Beyond Linux® From Scratch (Edição systemd ) - Versão 11.3

Capítulo 16. Utilitários de Trabalho em Rede de Intercomunicação

Wireshark-4.0.3

Introdução ao Wireshark

O pacote "Wireshark" contém um analisador de protocolo de rede de intercomunicação, também conhecido como um sniffer. Isso é útil para analisar dados capturados fora do fio a partir de uma conexão ativa de rede de intercomunicação ou dados lidos a partir de um arquivo de captura.

O "Wireshark" fornece uma estrutura de interação direta com o(a) usuário(a), gráfica e em modo TTY, para examinar pacotes de rede de intercomunicação capturados a partir de mais que quinhentos (500) protocolos, bem como a capacidade de ler arquivos de captura a partir de muitos outros analisadores populares de rede de intercomunicação.

Esse pacote é conhecido por construir e funcionar adequadamente usando uma plataforma LFS 11.3.

Informação do Pacote

  • Transferência (HTTP): https://www.wireshark.org/download/src/all-versions/wireshark-4.0.3.tar.xz

  • Transferência (FTP):

  • Soma de verificação MD5 da transferência: 11a7302d65b1ff26f92148f3014eaf5b

  • Tamanho da transferência: 39 MB

  • Espaço em disco estimado exigido: 680 MB (com todas as dependências opcionais disponíveis no livro BLFS)

  • Tempo de construção estimado: 1,9 UPC (com paralelismo=4 e todas as dependências opcionais disponíveis no livro BLFS)

Transferências Adicionais

Dependências do "Wireshark"

Exigidas

CMake-3.25.2, GLib-2.74.5, libgcrypt-1.10.1 e Qt-5.15.8

Recomendadas

libpcap-1.10.3 (exigido para capturar dados)

Opcionais

asciidoctor-2.0.18, Brotli-1.0.9, c-ares-1.19.0, Doxygen-1.9.6, git-2.39.2, GnuTLS-3.8.0, libnl-3.7.0, libxslt-1.1.37, libxml2-2.10.3, Lua-5.2.4, MIT Kerberos V5-1.20.1, nghttp2-1.52.0, SBC-2.0, Speex-1.2.1, BCG729, libilbc, libsmi, lz4, libssh, MaxMindDB, Minizip, Snappy e Spandsp

Observações de Usuário(a): https://wiki.linuxfromscratch.org/blfs/wiki/wireshark

Configuração do Núcleo

O núcleo precisa ter o protocolo "Packet" habilitado para o "Wireshark" capturar pacotes ativos a partir da rede de intercomunicação: 

[*] Networking support --->         [CONFIG_NET]
      Networking options --->
        <*/M> Packet socket          [CONFIG_PACKET]

Se construído como um módulo, [então] o nome é "af_packet.ko".

Instalação do Wireshark

"Wireshark" é um aplicativo muito grande e complexo. Estas instruções fornecem medidas adicionais de segurança para garantir que somente usuários(as) confiáveis sejam permitidos(as) a visualizar o tráfego da rede de intercomunicação. Primeiro, configure um grupo do sistema para o "Wireshark". Como o(a) usuário(a) "root": 

groupadd -g 62 wireshark

Continue a instalar o "Wireshark" executando os seguintes comandos: 

mkdir build &&
cd   build &&

cmake -DCMAKE_INSTALL_PREFIX=/usr \
      -DCMAKE_BUILD_TYPE=Release  \
      -DCMAKE_INSTALL_DOCDIR=/usr/share/doc/wireshark-4.0.3 \
      -G Ninja \
      .. &&
ninja

Esse pacote não vem com uma suíte de teste.

Agora, como o(a) usuário(a) "root": 

ninja install &&

install -v -m755 -d /usr/share/doc/wireshark-4.0.3 &&
install -v -m644   ../README.linux ../doc/README.* ../doc/randpkt.txt \
                    /usr/share/doc/wireshark-4.0.3 &&

pushd /usr/share/doc/wireshark-4.0.3 &&
   for FILENAME in ../../wireshark/*.html; do
      ln -s -v -f $FILENAME .
   done &&
popd
unset FILENAME

Se você baixou quaisquer dos arquivos de documentação a partir da página listada em "Transferências adicionais", [então] instale-os emitindo os seguintes comandos como o(a) usuário(a) "root": 

install -v -m644 <Downloaded_Files> \
                /usr/share/doc/wireshark-4.0.3

Agora, configure a propriedade e as permissões de aplicativos confidenciais para permitir somente usuários(as) autorizados(as). Como o(a) usuário(a) "root ": 

chown -v root:wireshark /usr/bin/{tshark,dumpcap} &&
chmod -v 6550 /usr/bin/{tshark,dumpcap}

Finalmente, adicione quaisquer usuários(as) ao grupo "Wireshark" (como o(a) usuário(a) "root"): 

usermod -a -G wireshark <nome_usuário(a)>

Se você estiver instalando o "Wireshark" pela primeira vez, [então] será necessário sair da tua sessão e entrar novamente. Isso colocará o "Wireshark" em teus grupos, pois, caso contrário, o "Wireshark" não funcionará corretamente.

Configurando o Wireshark

Arquivos de Configuração

/etc/wireshark.conf e ~/.config/wireshark/* (a menos que já exista ~/.wireshark/* no sistema)

Informação de Configuração

Embora os parâmetros padrão de configuração sejam muito sensatos, consulte a seção de configuração do Guia do(a) Usuário(a) do Wireshark para informações de configuração. A maior parte da configuração do "Wireshark" pode ser realizada usando as opções de menu das interfaces gráficas do "wireshark".

[Nota]

Nota

Se você quiser ver os pacotes, [então] certifique-se de não filtrá-los com o "iptables-1.8.9". Se você quiser excluir certas classes de pacotes, [então] é mais eficiente fazê-lo com o "iptables" que com o "Wireshark".

Conteúdo

Aplicativos Instalados: capinfos, captype, dumpcap, editcap, idl2wrs, mergecap, randpkt, rawshark, reordercap, sharkd, text2pcap, tshark e wireshark
Bibliotecas Instaladas: libwireshark.so, libwiretap.so, libwsutil.so e numerosos módulos sob /usr/lib/wireshark/plugins
Diretórios Instalados: /usr/{include,lib,share}/wireshark e /usr/share/doc/wireshark-4.0.3

Descrições Curtas

capinfos

lê um arquivo salvo de captura e retorna alguma das, ou todas as, estatísticas relativas a esse arquivo. Ele é capaz de detectar e ler qualquer captura suportada pelo pacote "Wireshark"

captype

imprime os tipos de arquivos dos arquivos de captura

dumpcap

é uma ferramenta de despejo de tráfego de rede de intercomunicação. Ela te permite capturar dados de pacotes a partir de uma rede de intercomunicação ativa e escrever os pacotes em um arquivo

editcap

edita e (ou) traduz o formato dos arquivos de captura. Ele sabe como ler arquivos de captura "libpcap", incluindo aqueles do "tcpdump", "Wireshark" e outras ferramentas que escrevem capturas nesse formato

idl2wrs

é um aplicativo que pega um arquivo "CORBA IDL" especificado pelo(a) usuário(a) e gera código fonte C para um plugin do "Wireshark". Ele se baseia em dois aplicativos "Python", "wireshark_be.py" e "wireshark_gen.py", que não são instalados por padrão. Eles tem de ser copiados manualmente a partir do diretório "tools" para o diretório "$PYTHONPATH/site-packages/"

mergecap

combina vários arquivos salvos de captura em um arquivo de saída gerada

randpkt

cria arquivos de captura de pacotes aleatórios

rawshark

despeja e analisa dados brutos da "libpcap"

reordercap

reordena os carimbos de tempo dos quadros do arquivo de entrada gerada em um arquivo de saída gerada

sharkd

é um processo de segundo plano que escuta em soquetes "UNIX"

text2pcap

lê um despejo hexadecimal "ASCII" e escreve os dados descritos em um arquivo de captura estilo "libpcap"

tshark

é um analisador de protocolo de rede de intercomunicação no modo TTY. Ele te permite capturar dados de pacotes a partir de uma rede de intercomunicação ativa ou ler pacotes a partir de um arquivo de captura salvo anteriormente

wireshark

é o analisador "GUI" "Qt" de protocolo de rede de intercomunicação. Ele te permite navegar interativamente por dados de pacotes a partir de uma rede de intercomunicação ativa ou a partir de um arquivo de captura salvo anteriormente

libwireshark.so

contém funções usadas pelos aplicativos "Wireshark" para realizar filtragem e captura de pacotes

libwiretap.so

é uma biblioteca sendo desenvolvida como uma substituta futura para a "libpcap", a atual biblioteca padrão Unix para captura de pacotes. Para mais informações, veja-se o arquivo "README" no diretório do fonte "wiretap"