题解决

1. 无法找到接口或没有权限

• 确保用户已加入 wireshark 组
• 尝试重启系统使组更改生效
• 或者使用 sudo wireshark

2. 界面显示异常

sudo apt install --reinstall wireshark-common wireshark-qt

3. 更新 Wireshark

sudo apt update
sudo apt upgrade

Wireshark 是一个功能强大的工具，建议查阅官方文档了解更多高级功能和使用技巧。