Wireshark ist ein plattformübergreifendes Tool zum Erfassen und Analysieren von Internet- oder LAN-Verkehr in einem lokalen Netzwerk. Es ist in allen Linux-Distributionen enthalten und kann aus dem Repository installiert werden. Ein Nachteil ist, dass die Netzwerkkarte standardmäßig nur mit erhöhten Rechten (sudo) sichtbar ist. Ein weiterer Nachteil ist, dass die temporäre Aufzeichnungsdatei im Ordner /tmp schnell voll wird.

1. Wireshark unter einem Benutzerkonto ausführen (ohne sudo)

1) Installation der Wireshark-Anwendung

Normalerweise:

sudo apt-get install wireshark

oder aus dem Repository:

sudo apt-get update
sudo add-apt-repository ppa:dreibh/ppa
sudo apt-get update
sudo apt-get install wireshark

2) Ermöglichen der Ausführung von jedem Benutzer aus – Erstellen einer Benutzergruppe „wireshark"

sudo dpkg-reconfigure wireshark-commauf

Antworte mit JA.

3) Hinzufügen der Anmeldung des aktuellen Benutzers zur Gruppe „wireshark"

sudo adduser $USER wireshark

oder

sudo usermod -a -G wireshark $USER

4) Aktivieren Sie die Paketaufzeichnung unter jedem Benutzer

sudo chmod +x /usr/bin/dumpcap

5) Danach können Sie vom aktuellen Benutzer aus starten

wireshark

2. Einrichten eines Ringpuffers in wireshark

1) Erstellen Sie einen Ordner zum Erfassen und darin eine leere Datei mit einem Namen, der als Vorlage für Pufferdateien dient:

cd ~
mkdir wireshark-capture
cd wireshark-capture
touch record

2) In wireshark gehen Sie in das Menü „Erfassen“ – „Ausgabe“ und nehmen Sie die Einstellungen vor:

• "In permanente Datei erfassen:" -"Öffnen" – wählen Sie die im Element erstellte Datei aus – zum Beispiel /home/username/wireshark-capture/record. Möchten Sie es ersetzen? Ja.
• Kontrollkästchen oben Automatisch eine neue Datei erstellen
• nach 80000 Paketen (entspricht einer Capture-Datei mit einer Größe von ca. 74-77 MB)
• nach 50 Megabyte (Dateien gleicher Größe 47,7 MiB)
• unten Verwenden Sie einen Ringpuffer mit 3 Dateien (beliebige Anzahl von Dateien von 3 bis 5)
• OK

Schalten Sie die Aufnahme mit der roten Schaltfläche „Stopp“ oder den Tasten Strg+E aus.

Um mit einem Ringpuffer neu zu starten, wiederholen Sie diese Schritte
„Erfassen“ – „Ausgabe“ usw. Die Frage nach dem Speichern früherer Daten ist negativ zu beantworten.

Quellen:

• Creating a rolling or ring buffer packet capture in Wireshark forWindows
• Einrichten von Wireshark for non root user

Verwandte Veröffentlichungen

Arbeiten mit Flatpak oder APT über einen Proxyserver

Linux Mint-Boot-Problem mit integrierter Intel-Grafikkarte beheben

TimeShift stoppen und deaktivieren, um Speicherplatz zu sparen

Fehlerbehebung bei L2TP/IPsec-Verbindungsfehlern „Could not add ipsec connection“ und „no acceptable traffic selectors found“

Festplattenpartitionierung zur Installation von Linux Mint auf einem alten PC mit BIOS im GPT-Modus