как запустить wireshark??

нашел, tshark

ты это, ищи не locate'ом, а find, вот так: find /* -type f -name «wireshark» (важно, чтоб без маски)

Что говорит rpm -ql wireshark ?

У меня в /usr/bin/wireshark (Debian)

только все же нифига непонятно

запускаю sudo tshark -i wlan0 -p > log
он мне пишет кучу каши

8.006161 194.186.171.00 -> 192.168.0.100 TCP http > 34479 [ACK] Seq=341 Ack=1168 Win=8192 Len=0
8.007267 192.168.0.100 -> 194.186.171.78 TCP 34479 > http [ACK] Seq=1168 Ack=418 Win=6432 Len=0
8.007843 192.168.0.100 -> 194.186.171.78 TCP 34479 > http [ACK] Seq=1168 Ack=550 Win=7504 Len=0

а как к примеру получить детальную инфу о запросе, который сделал браузер?

мне надо отснифать запросы флеш-ролика, а httpfox их не видит

ты ему сказал снифать всё что идёт через wlan0 , используй фильтры.

rpm -ql wireshark выводит содержимое /usr/sbin/wireshark

среди прочего -
/usr/sbin/capinfos
/usr/sbin/dftest
/usr/sbin/dumpcap
/usr/sbin/editcap
/usr/sbin/mergecap
/usr/sbin/randpkt
/usr/sbin/rawshark
/usr/sbin/text2pcap
/usr/sbin/tshark

find /* -type f -name «wireshark» находит:

/etc/pam.d/wireshark
/etc/security/console.apps/wireshark

но это не бинарники

вообще, могу юзать и консольную версию tshark - но мне бы понять как там получать детальную инфу по каждому запросу и фильтровать их

как отличать именно браузерные запросы (а ещё лучше именно флеш)?
они ведь идут через http, а из такой строки

8.006161 194.186.171.00 -> 192.168.0.100 TCP http > 34479 [ACK] Seq=341 Ack=1168 Win=8192 Len=0

много не почерпнешь
и как получать инфу о конкретном запросе?

Проще посмотреть список файлов пакета, например, в арче `pacman -Ql пакет`?

пользуйся лучше гуем, там для неопытного все-таки очевиднее

я не понял, у тебя

sudo /usr/sbin/wireshark

или

sudo /usr/bin/wireshark

запускается?

> /usr/sbin/wireshark
Попробуйте запустить это

Всё верно, я просто с rpm не имел дела.

sudo yum install wireshark

Тебе нужен GUI? Если да, то

sudo yum install wireshark-gnome

sudo /usr/sbin/wireshark
sudo /usr/bin/wireshark

их как раз нет

sudo yum install wireshark-gnome
у меня кеды

хотя да, после установки wireshark-gnome, появилось гуевое приложение wireshark

а как указать фильтр для браузерных запросов?

я вижу фильтр по http
других фильтров, кроме как по протоколу видимо нет?

сейчас не могу понять, почему не валиден фильтр

host==192.168.0.100

?

Смотри http://wiki.wireshark.org/CaptureFilters и http://wiki.wireshark.org/DisplayFilters.

tcpdump -i any host 192.168.0.100 and port 80 -s 0 -w flash.pcap -v
после теста открываете файл flash.pcap в wireshark

всё понял!
я смотрел capture filters, а оказывается есть ещё display filters

таким образом фильтр по ip это «ip.src==0.0.0.0»