Comment faire pour installer Wireshak sur Linux et de capturer le trafic USB?

J'ai rencontré de nombreux problèmes dans l'installation de Wireshark, et la capture de trafic USB, surtout en raison des autorisations de l'utilisateur.

Dans la réponse, je décris un flux de travail complet pour le faire.
Les réponses à chacune de problèmes individuels sont donnés sur différents forums, j'ai donc pensé réunir tout en une seule réponse, à éviter à l'avenir les utilisateurs de Google chaque problème qu'ils rencontrent.

OriginalL'auteur matthieu | 2015-06-25

25

Testé sur Ubuntu 14.04, mais fonctionne probablement sur d'autres distributions, puisque aucune de ces étapes sont spécifiques à Ubuntu.

La première fois que vous suivez le tutoriel, faire toutes les étapes 1 -> 7.

Lorsque vous redémarrez votre ordinateur, vous devez répéter les étapes 6 et 7 pour voir les interfaces USB dans Wireshark.
1. Installer Wireshark et libpcap:
  
  sudo apt-get install wireshark libpcap0.8
2. Pour Debian, Ubuntu et autres distributions dérivées de Debian, passez à l'étape 3.
  
  Pour d'autres systèmes basés sur Linux ou d'autres méthodes d'installation, voir le Wireshark Wiki, puis passez à l'étape 6.
3. Reconfigurer wireshark afin de permettre aux non-les superutilisateurs pour suivre les paquets:
  
  sudo dpkg-reconfigure wireshark-common
  
  Sélectionnez <Yes> dans l'invite
4. Ajouter votre nom à la "wireshark" groupe d'utilisateurs:
  
  sudo usermod -a -G wireshark <your_username>
  
  Vous pouvez vérifier si c'est fait correctement en affichant les groupes de votre nom d'utilisateur est une partie de:
  
  groups <your_username>
  
  Si non, vous pouvez ajouter le groupe "wireshark" manuellement:
  
  groupadd wireshark
  
  Et puis ajouter votre nom d'utilisateur pour le groupe (voir ci-dessus)
5. Important: Déconnecter de votre session, puis ouvrez-la de nouveau.
6. Cette étape dépend de la version du noyau qui est installé sur votre machine. Pour connaître la version de votre noyau, type:
  
  uname -r
  
  Pour les versions du noyau, avant de 2.6.21, si debugfs n'est pas déjà monté sur /sys/kernel/debug, s'assurer qu'il est monté, il y en émettant la commande suivante:
  
  sudo mount -t debugfs //sys/kernel/debug
  
  Pour la version du noyau 2.6.21 et, plus tard, de charger le module chargeable usbmon dans le Noyau:
  
  sudo modprobe usbmon
  
  Voir Wireshark Wiki pour plus d'informations sur cette différenciation.
7. Si le usbmon interfaces n'apparaissent pas dans Wireshark, regardez pour les interfaces à l'aide de dumpcap (l'outil de ligne de commande de Wireshark):
  
  sudo dumpcap -D
  
  Vous devriez voir le usbmon* interfaces. Maintenant afficher les autorisations de la usbmon interfaces:
  
  ls -l /dev/usbmon*
  
  Si le usbmon* les fichiers ont " crw-------"alors c'est normal que Wireshark ne peut pas les lire car il n'est pas exécuté en tant que root. Ne pas exécuter de wireshark en mode administrateur, il peut endommager les fichiers. Au lieu de cela, vous pouvez lui donner régulièrement des privilèges aux utilisateurs :
  
  sudo setfacl -m u:$USER:r /dev/usbmon*
Maintenant la usbmon interfaces doit apparaître dans Wireshark.

Amusez-vous !

Sources:

https://wiki.wireshark.org/CaptureSetup/USB#Linux

https://wiki.wireshark.org/CaptureSetup/CapturePrivileges#Most_UNIXes

https://unix.stackexchange.com/questions/55722/wireshark-couldnt-run-usr-sbin-dumpcap-in-child-process

http://anonscm.debian.org/viewvc/collab-maint/ext-maint/wireshark/trunk/debian/README.Debian?view=markup

merci. travaillé parfait pour moi
Merci, j'ai eu un problème avec les autorisations après la mise à jour wireshark et maintenant, c'est génial de travailler.
Juste au cas où quelqu'un a été vous vous demandez comment faire de chargement de usbmon (étape 6) persistante sur redémarre: créer un fichier dans /etc/modules-load.d/ appelé usbmon.conf et dans ce fichier, ajoutez une ligne avec le nom du module usbmon.
merci! Cela a aidé. Et comment dois-je conserver les autorisations?
Étape 7 sudo chmod 644 /dev/usbmon* peut être remplacé par les plus restrictives sudo setfacl -m u:$USER:r /dev/usbmon*. Cela correspond de plus près à la Wireshark USB Wiki.

OriginalL'auteur matthieu

Vous devez vous connecter pour publier un commentaire.