Глава 2. Установка Wireshark

Материал из wireshark.wiki

2.1. Введение

Если используется операционная система Windows или macOS, то необходимо загрузить программу с со страницы «Скачать Wireshark» и установить ее стандартным способом. Если используется другая операционная система, например, Linux или FreeBSD, то возможно, потребуется установить программу из исходного кода. Некоторые дистрибутивы Linux имеют встроенный пакет Wireshark, но чаще всего его версия является устаревшей. Поэтому важно знать, где найти последнюю версию Wireshark и как ее установить.

В этой главе содержится информация о том, как получить исходные или бинарные пакеты и как при необходимости собрать Wireshark из исходного кода.

Основные этапы установки Wireshark выглядят следующим образом:

  1. Загрузка нужного пакета – исходного кода или бинарной сборки.
  2. Компиляция в исполняемый файл (в том случае если используется исходный код). На этом этапе может потребоваться установка и/или сборка других необходимых пакетов.
  3. Установка полученного исполняемого файла.


Онлайн-курс по Wireshark

На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.


2.2. Получение исходного кода и бинарных дистрибутивов

Исходный код и дистрибутивы Wireshark для Windows и macOS можно получить на странице «Скачать Wireshark». На этой странице можно выбрать пакет, который больше всего подходит для целевой операционной системы. Дистрибутивы подписаны цифровой подписью Wireshark Foundation. В названиях установочных файлов указаны версия и платформа. Например, при использовании файла под названием Wireshark-4.2.2-x64.exe будет установлена Wireshark версии 4.2.2 для 64-разрядных версий Windows.

Выбор между исходным кодом и исполняемым файлом зависит от опыта и предпочтений администратора. Бинарные пакеты обычно легче установить, но исходные коды предоставляют больше возможностей для тонкой настройки.


2.3. Установка Wireshark на Windows

Установщик Wireshark включает в себя Npcap, который необходим для захвата пакетов данных. Дистрибутивы для Windows обновляются автоматически. Подробнее об этом можно прочитать в разделе 2.8 "Обновление Wireshark".

Установка Wireshark на Windows осуществляется максимально просто. Надо загрузить дистрибутив Wireshark и запустить его установку. В процессе установки нужно будет указать место для установки программы. Кроме того, можно будет выбрать дополнительные компоненты и изменить настройки. Однако для большинства пользователей рекомендуется оставить настройки по умолчанию.

2.3.1. Этап установки "Choose Components" (выбор компонентов)

На этапе "Choose Components" можно выбрать следующие компоненты (либо отказаться от их выбора):

  • Wireshark – классический вариант утилиты с графическим интерфейсом.
  • TShark – вариант утилиты с интерфейсом командной строки.
  • Plugins & Extensions (плагины и расширения) – возможные дополнительные плагины и расширения для Wireshark и TShark:
    • Codec plugins – плагины кодеков.
    • Configuration Profiles – профили настроек.
    • Dissector Plugins – плагины диссекторов протоколов.
    • File Type plugin (плагин типов файлов) – расширение библиотеки wiretap за счет поддержки дополнительных типов файлов (например, usbdump).
    • MATE - MEta Analysis and Tracing Engige – настраиваемые пользователем расширения движка фильтрации на экране. Подробнее см. главу 12 "MATE".
    • SNMP MIBs – поддержка SNMP MIBs для более подробного анализа протокола SNMP.
    • TRANSUM - network and application performance analysis – плагин для расчета статистики времени отклика элемента (RTE).
    • Tree Statistics Plugin (плагин дерева статистики) – плагин для расширенной статистики. Подробнее см. stats_tree в WSDG; длины пакетов в WSUG).
  • Tools (инструменты) – дополнительные инструменты командной строки для работы с файлами захвата и диагностики проблем:
    • Capinfos – отображение информации о файлах захвата.
    • Captype – отображение формата файлов захвата.
    • DFTest – отображение фильтра байт-кода для отладки процедур фильтрации.
    • Editcap – копирование пакетов в новый файл (при необходимости Editcap обрезает их, пропускает или сохраняет в другом формате.
    • Mergecap – объединение нескольких файлов захвата в один выходной файл.
    • MMDBResolve – инструмент разрешения базы данных MaxMind для отображения информации о геолокации по IP-адресу.
    • Randpkt – создание файла трассировки pcap, наполненного случайными пакетами.
    • Rawshark – выгрузка и анализ исходных данных pcap.
    • Reordercap – копирование пакетов в новый файл с выполнением их сортировки по времени.
    • Text2Pcap – создание файла захвата из шестнадцатеричного дампа пакетов в формате ASCII.
    • Androiddump – возможность захвата пакетов с устройств на базе Android.
    • Etwdump – возможность чтения трассировки событий для Windows (ETW) и логов трассировки событий (ETL).
    • Randpktdump – генератор случайных пакетов (см. также randpkt).
    • Sshdump, Ciscodump и Wifidump – удаленный захват пакетов через SSH (tcpdump, Cisco EPC, wifi).
    • UDPdump – захват UDP-пакетов, передаваемых сетевыми устройствами.
  • Documentation (документация) – локальная установка руководства пользователя и ЧаВо. Кнопки "Справка" в большинстве диалоговых окон будут требовать интернет-соединения для отображения страниц справки, если "Руководство пользователя" не установлено локально.

2.3.2. Этап установки "Additional Tasks" (дополнительные задачи)

На этапе "Additional Tasks" можно выбрать следующие действия (или отказаться от их выбора):

  • Wireshark Start Menu Item – добавить ярлык в меню "Пуск".
  • Wireshark Desktop Icon – добавить иконку Wireshark на рабочий стол.
  • Wireshark Quick Launch Icon – добавить иконку Wireshark на панель быстрого запуска.
  • Associate trace file extensions with Wireshark – выполнить сопоставление указанных далее стандартных файлов сетевой трассировки с программой Wireshark.

2.3.3. Этап установки "Choose Install Location" (выберите каталог установки программы)

На этапе "Choose Install Location" (выберите каталог установки программы) необходимо выбрать каталог, в который будет установлена программа. По умолчанию Wireshark устанавливается в директорию C:\Program Files\Wireshark.

2.3.4. Этап установки "Packet Capture" (захват пакетов)

На этапе "Packet Capture" можно установить драйвер Npcap, который используется для захвата сетевых пакетов в Windows. Дистрибутив Wireshark включает в себя последнюю версию Npcap. Без установки Npcap захватывать сетевой трафик в режиме реального времени нельзя, однако открывать сохраненные ранее файлы с данными о сетевом трафике возможно. Дополнительную информацию о Npcap вы можете найти на сайтах: https://npcap.com/ и https://gitlab.com/wireshark/wireshark/-/wikis/Npcap.

2.3.5. Параметры командной строки для установщика Windows

При установке Wireshark с помощью командной строки доступны следующие ключи:

  • /S – запуск установщика или деинсталлятора в "тихом" режиме с параметрами по умолчанию. В этом режиме Npcap не будет установлен.
  • /desktopicon – установка значка на рабочем столе: =yes – принудительная установка, =no – не устанавливать. Без указания параметра будут использованы настройки по умолчанию. Опция может быть полезна для "тихой" установки.
  • /quicklaunchicon – установка иконки в панели быстрого запуска: =yes – принудительная установка, =no – не устанавливать; в противном случае используются настройки по умолчанию. Без указания параметра будут использованы настройки по умолчанию. Опция может быть полезна для "тихой" установки.
  • /D – указание директории для установки по умолчанию ($INSTDIR). При этом происходит переопределение настроек, указанных в InstallDir и InstallDirRegKey. InstallDir — это директива в скрипте установки, которая задает для нее начальный каталог, а InstallDirRegKey – это ключ реестра, из которого может быть извлечен путь для установки. Параметр должен быть указан самым последним и при этом не иметь в своем составе кавычек, даже если путь содержит пробелы.
  • /NCRC – отключение проверки контрольной суммы (CRC), с помощью которой проверяется целостность дистрибутива. Отключение этой проверки может привести к установке поврежденной или скомпрометированной версии программы. Пренебрегать этой проверкой не рекомендуется.
  • /EXTRACOMPONENTS – список дополнительных компонентов для установки, которые при указании должны быть разделены запятыми. Поддерживаются следующие бинарные файлы extcap:
    • androiddump – возможность захвата пакетов с устройств на базе Android,
    • ciscodump – возможность удаленного захвата пакетов через SSH с помощью Cisco EPC,
    • randpktdump – генератор случайных пакетов,
    • sshdump – удаленный захват пакетов через SSH,
    • udpdump – захват UDP-пакетов, передаваемых сетевыми устройствами.

Примеры:

> Wireshark-4.2.5-x64.exe /NCRC /S /desktopicon=yes /quicklaunchicon=no /D=C:\Program Files\Foo

> Wireshark-4.2.5-x64.exe /S /EXTRACOMPONENTS=sshdump,udpdump

Если запустить установку Wireshark из командной строки, не выставляя параметров, то она будет выполнена с помощью обычного графического инсталлятора.

2.3.6. Ручная установка Npcap

Как было упомянуто выше, установщик Wireshark, кроме всего прочего, устанавливает Npcap. Если необходимо установить Npcap вручную или использовать версию драйвера, отличную от включенной в установщик Wireshark, можно скачать Npcap с официального сайта по адресу https://npcap.com/.

2.3.7. Обновление Npcap

Обновления Wireshark могут также включать в себя новую версию Npcap. Инструкцию по ручному обновлению Npcap можно найти на официальном сайте по адресу https://npcap.com/. После установки новой версии Npcap может потребоваться перезагрузка компьютера.

2.3.8. Удаление Wireshark

Удалить Wireshark можно стандартным способом через панель управления "Программы и компоненты". Есть несколько вариантов удаления. Удаление может быть полным или частичным. По умолчанию удаляются основные компоненты, однако персональные настройки и Npcap остаются без изменений. Сохранение Npcap предусмотрено на случай, если этот компонент необходим для работы других программ.

2.3.9. Удаление Npcap

Удалить Npcap можно независимо от Wireshark, найдя "Npcap" в панели управления "Программы и компоненты". Следует помнить, что вместе с удалением Npcap исчезнет и возможность захвата данных с помощью Wireshark.


2.4. Сборка из исходного кода в системе Windows

Если не планируется выполнять задачи разработчика Wireshark, то для Windows настоятельно рекомендуется использовать обычный дистрибутив.

Для получения информации о том, как получить исходные коды и собрать Wireshark для Windows, обратитесь к "Руководству разработчика" по следующим ссылкам:

Также может быть полезным ознакомиться с последней доступной документацией по разработке на Development Wiki.


Онлайн-курс по Wireshark

На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.


2.5. Установка Wireshark в системе macOS

Официальные пакеты для macOS доступны для скачивания на главной странице Wireshark или на странице загрузки. Пакеты распространяются в виде образов диска (.dmg), содержащих программный пакет. В названиях пакетов указаны платформа и версия. Для установки Wireshark достаточно открыть образ диска и перетащить Wireshark в папку /Applications. Пакеты для macOS обновляются автоматически. Подробности см. в разделе 2.8 "Обновление Wireshark".

Для захвата пакетов необходимо установить службу автозапуска "ChmodBPF". Это можно сделать, открыв файл Install ChmodBPF.pkg в образе диска Wireshark .dmg или непосредственно через WiresharkО Wireshark, перейдя на вкладку "Папки" и дважды кликнув по "macOS Extras".

Установочный пакет включает в себя Wireshark, а также ChmodBPF и пакеты системных путей. Дополнительные подробности можно найти в прилагаемом файле "Read me first.html".


2.6. Установка бинарных файлов в *NIX

В общем случае, установка бинарных файлов в различных версиях UNIX зависит от способа установки, применяемого в каждой из них. Например, в системе AIX для установки бинарного пакета Wireshark используется утилита smit, в то время как в системе Tru64 UNIX (ранее известной как Digital UNIX) применяется утилита setld.

Приведенные далее инструкции предполагают, что у администратора уже имеются необходимые знания в области управления пакетами и компиляции программного обеспечения.

2.6.1. Установка из RPM-пакетов в Red Hat и подобных системах

Сборка RPM-пакетов из исходного кода Wireshark приводит к созданию нескольких пакетов (у большинства дистрибутивов все происходит по аналогичной схеме):

  • Пакет wireshark содержит основные библиотеки и командно-строчные инструменты Wireshark.
  • Пакеты wireshark или wireshark-qt содержат графический интерфейс на базе Qt.

Многие дистрибутивы используют yum или аналогичные инструменты управления пакетами для упрощения процесса установки. Если в дистрибутиве используется yum, для установки Wireshark вместе с графическим интерфейсом на базе Qt необходимо выполнить следующую команду:

yum install wireshark wireshark-qt

Если была выполнена сборка RPM-пакетов из исходных кодов Wireshark, их можно установить, выполнив следующую команду:

rpm -ivh wireshark-2.0.0-1.x86_64.rpm wireshark-qt-2.0.0-1.x86_64.rpm

Если вышеуказанная команда не выполняется из-за отсутствующих зависимостей, то необходимо сначала установить необходимые зависимости, а затем повторить попытку установки.

2.6.2. Установка из DEB-пакетов в Debian, Ubuntu и других производных Debian

Установка программы из репозитория выполняется с помощью следующей команды:

apt install wireshark

Эта команда с помощью системы управления пакетами Apt автоматически решит все вопросы с зависимостями.

Для захвата пакетов требуются привилегии

При установке пакетов Wireshark от имени пользователя, не обладающего правами суперпользователя (root), права на захват пакетов предоставлены не будут. Чтобы разрешить пользователям без прав суперпользователя захватывать пакеты, следует выполнить процедуру, описанную по адресу https://gitlab.com/wireshark/wireshark/-/blob/master/packaging/debian/README.Debian (/usr/share/doc/wireshark-common/README.Debian.gz).

2.6.3. Установка с помощью системы управления пакетами Portage в Gentoo Linux

Чтобы установить Wireshark в системе Gentoo Linux со всеми дополнительными функциями, используется следующая команда:

USE="c-ares ipv6 snmp ssl kerberos threads selinux" emerge wireshark

Эта команда установит Wireshark с поддержкой библиотек c-ares, IPv6, SNMP, SSL, Kerberos, многопоточности и SELinux.

2.6.4. Установка из пакетов во FreeBSD

Для установки Wireshark в системе FreeBSD используется следующая команда:

pkg_add -r wireshark

Эта команда с помощью системы управления пакетами pkg_add автоматически решит все вопросы с зависимостями.


2.7. Сборка из исходного кода в UNIX или Linux

Если в дальнейшем на платформе не планируется разработка функционала Wireshark, то рекомендуется использовать бинарный установщик. Сборка Wireshark требует наличия соответствующей среды сборки, включая компилятор и ряд дополнительных библиотек. Для получения более подробной информации рекомендуется обратиться к "Руководству разработчика" по следующим ссылкам:


2.8. Обновление Wireshark

По умолчанию Wireshark на Windows и macOS будет проверять наличие новых версий и уведомлять об их доступности. Если проверка обновлений отключена или Wireshark используется в изолированной среде, рекомендуется подписаться на рассылку wireshark-announce для получения уведомлений о новых версиях. Подробности о подписке на эту рассылку см. в разделе 1.6.5 "Списки рассылки".

Новые версии Wireshark обычно выпускаются каждые четыре – шесть недель. Процесс обновления программы аналогичен ее установке. В Windows необходимо скачать и запустить установщик. В macOS нужно скачать и перетащить приложение. Перезагрузка системы обычно не требуется, и все персональные настройки останутся без изменений.

В Wireshark используются два канала обновлений: Стабильный (stable) и Разработка (development). По умолчанию используется "Стабильный" канал. Он устанавливает пакеты только из стабильных (с четным номером) веток релизов. Канал "Разработка" устанавливает пакеты разработки и кандидатов в релизы, если таковые доступны, а также стабильные релизы. Для настройки канала релизов перейдите в РедактированиеПараметры...Дополнительно и найдите параметр "gui.update.channel". Подробности см. в разделе 11.5 "Настройки".

Онлайн-курс по Wireshark

На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.