Wireshark是当今最佳开源网络GUI数据包分析器之一。
它用于捕获网络数据包并显示分组数据的细节。
Wireshark和TCPDump使用libpcap获取实时网络数据。
使用TCPDUMP命令和使用Wireshark查看捕获数据包通常更容易。
这对于网络或者网络安全问题和调试协议实现是有用的。

在本教程中，我们将在Ubuntu 16.04，CentOS 7和Arch Linux上安装Wireshark。

在Ubuntu 16.04上安装

在我们开始安装之前，让我们满足依赖项：

$sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d

一旦安装了所有依赖项，我们将在终端中运行以下内容。

$sudo add-apt-repository ppa:wireshark-dev/stable
$sudo apt-get update
$sudo apt-get install wireshark

在安装期间，如果我们询问非超级用户是否能够捕获数据包。
按键盘上的左箭头键选择<是>并按Enter键。

我们可以从dash启动它或者键入命令：

$wireshark

在CentOS 7上安装7

我们将使用yum在CentOS 7上安装Wireshark。

在终端中，键入以下命令：

$yum install gcc gcc-c++ bison flex libpcap-devel qt-devel gtk3-devel rpm-build libtool c-ares-devel qt5-qtbase-devel qt5-qtmultimedia-devel qt5-linguist desktop-file-utils
$sudo yum install wireshark wireshark-qt wireshark-gnome

从启动器启动它或者在命令行中键入以下命令：

$wireshark

安装在Arch Linux上

在终端中，键入以下命令：

$sudo pacman -S wireshark-qt

或者如果我们更喜欢GTK +接口，请使用此命令：

$sudo pacman -S wireshark-gtk

从来源安装

从源安装将要求我们编译源代码。
满足要求后，在终端中运行以下命令以安装源代码。

$wget https://1.as.dl.wireshark.org/src/wireshark-2.4.5.tar.xz
$tar xvf wireshark-2.4.5.tar.xz
$cd wireshark-2.4.5/
$./autogen.sh
$./configure –enable-setcap-install
$sudo make
$sudo make install
$sudo ldconfig

Tshark.

Tshark是一个命令行工具，与Wireshark一起捕获实时流量以及读取和解析捕获文件。
没有任何选项集，Tshark将像TCPDump一样工作。

它将使用PCAP库从第一个可用网络接口捕获流量，并为每个接收的数据包显示STDOUT上的摘要行。

安装Wireshark时，Tshark自动在CentOS 7上。
在Ubuntu上，我们可以使用命令安装它：

$sudo apt install tshark

使用tshark.

如果要在eth0上捕获从/转到udp端口1812的数据包，则可以使用tshark命令如下：

$tshark -f "tcp port 80" -i eth0 -w capture.cap
Capturing on 'eth0'

-f标志用于指定网络捕获过滤器(稍后更多)。
不会捕获不验证-fs-f标志后面的条件的数据包。
在该示例中，仅捕获来自来自或者转到UDP端口1812的IP分组。

"-I"标志用于指定我们希望看到RADIUS数据包的接口。
更改"eth0"到界面名称是什么。

"-W"标志用于指定将保存捕获流量以供以后处理的文件。

如果在运行Wireshark作为本地用户时获得"权限拒绝"错误，则可以使用root权限启动它或者使用以下命令将用户帐户添加到Wireshark组：

$sudo usermod -a -G wireshark username