Wireshark資料抓包教程之安裝Wireshark

安裝Wireshark

透過上一節的學習可以根據自己的作業系統來下載安裝Wireshark了。本書中已開發版1.99.7（中文版）為主，下面介紹分別在Windows和Linux上安裝Wireshark。

在Windows系統中安裝Wireshark

【例項1-1】在Windows中安裝Wireshark。具體操作步驟如下所示：

（1）從Wireshark官網下載開發版的Windows安裝包，其名稱為Wireshark-win64-1.99.7.exe。

（2）雙擊下載的軟體包，將顯示如圖1.8所示的介面。

（3）該介面顯示了Wireshark的基本資訊。此時單擊Next按鈕，將彈出許可協議對話方塊，如圖1.9所示。

圖1.8 歡迎介面圖1.9 許可協議對話方塊

（4）該介面顯示了使用Wireshark的許可證條款資訊。此時單擊I Agree按鈕，將彈出選擇元件對話方塊，如圖1.10所示。

（5）該介面選擇希望安裝的Wireshark元件，這裡使用預設的設定。然後單擊Next按鈕，將彈出Select Additional Tasks對話方塊，如圖1.11所示。

圖1.10 選擇元件對話方塊圖1.11 Select Additional Tasks對話方塊

（6）該介面用來設定建立快捷方式的位置和關聯副檔名。設定完後，單擊Next按鈕，將顯示安裝位置對話方塊，如圖1.12所示。

（7）在該介面選擇Wireshark的安裝位置。然後單擊Next按鈕，將顯示安裝WinPcap對話方塊，如圖1.13所示。

圖1.12 安裝位置對話方塊圖1.13 安裝WinPcap對話方塊

（8）該介面提示是否要安裝WinPcap。如果要使用Wireshark捕獲資料，必須要安裝WinPcap。所以這裡必須將Install WinPcap 4.1.3核取方塊勾上。然後單擊Install按鈕，Wireshark將開始安裝。等Wireshark安裝過程進行了大約一半的時候，將彈出WinPcap歡迎介面，如圖1.14所示。

（9）該介面顯示了WinPcap基本資訊。此時單擊Next按鈕，將顯示WinPcap許可證條款對話方塊，如圖1.15所示。

圖1.14 WinPcap歡迎介面圖1.15 WinPcap許可證條款對話方塊

（10）該介面顯示了WinPcap許可證條款資訊。此時單擊I Agree按鈕，將顯示安裝選項，如圖1.16所示。

（11）在該介面顯示了安裝WinPcap選項，然後單擊Install按鈕，將顯示如圖1.17所示的介面。

圖1.16 安裝選項圖1.17 安裝WinPcap完成

（12）從該介面可以看到WinPcap已安裝完成。此時單擊Finish按鈕，將繼續安裝Wireshark。安裝完成後，將顯示如圖1.18所示的介面。

（13）從該介面可以看到Wireshark已經安裝完成。此時單擊Next按鈕，將顯示如圖1.19所示的介面。

圖1.18 Wireshark安裝完成圖1.19 完成介面

（14）從該介面可以看到Wireshark設定嚮導完成。此時如果想直接啟動Wireshark，則選擇Run Wireshark 1.99.7(64-bit)核取方塊。然後單擊Finish按鈕，Wireshark即可啟動。

注意：在進行第7個步驟選擇Wireshark的安裝位置時，使用預設的安裝位置。因為在安裝WinPcap時，不能選擇安裝位置，它預設安裝在C:\Program Files(x86)下。

（15）安裝好以後，在Windows視窗程式中會出現Wireshark的兩個圖示，如圖1.20所示。

（16）啟動Wireshark Legacy程式是英文版介面，如圖1.21所示。啟動Wireshark是中文版介面，如圖1.22所示。

圖1.20 Wireshark圖示圖1.21 Wireshark英文版介面

圖1.22 Wireshark中文版介面

在Linux系統中安裝Wireshark

【例項1-2】下面演示在Kali Linux系統中安裝Wireshark。具體操作步驟如下所示：

（1）從Wireshark官網下載Wireshark測試版的原始碼包，其軟體名為wireshark-1.99.7.tar.bz2。這裡把下載的包放在/root/。執行命令檢視如下所示：

root@1:~# ls
Desktop New Graph (1).mtgx wireshark-1.99.7.tar.bz2

從輸出資訊中可以看到原始碼包wireshark-1.99.7.tar.bz2。

（2）解壓Wireshark軟體包。執行命令如下所示：

root@1:~# tar -jxvf wireshark-1.99.7.tar.bz2 -C /

執行上述命令後，wireshark-1.99.7.tar.bz2被解壓到/目錄下。並生成一個名為wireshark-1.99.7的資料夾。

（3）使用cd命令改變目錄，檢視目錄下的資料夾。

root@1:~# cd /
root@1:/# ls
0 initrd.img opt srv vmware-tools-distrib
bin lib proc sys wireshark-1.99.7

從輸出資訊中可以看到解壓原始碼包後生成的名為wireshark-1.99.7的資料夾（加粗部分）。

（4）進入該資料夾檢視，執行命令如下所示：

root@1:/# cd wireshark-1.99.7/
root@1:/wireshark-1.99.7# ls
abi-descriptor.template help
acinclude.m4 idl
···
configure README.windows
configure.ac register.h
ConfigureChecksNaNake reordercap.c

該資料夾內容較多，用···替代，只列出了少許部分。其中有個名為configure的可執行檔案（加粗部分）。

（5）配置Wireshark軟體包。在配置Wireshark軟體包時由於Wireshark依賴GTK+包，執行命令肯能會出現如下所示的錯誤資訊：

root@1:/wireshark-1.99.7# ./configure
checking build system type... x86_64-unknown-linux-gnu
checking host system type... x86_64-unknown-linux-gnu
checking target system type... x86_64-unknown-linux-gnu
checking for a BSD-compatible install... /usr/bin/install -c
···
checking for pkg-config... (cached) /usr/bin/pkg-config
checking for GTK+ - version >= 3.0.0... no
*** Could not run GTK+ test program, checking why...
*** The test program failed to compile or link. See the file config.log for the
*** exact error that occured. This usually means GTK+ is incorrectly installed.
configure: error: GTK+3 is not available

輸出的資訊較多，由於篇幅原因，這裡用···替代，只列舉出了部分資訊。在資訊的尾部出現了錯誤資訊（加粗部分），提示GTK+3是不可用的。因為在Wireshark 1.12.0以上版本中，預設配置使用的是GTK+3.0版本。而現在的GTK+不是3.0版本。

（6）檢視GKT+版本，執行命令如下所示：

root@1:~# pkg-config gtk+-2.0 --modversion
2.24.10

輸出資訊可以看到GKT+版本為2.24.10。

（7）再次配置Wireshark軟體包，執行命令如下所示：

root@1:/wireshark-1.99.7# ./configure --with-gtk2
checking build system type... x86_64-unknown-linux-gnu
checking host system type... x86_64-unknown-linux-gnu
checking target system type... x86_64-unknown-linux-gnu
checking for a BSD-compatible install... /usr/bin/install -c
···
checking for pcap.h... no
configure: error: Header file pcap.h not found; if you installed libpcap
from source, did you also do "make install-incl", and if you installed a
binary package of libpcap, is there also a developer's package of libpcap,
and did you also install that package?

輸出的資訊較多，由於篇幅原因，這裡用···替代，只列舉出了部分資訊。尾部出現錯誤資訊（加粗部分）。缺少pcap.h標頭檔案。這是由於缺少libpcap-dev包。首先檢視libpacp安裝情況。

（8）在圖形介面的選單欄中依次選擇“應用程式”|“系統工具”|“新增/刪除軟體”命令，彈出如圖1.23所示的對話方塊。

（9）單擊“確定繼續”按鈕，進入“新增/刪除軟體”對話方塊，如圖1.24所示。

圖1.23 對話方塊圖圖1.24 新增/刪除軟體

（10）在查詢欄中輸入libpcap，單擊“查詢”按鈕，如圖1.25所示。

圖1.25 查詢libpcap

圖中前面有，代表該軟體已安裝，反之沒安裝。我們可以從中找到我們需要的libpcap軟體包。這裡安裝的是libpcap軟體包為libpcap0.8-1.3.0-1(64位)。可以看到其版本為1.3.0版本。所以找到對應版本的libpcap0.8-dev-1.3.0-1(64位)軟體包，安裝上就可以解決步驟（7）的問題了。

（11）安裝完libpcap0.8-dev-1.3.0-1(64位)軟體包，繼續執行步驟（7）的命令即可。

（12）編譯Wireshark軟體包。執行命令如下所示：

root@1:/wireshark-1.99.7# make

（13）安裝Wireshark軟體包。執行命令如下所示：

root@1:/wireshark-1.99.7# make install

以上過程成功執行完後，表示Wireshark軟體已成功安裝。由於Wireshark軟體預設安裝在/usr/local/bin/下。

（14）啟動Wireshark軟體，執行命令如下所示：

root@1:~# cd /usr/local/bin/ #切換目錄
root@1:/usr/local/bin# ls #檢視內容
capinfos dftest editcap randpkt reordercap tshark xsser
captype dumpcap mergecap rawshark text2pcap wireshark-gtk
root@1:/usr/local/bin# wireshark-gtk #啟動 Wireshark
wireshark-gtk: error while loading shared libraries: libwiretap.so.0: cannot open shared object file: No such file or directory

如果啟動Wireshark軟體時，從輸出資訊中看到發生了錯誤（加粗部分）。Wireshark載入共享庫時發生錯誤。此時需要更新下動態庫，執行命令如下所示：

root@1:/usr/local/bin# ldconfig

執行以上命令沒有任何輸出資訊。

（15）再次啟動Wireshark軟體，執行命令如下所示：

root@1:/usr/local/bin# wireshark-gtk

執行以上命令後，將顯示如圖1.26所示的介面。

圖1.26 警告資訊圖1.27 Wireshark主介面

該介面提示當前系統使用root使用者啟動了Wireshark工具，可能是危險的。可以直接單擊“確定”按鈕啟動Wireshark，如圖1.27所示。如果不想讓該視窗再次彈出，將Don't show this message again前面的核取方塊勾上。

該介面顯示了Wireshark的相關資訊。該介面顯示了Wireshark的四部分，由於截圖，所以將該介面縮小。每部分內容中的命令，都可以使用滑鼠單擊開啟進行檢視。在該介面選擇將要捕獲資料的介面，單擊Interface List命令將顯示或者在Start命令下的方框中選擇介面，然後單擊Start命令開始捕獲資料。

本文選自：Wireshark資料抓包基礎教程大學霸內部資料，轉載請註明出處，尊重技術尊重IT人！

Wireshark資料抓包教程之安裝Wireshark