ubuntu 16.04에 wireshark 설치

당연히 열심히 찾아보고 적용하고, 그리고 정리하는 내용들.

16.04에 wireshark 설치 자체는 매우 단순하다. 어차피 apt패키지를 지원하기에 단순히

$ sudo apt install wireshark

만 하면 끝. 하지만 실행하는 권한마다 소소한 문제가 있었다.

해서 찾아보니 root로 실행하지 않는 경우(안전!!) 설치한 wireshark에 몇 가지를 더 해주어야 한다.

$ sudo dpkg-reconfigure wireshark-common

$ sudo usermod -a -G wireshark $USER

$ gnome-session-quit --logout --no-prompt

 

글마다 어떤 것은

$ sudo groupadd wireshark

를 해주어야 한다는 것도 있는데, 어차피 dpkg-reconfigure에서 이를 해준다.

이 과정이 끝나면

1. 사용 중인 어댑터를 내가 편한 이름으로 수정

2. wireshark에서 모니터 모드로 동작이 가능한지 확인

정도가 필요하다.

1. 어댑터 이름의 수정

현재 사용 중인 어댑터의 인터페이스를 확인해보면

wlx687f74831ee6 Link encap:Ethernet  HWaddr 
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

wlx687...어쩌고 하며 괜히 긴 이름이 할당되어 있다. 이걸 좀 편히 쓸 수 있게 만들어보자.

안그래도 그냥 wireshark실행했을 때 "대체 이게 뭐지..?"하던지라..-_-

이전 버전의 우분투 배포판에서는 보통

/etc/udev/rules.d/70-persistent-net.rules

를 고치라 하는데 16.04에는 이 파일 자체가 없다. 그냥 만들면 된다.

다만 전과 문법이 약간 달라졌다.

MAC "02:01:02:03:04:05"를 " eth0으로 설정하는 구문의 경우 :

SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="02:01:02:03:04:05", ATTR{dev_id}=="0x0", ATTR{type}=="1", NAME="eth0"

를 70-persistent-net.rules에 적용해주면 된다. 이를 적용한 후 :

ae1000    Link encap:Ethernet  HWaddr
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

로 변경 완료.

2. wireshark의 모니터 모드 실행

별 다른 문제가 없다면 실행, 설정 자체는 간단하다.

$ sudo ifconfig ae1000 down

$ sudo iwconfig ae1000 mode monitor

$ sudo ifconfig ae1000 up

$ wireshark

이 과정을 끝내면 wireshark 인터페이스 목록에서 확인할 수 있는 인터페이스의 Monitor 필드 활성화.