本文在树莓派4b上测试wireshark网络抓包。安装图形界面wireshark,sudo apt-get install wireshark 。安装完成后后,在图形界面没有显示接口,比如笔者的waln0就没有显示,在命令行输入dumpcap -h 查看具体的命令格式,dump -i wlan0实时捕捉时显示没有权限,这个需要sudo chmod +x /usr/bin/dumpcap 添加权限即可。当然,图形界面和windows一样的,抓包以及查看数据包没啥好说的,重点说说wireshark命令行工具tshark。因为wireshark软件不能在命令行从文件分析数据包,只能抓包。生成的记录文件在shell命令行more命令打开后乱码状态。
笔者在删除wireshark软件时遇到一个问题,卸载并清除配置apt-get remove --purge wireshark后显示正在删除,可是发现wireshark软件依然存在,也可以正常拉起进程,后来发现是wireshark依赖的很多软件包没有删除,apt-get autoremove wireshark:卸载软件及其依赖的安装,解决问题。
查找tshark的源是有的,console version。sudo apt-get install tshark。安装后一样的,需要配置权限。
tshark -h可查看命令帮助信息。 那就来测试一下,tshark -i wlan0直接在终端上显示捕捉到的网络包列表
。 tshark -i wlan0 -w capture.pcap 用网卡wlan0捕捉数据包写入capture.pcap文件。
tshark -i wlan0 -r capture.pcap,读取capture.pcap文件内容。