Beyond Linux® From Scratch (Edição systemd ) - Versão 12.2

Capítulo 16. Utilitários de Trabalho em Rede de Intercomunicação

Wireshark-4.2.6

Introdução ao Wireshark

O pacote Wireshark contém um analisador de protocolo de rede de intercomunicação, também conhecido como um sniffer. Isso é útil para analisar dados capturados fora do fio a partir de uma conexão ativa de rede de intercomunicação ou dados lidos a partir de um arquivo de captura.

O "Wireshark" fornece uma estrutura de interação direta com o(a) usuário(a), gráfica e em modo TTY, para examinar pacotes de rede de intercomunicação capturados a partir de mais que quinhentos (500) protocolos, bem como a capacidade de ler arquivos de captura a partir de muitos outros analisadores populares de rede de intercomunicação.

Esse pacote é conhecido por construir e funcionar corretamente usando uma plataforma LFS 12.2.

Informação do Pacote

Transferências Adicionais

Dependências do "Wireshark"

Exigidas

CMake-3.30.2, c-ares-1.33.0, GLib-2.80.4, libgcrypt-1.11.0, Qt-6.7.2 e Speex-1.2.1

[Nota]

Nota

Qt-6.7.2 não é estritamente exigido, pois pode ser substituído por Qt5. Veja-se Explicações do Comando abaixo.

Recomendadas

libpcap-1.10.4 (exigido para capturar dados)

Opcionais

asciidoctor-2.0.23, Brotli-1.1.0, Doxygen-1.12.0, git-2.46.0, GnuTLS-3.8.7.1, libnl-3.10.0, libxslt-1.1.42, libxml2-2.13.3, Lua-5.2.4, MIT Kerberos V5-1.21.3, nghttp2-1.62.1, qt5-components-5.15.14 com qtmultimedia (exigido se Qt-6.7.2 não estiver instalado), SBC-2.0, BCG729, libilbc, libsmi, libssh, MaxMindDB, Minizip, Snappy e Spandsp

Configuração do Núcleo

O núcleo precisa ter o protocolo "Packet" habilitado para o "Wireshark" capturar pacotes ativos a partir da rede de intercomunicação: 

[*] Networking support --->                                                [NET]
  Networking options --->
    <*/M> Packet socket                                                 [PACKET]

Se construído como um módulo, [então] o nome é "af_packet.ko".

Instalação do Wireshark

"Wireshark" é um aplicativo muito grande e complexo. Estas instruções fornecem medidas adicionais de segurança para garantir que somente usuários(as) confiáveis sejam permitidos(as) a visualizar o tráfego da rede de intercomunicação. Primeiro, configure um grupo do sistema para o "Wireshark". Como o(a) usuário(a) "root": 

groupadd -g 62 wireshark

Continue a instalar o "Wireshark" executando os seguintes comandos: 

mkdir build &&
cd    build &&

cmake -D CMAKE_INSTALL_PREFIX=/usr \
      -D CMAKE_BUILD_TYPE=Release  \
      -D CMAKE_INSTALL_DOCDIR=/usr/share/doc/wireshark-4.2.6 \
      -G Ninja \
      .. &&
ninja

Esse pacote não vem com uma suíte de teste.

Agora, como o(a) usuário(a) "root": 

ninja install &&

install -v -m755 -d /usr/share/doc/wireshark-4.2.6 &&
install -v -m644   ../README.linux ../doc/README.* ../doc/randpkt.txt \
                    /usr/share/doc/wireshark-4.2.6 &&

pushd /usr/share/doc/wireshark-4.2.6 &&
   for FILENAME in ../../wireshark/*.html; do
      ln -s -v -f $FILENAME .
   done &&
popd
unset FILENAME

Se você baixou quaisquer dos arquivos de documentação a partir da página listada em "Transferências adicionais", [então] instale-os emitindo os seguintes comandos como o(a) usuário(a) "root": 

install -v -m644 <Downloaded_Files> \
                /usr/share/doc/wireshark-4.2.6

Agora, configure a propriedade e as permissões de aplicativos confidenciais para permitir somente usuários(as) autorizados(as). Como o(a) usuário(a) "root ": 

chown -v root:wireshark /usr/bin/tshark &&
chmod -v 6550 /usr/bin/tshark

Finalmente, adicione quaisquer usuários(as) ao grupo "Wireshark" (como o(a) usuário(a) "root"): 

usermod -a -G wireshark <nome_usuário(a)>

Se você estiver instalando o "Wireshark" pela primeira vez, [então] será necessário sair da tua sessão e entrar novamente. Isso colocará o "Wireshark" em teus grupos, pois, caso contrário, o "Wireshark" não funcionará corretamente.

Explicações do Comando

-D USE_qt6=OFF: Use essa chave se Qt-6.7.2 não estiver disponível. Você precisará de qt5-components-5.15.14 com qtmultimedia.

Configurando o Wireshark

Arquivos de Configuração

/etc/wireshark.conf e ~/.config/wireshark/* (a menos que já exista ~/.wireshark/* no sistema)

Informação de Configuração

Embora os parâmetros padrão de configuração sejam muito sensatos, consulte a seção de configuração do Guia do(a) Usuário(a) do Wireshark para informações de configuração. A maior parte da configuração do "Wireshark" pode ser realizada usando as opções de menu das interfaces gráficas do "wireshark".

[Nota]

Nota

Se você quiser ver os pacotes, [então] certifique-se de não filtrá-los com o "iptables-1.8.10". Se você quiser excluir certas classes de pacotes, [então] é mais eficiente fazê-lo com o "iptables" que com o "Wireshark".

Conteúdo

Aplicativos Instalados: capinfos, captype, editcap, idl2wrs, mergecap, randpkt, rawshark, reordercap, sharkd, text2pcap, tshark e wireshark
Bibliotecas Instaladas: libwireshark.so, libwiretap.so, libwsutil.so e numerosos módulos sob /usr/lib/wireshark/plugins
Diretórios Instalados: /usr/{lib,share}/wireshark e /usr/share/doc/wireshark-4.2.6

Descrições Curtas

capinfos

lê um arquivo salvo de captura e retorna alguma das, ou todas as, estatísticas relativas a esse arquivo. Ele é capaz de detectar e ler qualquer captura suportada pelo pacote "Wireshark"

captype

imprime os tipos de arquivos dos arquivos de captura

editcap

edita e (ou) traduz o formato dos arquivos de captura. Ele sabe como ler arquivos de captura "libpcap", incluindo aqueles do "tcpdump", "Wireshark" e outras ferramentas que escrevem capturas nesse formato

idl2wrs

é um aplicativo que pega um arquivo CORBA IDL especificado pelo(a) usuário(a) e gera código fonte C para um plugin do Wireshark. Ele se baseia em dois aplicativos Python, wireshark_be.py e wireshark_gen.py, que não são instalados por padrão. Eles tem de ser copiados manualmente a partir do diretório tools para o diretório $PYTHONPATH/site-packages/

mergecap

combina vários arquivos salvos de captura em um arquivo de saída gerada

randpkt

cria arquivos de captura de pacotes aleatórios

rawshark

despeja e analisa dados brutos da "libpcap"

reordercap

reordena os carimbos de tempo dos quadros do arquivo de entrada gerada em um arquivo de saída gerada

sharkd

é um processo de segundo plano que escuta em soquetes "UNIX"

text2pcap

lê um despejo hexadecimal "ASCII" e escreve os dados descritos em um arquivo de captura estilo "libpcap"

tshark

é um analisador de protocolo de rede de intercomunicação no modo TTY. Ele te permite capturar dados de pacotes a partir de uma rede de intercomunicação ativa ou ler pacotes a partir de um arquivo de captura salvo anteriormente

wireshark

é o analisador "GUI" "Qt" de protocolo de rede de intercomunicação. Ele te permite navegar interativamente por dados de pacotes a partir de uma rede de intercomunicação ativa ou a partir de um arquivo de captura salvo anteriormente

libwireshark.so

contém funções usadas pelos aplicativos "Wireshark" para realizar filtragem e captura de pacotes

libwiretap.so

é uma biblioteca sendo desenvolvida como uma substituta futura para a "libpcap", a atual biblioteca padrão Unix para captura de pacotes. Para mais informações, veja-se o arquivo "README" no diretório do fonte "wiretap"