Особой разницы куда устанавливать, конечно нет – поменять имя пакета и менеджер пакетов, под Debian/Ubuntu это будет пакет wireshark
, под Arch есть две версии – Qt версия и GTK.
Мне Qt больше нравится, запускаем установку:
[simterm]
$ sudo pacman -S wireshark-qt ... Packages (3) wireshark-cli-2.5.0-1 wireshark-common-2.5.0-1 wireshark-qt-2.5.0-1 ...
[/simterm]
Wireshark для захвата трафика использует /usr/bin/dumpcap
, который может быть запущен или рутом, или пользователем из группы wireshark
:
[simterm]
$ ls -l /usr/bin/dumpcap -rwxr-xr-- 1 root wireshark 101648 Mar 18 18:08 /usr/bin/dumpcap
[/simterm]
Что бы не запускать Wireshark от рута – добавляем своего пользователя в группу wireshark
:
[simterm]
$ sudo gpasswd -a $USER wireshark Adding user setevoy to group wireshark
[/simterm]
Обновляем свои группы:
[simterm]
$ newgrp wireshark
[/simterm]
Запускаем Wireshark:
Попробуем получить трафик между нашим хостом и RTFM – добавляем фильтр host 52.208.35.167:
Запускаем сбор трафика:
Больше примеров и информации – на Wireshark Wiki и Arch Wiki.