A Wireshark nyílt forráskódú alkalmazás, melyet elsősorban hálózati hibaelhárításra, teljes körű forgalomelemzésre, továbbá szoftver- és kommunikációs protokollok fejlesztésére használnak. UNIX és Windows rendszerek alatt egyaránt használható.

A teszteléshez használt rendszer: Debian 10 Buster Az alkalmazás a rendszer tükrökről elérhető.
A Linux Mint és az LMDE kiadások alapértelmezett rendszer tükreiről is elérhető az alkalmazás.

Először olvasd el a bejegyzést, gondold át a tennivalókat. Akkor kezdj tevékenykedni, ha már mindent megértettél!

Telepítés

Az alkalmazás a GTK vagy a Qt kezelőfelület-készlettel telepíthető.
Telepítsd az egyiket vagy a másikat a választásod szerint.

A Wireshark telepítése a Qt verziót hozza magával:

sudo apt-get install wireshark

A Qt verzió telepítése:

sudo apt-get install wireshark-qt

A GTK verzió telepítése:

sudo apt-get install wireshark-gtk

Beállítás

A telepítés alatt nyílik mód az alkalmazás alapértelmezett viselkedésének beállítására.
Mindez a CLI felületen látható, ahol egy kérdést kell megválaszolni a továbblépéshez:

... a válasz kiválasztásához használd a TAB billentyűt, majd a kiválasztás érvényesítéséhez nyomj Entert.

A választási lehetőségek (Igen/Nem) angol elnevezéseit a rendszert angol kezelőfelülettel használók kedvéért tüntetem fel.

Választási lehetőségek

Az Igen/Yes beállítás biztonsági kockázatot hordoz. A súgó szövegében is látható:

Ennek a beállításnak az engedélyezése biztonsági kockázatot hordoz. Ha bizonytalan vagy, inkább ne engedélyezd.

A rendszergazdán kívül más felhasználók is képesek legyenek lehallgatni a hálózati forgalmat? (Igen vagy Nem)

Válaszd ki a Nem/No beállítást.

A Nem/No választ kiválasztása után (TAB és Enter) nincs több teendő, az alkalmazás telepítése sikeres.

Az érvényes beállítás bármikor megváltoztatható a sudo dpkg-reconfigure wireshark-common parancssor terminálban történő futtatásával. Azonban ez egy lehetőség, a változtatásnak nincs értelme. A telepítés alkalmával válaszd ki a neked megfelelő beállítást, és maradj annál!

A Wireshark alkalmazásban az összes hálózati eszköz megjelent a kezelőfelületen. Az egyik eszköz kiválasztása után, a 853-as port vizsgálatakor a port 853 kifejezés háttérszíne piros maradt, nem váltott át a zöld színre, amely a vizsgálat indításának és a sikeres vizsgálatnak is feltétele.

Ha az általad használt rendszeren az alkalmazás megfelelően működik a Nem beállítással, akkor nincs tennivalód.

Használat felhasználóként

A súgókat érdemes alaposan elolvasni és értelmezni, ezért készültek, segítségképpen. A CLI beállító felületen látható súgó bőséges információval szolgál. Az itt javasolt megoldás a wireshark nevű csoport (ha még nem létezik), és az alkalmazást használni kívánó felhasználó csoporttagságának létrehozása. A wireshark csoport tagjai jogosultak lesznek a Wireshark alkalmazás kezelésére. Ez a megoldás meglehetősen nagy biztonságot nyújt.

További lehetőségek: https://wiki.wireshark.org/CaptureSetup/CapturePrivileges
A felkínált lehetőségek egyikét választottam ki, és hozzá is tettem.

Ha felkészültél, fogjunk neki...

Telepítsd a pcaputils alkalmazást:

sudo apt-get install pcaputils

... nem Wireshark függőség, viszont érdemes telepíteni.

Hozd létre a wireshark csoportot (groupadd):

sudo groupadd -r wireshark

... fontos, hogy rendszer csoportként hozd létre, ezt az r paraméter használata biztosítja (régebben az s paraméter volt használatban).

Létező wireshark csoport törlése (delgroup):

sudo delgroup wireshark

... nincs szúkség a parancssor használatára. Törölhető a létező csoport, és létrehozható az új, az r paraméterrel:
-- ha a sudo groupadd -r wireshark parancssor kimenetében az látható, a csoport már létezik.

Add hozzá a felhasználód a wireshark csoporthoz (gpasswd):

sudo gpasswd -a $USER wireshark

Indíts újra a rendszert a változtatás évényesítéséhez. Terminálban is lehet:

sudo systemctl reboot

Tedd lehetővé a wireshark csoportnak a dumpcap alkalmazás kezelését (chgrp):

sudo chgrp wireshark /usr/bin/dumpcap

Vedd el a többi csoporttól a dumpcap alkalmazás használatához való jogokat az olvasás és a futtatás tekintetében (chmod):

sudo chmod o-rx /usr/bin/dumpcap

Adj a dumpcap alkalmazásnak új képességeket a hálózati eszközök kezeléséhez (setcap):

sudo setcap cap_net_raw,cap_net_admin+eip /usr/bin/dumpcap

... az ellenőrzés parancssorának kimenete azt mutatja, sikeres volt a művelet (getcap):

sudo getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

Eredményes vizsgálatot!

Enjoy :-)

Forrás: https://wiki.wireshark.org/CaptureSetup/CapturePrivileges

Az alkalmazás rövid bemutatása: https://linuxmint.hu/blog/2020/04/wireshark-a-halozati-forgalom-elemzo-eszkoze

-----

Fogalmak, egyebek

Dumpcap

A dumpcap alkalmazás indítása két ajánlást fogalmaz meg:

• az Igen/Yes beállítás kiválasztását a CLI ablakban, vagy
• a felhasználói csoporttagság létrehozásának egyik módszerét.

/usr/bin/dumpcap
Capturing on 'enp0s25'
dumpcap: The capture session could not be initiated on interface 'enp0s25' (You don't have permission to capture on that device).
Please check to make sure you have sufficient permissions.

On Debian and Debian derivatives such as Ubuntu, if you have installed Wireshark from a package, try running

    sudo dpkg-reconfigure wireshark-common

selecting "<Yes>" in response to the question

    Should non-superusers be able to capture packets?

adding yourself to the "wireshark" group by running

    sudo usermod -a -G wireshark {your username}

and then logging out and logging back in again.

Ugyanez olvasható README-ben: https://code.wireshark.org/review/gitweb?p=wireshark.git;a=blob_plain;f=debian/README.Debian

Az én rendszeremen nem vált be az, ha csak betettem a felhasználót a csoportba (az ajánlás szerint), és mást nem csináltam.

• Stubby: 853-as port

A kapu említése a Stubby alkalmazással van kapcsolatban: https://www.linuxbabe.com/linux-mint/dns-over-tls-stubby
A weboldalon említett systemd-resolved szolgáltatást a rendszerem nem használja.