安装

Windows下使用网络截包软件,一般使用都是使用图形化的软件,如Sniffer Pro /Ethereal/EtherPeek

,Linux 下字符界面的TCPDump 操作实现太难记了,而且演示,分析,培训效果都不好，所以尝试在CentOS5.4中安装Linux下的gnome界面的图形化抓包工具WireShark。WireShark官方主页上可以下载到widows和MAC

OS下的安装包，而linux下的rpm或者deb包并没有，只是提供了原始代码。

http://www.wireshark.org/download.html

感谢google，在网上找到这两个链接：

http://redhatsolution.googlecode.com/files/wireshark-1.1.2-1.pre1.i386.rpm

http://redhatsolution.googlecode.com/files/wireshark-gnome-1.1.2-1.pre1.i386.rpm

其中wireshark-gnome-1.1.2-1.pre1.i386.rpm是基于gnome的图形界面,wireshark-

1.1.2-1.pre1.i386.rpm 是核心库。后者要先安装。

笔者CentOS5.4系统中自带了WireShark，#rpm -q

wireshark可以找到这个包，还有一些文档，配置文件也有，但是二进制文件没有，而且也找不到原始的安装包。

自带的版本是1.0.8，所以为了更新现有的新的wireshark版本，首先卸载掉系统中旧的，而且是不完全的，无法运行的老版本。

#rpm -e wireshark-1.0.8.......

然后全新安装新的wireshark，看了网上一些安装的提示之后知道，需要提前安装一些需要的库。

http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz http://www.portaudio.com/archives/pa_stable_v19_20071207.tar.gz

简单的 tar -jxvf /configure /make /make

install期间会遇到一些需要下载安装的包，依序都yes即可。

安装步骤：使用rpm 的--force --nodeps 强行安装,忽略依赖包

1 rpm -ivh wireshark-1.1.2-1.pre1.i386.rpm 2 rpm -i --force

--nodeps wireshark-gnome-1.1.2-1.pre1.i386.rpm 3

安装libpcap-1.0.0.tar.gz ; pa_stable_v19_20071207.tar.gz

这一些动态库一般安装在/usr/local/lib下.执行时可以用如下方法调用

export LD_LIBRARY_PATH=/usr/local/lib;wireshark

但是每次运行前都这样声明环境变量太麻烦了，所以直接将LD_LIBRARY_PATH=/usr/local/lib;写进环境变量配置文件，/etc/bashrc中加入下面这两行：

LD_LIBRARY_PATH=/usr/local/lib

export LD_LIBRARY_PATH

这样即使重启后，也可以直接在终端里使用wireshark直接打开图形化界面。

使用(ZZ)

这是RHEL运行的界面

跟WINDOWS界面比较一下

快速使用手册

点击第一个列表,可以选择一个网卡抓包,LINUX版的可以抓lo,就是本机内部之间包交流的包.这给开发带来不少

方便,WireShark也能抓无线网卡的包了.

抓包时界面,分为三栏,上面是包列表,中间包分析结果,下面包原始数据罗列,最方便功能是原始数能按BYTE拷贝出来.这样在C语言构造一个包,

拿这现成包改改就行

第二个按键,较多的抓包选项.

使用过滤表达式