2.1. 介绍
2.2. 获取源代码和二进制发行版
2.3. 在Windows下安装Wireshark
2.3.1. 安装组件
2.3.2. 其他任务
2.3.3. 安装位置
2.3.4. 安装 WinPcap
2.3.5. Windows Installer命令行选项
2.3.6. 手工安装 WinPcap
2.3.7. 更新 Wireshark
2.3.8. 更新 WinPcap
2.3.9. 卸载 Wireshark
2.3.10. 卸载 WinPcap
2.4. 在Mac OS X下安装 Wireshark
2.5. 在UNIX下从源码编译 Wireshark
2.6. 在UNIX下安装二进制包
2.6.1. 在Red Hat 及类似系统下从rpm安装
2.6.2. 在Debian, Ubuntu 及其他 Debian 衍生系统下从deb安装
2.6.3. 在Gentoo Linux下从portage安装
2.6.4. 在FreeBSD下从packages安装
2.7. Unix安装过程中故障排除
2.8. 在Windows上从源代码编译 Wireshark
2.1. 介绍
正如所有的事情必须有一个开始,Wireshark也一样。要使用Wireshark,您必须先安装它。如果您运行的是Windows或Mac OS X,您可以在https://www.wireshark.org/download.html下载官方版本并安装, 然后跳过这一章的其余部分。
如果您正在运行其它操作系统,例如Linux或FreeBSD,您可能想从源代码安装。在一些Linux发行版提供Wireshark的软件包,但它们通常提供的是过时的版本。UNIX版本至今未提供Wireshark。出于这个原因,您需要知道从哪里得到Wireshark的最新版本,以及如何安装它。
本章介绍了如何获得源代码和二进制包,如何从源代码编译Wireshark。
以下是您可以使用的一般步骤:
- 根据您的需求下载相关的软件包,如源代码或二进制分发版。
- 如果需要的话编译源代码为二进制文件。这可能涉及编译和/或安装其他需要的包。
- 安装二进制包到最终目的地。
2.2. 获取源代码和二进制发行版
您可以同时从Wireshark网站: https://www.wireshark.org/ 获得源代码和二进制分发版。选择下载链接,然后选择所需的二进制或源代码包。
[Note] 下载所有必需的文件
如果您是从源代码编译Wireshark,您通常情况下,您很可能需要下载几个源码包,除非您以前已经下载了Wireshark。这将在后面有更详细的说明。
一旦您已经下载了相关的文件,您可以去到下一个步骤。
2.3. 在Windows下安装Wireshark
Windows安装文件包含了平台和版本,如Wireshark-winxx-1.99.x.exe文件。Wireshark安装文件包括所需的用于数据包捕获的WinPcap软件。
只需要简单的从: https://www.wireshark.org/download.html 下载安装文件并执行。官方软件包由Wireshark基金会签名。您可以选择安装多个可选组件,然后选择安装包的位置。默认设置适用于大多数的用户。
2.3.1. 安装组件
在选择组件的安装程序的页面,您可以进行以下选择:
- Wireshark -网络协议分析软件,我们都知道并且最爱。
- tshark -命令行的网络协议分析软件。如果您还没有尝试过,您应该试试。
- Wireshark 1 Legacy -旧的(GTK +)用户界面的情况下您需要它。
- 插件和扩展 -Wireshark的tshark的解析引擎扩展
- 解析器插件 -扩展解析器的插件。
- 树统计插件 -扩展统计信息。
- MetaMeta分析和追踪引擎 -用户可配置的显示筛选器引擎的扩展,见https://wiki.wireshark.org/Mate了解详细信息。
- SNMP MIB -SNMP MIB进行更详细的SNMP解析。
- 工具 -捕获文件的附加命令行工具
- Editcap -读取捕捉文件,并写入部分或全部包到另一个捕获文件。
- Text2Pcap -读入ASCII hex dump,将数据写入到一个pcap捕获文件。
- Reordercap -根据时间戳对捕捉文件重新排序。
- Mergecap -将多个保存的捕获文件合并成一个单一的输出文件。
- Capinfos -提供捕获文件的信息。
- Rawshark -原始数据包筛选器。
- 用户指南 -用户指南的本地安装。如果没有本地安装的用户指南,在大多数对话框中的帮助按钮将需要连接到互联网显示帮助页面。
2.3.2. 其他任务
- 开始菜单快捷方式 -添加开始菜单的快捷方式。
- 桌面图标 -添加Wireshark的图标到桌面。
- 快速启动图标 -增加一个Wireshark的图标到快速启动工具栏。
- 关联文件扩展名到Wireshark -关联标准的网络跟踪文件到Wireshark。
2.3.3. 安装位置
默认情况下Wireshark在32位Windows上安装到的%ProgramFiles%\ Wireshark目录,在64位Windows上安装到%ProgramFiles64%\ Wireshark 目录。大部分系统上扩展到 C:\Program Files\Wireshark 。
2.3.4. 安装 WinPcap
Wireshark安装包含了最新的WinPcap安装程序。
如果您没有安装WinPcap的,您将无法捕捉网络流量,但您仍然可以打开保存的捕获文件。默认情况下WinPcap的最新版本将被安装。如果您不希望这样做,或者如果您想重新安装WinPcap,您可以根据需要选择安装WinPcap的复选框。
有关WinPcap的更多信息,请参阅
https://www.winpcap.org/ 和 https://wiki.wireshark.org/WinPcap。
2.3.5. Windows Installer命令行选项
对于特殊情况下,也有一些命令行参数可供选择:
- /S 用默认值静默运行安装程序或卸载程序。静默安装程序将不会安装WinPcap。
- /desktopicon 桌面图标安装,=yes -强制安装,=no 不安装,否则使用默认的设置。此选项对静默安装非常有用。
- /quicklaunchicon 将安装快速启动图标,=yes -强制安装,=no 不安装,否则使用默认的设置。
- /D 设置默认安装目录($ INSTDIR),覆盖InstallDir 和 InstallDirRegKey。它必须是在命令行中使用的最后一个参数,并且不得包含任何引号即使路径包含空格。
- /NCRC 禁止CRC校验。我们不建议使用此标志。
例如:
> Wireshark-win64-wireshark-2.0.5.exe /NCRC /S /desktopicon=yes /quicklaunchi
con=no /D=C:\Program Files\Foo
不带任何参数运行安装程序显示正常的交互式安装程序。
2.3.6. 手工安装 WinPcap
如上所述,Wireshark的安装程序会安装WinPcap。只有在您想使用一个和包含在安装程序中的不同版本,例如,因为发布了一个新的WinPcap版本。
单独的WinPcap版本(包括更新的α或β版本)可以从WinPcap的网站下载
https://www.winpcap.org/。Windows的安装程序支持现代的Windows操作系统。
2.3.7. 更新 Wireshark
默认情况下,官方的Windows程序包将检查新版本,当新版本可用时会通知您。如果“检查更新”被禁用,或者如果您在一个孤立的环境中运行Wireshark,您应该订阅到 wireshark-announce邮件列表。 参见 1.6.5节, “邮件列表” 的订阅列表的详细信息。
Wireshark的新版本,通常每4至6周发布。更新Wireshark和安装的方式一样。只需下载和启动安装程序文件。通常不需要重新启动,所有的个人设置保持不变。
2.3.8. 更新 WinPcap
WinPcap的新版本不会频繁更新。您可以在WinPcap的网站 https://www.winpcap.org/发现WinPcap的更新说明。您可能在安装新版本的WinPcap后,必须重新启动计算机。
2.3.9. 卸载 Wireshark
您可以使用程序和功能控制面板来卸载Wireshark。选择“Wireshark”条目开始卸载程序。
Wireshark的卸载程序提供了几个选项。默认值是删除核心组件,但保留个人设置和WinPcap。WinPcap默认情况下会保留,防止其他程序需要使用它。
2.3.10. 卸载 WinPcap
您可以使用程序和功能控制面板来独立卸载WinPcap。请记住,如果您卸载WinPcap,您将不能使用Wireshark捕获任何东西。
2.4. 在Mac OS X下安装 Wireshark
官方的Mac OS X软件包以包含程序安装程序的磁盘映像文件(.dmg)来发布。要安装Wireshark,只需打开磁盘映像并运行封装的安装程序即可。
安装程序包包括Wireshark、相关命令行实用程序、以及在系统启动时调整捕获权限的守护进程。请参阅附带的“首先阅读”了解详情。
2.5. 在UNIX下从源码编译 Wireshark
编译Wireshark需要适当的编译环境,包括编译器和许多支持库。请参阅开发人员指南 https://www.wireshark.org/docs/ 了解更多信息。
在UNIX或Linux下使用下面的步骤从源代码编译Wireshark:
1.从压缩的tar文件解压缩源代码。如果您使用的是Linux或您的UNIX版本使用GNU 的tar,您可以使用下面的命令:
$ tar xaf wireshark-2.0.5.tar.bz2
在其他情况下,您将不得不使用下面的命令:
$ bzip2 -d wireshark-2.0.5.tar.bz2
$ tar xf wireshark-2.0.5.tar
2.更改目录到Wireshark源代码目录。
$ cd wireshark-2.0.5
3.配置您的源,它会为您的UNIX版本正确编译。您可以用下面的命令:
$ ./configure
如果这一步失败,您将不得不纠正问题并重新configure。故障排除提示在 2.7节, “Unix安装过程中故障排除”。
4.编译源代码。
$ make
5.在最终目的地安装软件。
$ make install
如果您已经按照以上的make install安装了Wireshark,您应该能够输入Wireshark来运行它。
2.6. 在UNIX下安装二进制包
通常,安装您的UNIX版本的二进制包的方法将与您的UNIX版本相关。例如,AIX下,您可以使用smit来安装Wireshark的二进制包,在Tru64 UNIX的(原Digital UNIX)您会使用setld。
2.6.1. 在Red Hat 及类似系统下从rpm安装
使用以下命令来安装您从Wireshark的网站上下载的Wireshark RPM:
rpm -ivh wireshark-2.0.5.i386.rpm
如果由于缺少依赖包导致上面的步骤失败,首先安装依赖包,然后重试以上步骤。
2.6.2. 在Debian, Ubuntu 及其他 Debian 衍生系统下从deb安装
如果您可以从库中安装,然后使用
$ aptitude install wireshark
Aptitude 应该为您处理所有的依赖问题。
使用以下命令在Debian下安装下载的Wireshark Deb:
$ dpkg -i wireshark-common_2.0.5.0-1_i386.deb wireshark_wireshark-2.0.5.0-1_i386.deb
dpkg 不处理所有的依赖性,但报告缺少了什么。
[Note] 捕捉需要的权限
通过安装Wireshark,非root用户不会自动获得捕获数据包的权限。遵循/usr/share/doc/wireshark-common/README.Debian中所述的方法来允许非root用户捕获数据包。
2.6.3. 在Gentoo Linux下从portage安装
使用下面的命令在Gentoo Linux下安装Wireshark的所有的额外功能:
$ USE="adns gtk ipv6 portaudio snmp ssl kerberos threads selinux" emerge wireshark
2.6.4. 在FreeBSD下从packages安装
使用下面的命令在FreeBSD下安装Wireshark:
$ pkg_add -r wireshark
pkg_add 应该为您处理所有的依赖问题。
2.7. Unix安装过程中故障排除
在安装过程中会发生很多错误。此处提供了解决这些错误的一些提示。
如果 configure 阶段失败,您需要找出原因。您可以在源目录下检查文件config.log,找出失败的地方。该文件的最后几行应可以帮助确定问题。
标准的问题是,您的系统没有所需的开发包或者开发包不够新。请注意,仅安装库是不够的。您需要同时安装开发包。如果您的系统没有libpcap(至少需要包含文件),configure将会失败。
如果您不能确定什么问题,请发邮件到 wireshark-dev的邮件列表说明您的问题。包括从config.log的输出和其他任何您认为相关的信息,例如 make阶段的跟踪信息。
2.8. 在Windows上从源代码编译 Wireshark
我们强烈建议您使用二进制的Windows安装程序,除非您想开始在Windows平台上开发Wireshark。
欲了解更多如何在Windows下从源代码编译Wireshark,请参考开发人员指南:
https://www.wireshark.org/docs/
您可能也想看看开发维基 (https://wiki.wireshark.org/Development) 获取最新的可用开发文档。