Wireshark是一个免费和开源的网络分析工具和数据包分析器。
使用Wireshark，我们可以实时捕获网络流量并使用它进行网络分析，故障排除，教育，开发等。
在本教程中，我们将在Ubuntu 20.04 | 18.04 | 16.04桌面上安装Wireshark。

Wireshark的功能

Wireshark附带了丰富的功能集，如：深度检查数百个协议，更多的是所有的及时捕获和脱机分析标准三个窗格数据包BrowsEmulti-Platform：在Windows，Linux，MacOS，Solaris，FreeBSD，NetBSD和许多其他人提供的网络数据可以通过GUI浏览，或者通过Ty-Mode Tshark Utility浏览Industrich VoIP分析中最强大的显示过滤器/写入许多不同的捕获文件格式：TCPDump(Libpcap)，PCAP NG，CataPult DCT2000，Cisco安全ID IPLOG，Microsoft网络监视器，网络通用Sniffer®(压缩和解压缩)，Sniffer®Pro和NetxRay®，网络仪器观察者，Netscreen Snoop，Novell Lanalyzer，Radcom WAN/LAN Analyzer，Shomiti/Finisar测量仪，Tektronix K12xx，Visual Networks Visual Modtime，WildPackets Etherpeek/TokenPeek/Airopek，以及使用GZIP压缩压缩的许多其他文件可以从以太网，IEEE 802.11，PPP/HDLC读取， ATM，蓝牙，USB，令牌环，帧中继，FDDI等(取决于平台)解密支持许多协议，包括IPsec，ISAKMP，Kerberos，SNMPv3，SSL/TLS，WEP和WPA/WPA2Coloring规则应用于快速，直观的分析小区的数据包列表可以将XML，PostScript®，CSV或者纯文本导出

在Ubuntu 20.04 | 18.04 | 16.04上安装Wireshark

我们可以选择安装稳定的Wireshark或者开发版本。
从开发分支机构安装将为我们提供最新版本。

安装稳定的Wireshark版本

如果我们对稳定性更感兴趣而不是切割边缘功能，那么我们可以在Ubuntu 20.04/18.04/16.04上安装Wireshark的稳定版本。

添加PPA存储库并安装Wireshark。

sudo add-apt-repository ppa:wireshark-dev/stable 
sudo apt update
sudo apt -y install wireshark

安装Wireshark开发版

要获取开发版本，请添加

sudo add-apt-repository ppa:dreibh/ppa

从存储库安装Wireshark：

sudo apt update
sudo apt -y install wireshark

当询问是否允许非超级用户捕获数据包时，请选择"选项"并完成安装。

检查安装Wireshark版本：

$wireshark --version
 Wireshark 2.9.0 (Git Rev Unknown from unknown)
 Copyright 1998-2016 Gerald Combs Hyman@theitroad and contributors.
 License GPLv2+: GNU GPL version 2 or later http://www.gnu.org/licenses/old-licenses/gpl-2.0.html
 This is free software; see the source for copying conditions. There is NO
 warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
 Compiled (64-bit) with Qt 5.9.5, with libpcap, with POSIX capabilities (Linux),
 with libnl 3, with GLib 2.56.2, with zlib 1.2.11, with SMI 0.4.8, with c-ares
 1.14.0, with Lua 5.2.4, with GnuTLS 3.5.18, with Gcrypt 1.8.1, with MIT
 Kerberos, with MaxMind DB resolver, without nghttp2, with LZ4, with Snappy, with
 libxml2 2.9.4, with QtMultimedia, with SBC, with SpanDSP, without bcg729.
 Running on Linux 4.15.0-20-generic, with Intel(R) Core(TM) i5-8250U CPU @wireshark --version
 1.60GHz (with SSE4.2), with 985 MB of physical memory, with locale
 LC_CTYPE=en_US.UTF-8, LC_NUMERIC=om_KE.UTF-8, LC_TIME=om_KE.UTF-8,
 LC_COLLATE=en_US.UTF-8, LC_MONETARY=om_KE.UTF-8, LC_MESSAGES=en_US.UTF-8,
 LC_PAPER=om_KE.UTF-8, LC_NAME=om_KE.UTF-8, LC_ADDRESS=om_KE.UTF-8,
 LC_TELEPHONE=om_KE.UTF-8, LC_MEASUREMENT=om_KE.UTF-8,
 LC_IDENTIFICATION=om_KE.UTF-8, with libpcap version 1.8.1, with GnuTLS 3.5.18,
 with Gcrypt 1.8.1, with zlib 1.2.11, binary plugins supported (0 loaded).
 Built using gcc 7.3.0.

配置并启动Wireshark

为了能够将数据包捕获为普通用户，将用户添加到 wireshark团体。

sudo usermod -a -G wireshark $USER

也改变 dumpcap二进制文件权限。

sudo chgrp wireshark /usr/bin/dumpcap
sudo chmod 750 /usr/bin/dumpcap
sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap

核实：

$sudo getcap /usr/bin/dumpcap
 /usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

启动Wireshark.

启动Wireshark应用程序可以从CLI或者应用程序启动器完成。

从GUI开始Wireshark，搜索 wireshark并点击Enter按钮。

通过执行，可以从命令行完成相同的方法：

$wireshark

要测试数据包捕获，请选择要使用的界面，然后单击"开始捕获数据包"按钮