5 Killer-Tricks, um das Beste aus Wireshark zu holen
Wireshark hat einige Tricks im Griff, von der Erfassung des Fernverkehrs bis zur Erstellung von Firewall-Regeln, die auf erfassten Paketen basieren. Wenn Sie Wireshark wie einen Profi einsetzen möchten, lesen Sie weiterführende Tipps.
Wir haben bereits die grundlegende Verwendung von Wireshark erläutert. Lesen Sie daher unseren ursprünglichen Artikel, um eine Einführung in dieses leistungsstarke Netzwerkanalyse-Tool zu erhalten.
Auflösung des Netzwerknamens
Beim Erfassen von Paketen kann es Ihnen stören, dass Wireshark nur IP-Adressen anzeigt. Sie können die IP-Adressen selbst in Domänennamen konvertieren, was jedoch nicht zu bequem ist.
Wireshark kann diese IP-Adresse automatisch in Domänennamen auflösen, obwohl diese Funktion nicht standardmäßig aktiviert ist. Wenn Sie diese Option aktivieren, werden nach Möglichkeit Domänennamen anstelle von IP-Adressen angezeigt. Der Nachteil ist, dass Wireshark jeden Domainnamen nachschlagen und den erfassten Datenverkehr mit zusätzlichen DNS-Anfragen verschmutzen muss.
Sie können diese Einstellung aktivieren, indem Sie das Einstellungsfenster von öffnen Bearbeiten -> Einstellungen, Klicken Sie auf die Namensauflösung und klicken Sie auf die SchaltflächeAktivieren Sie die NetzwerknamenauflösungKontrollkästchen.
Starten Sie automatisch die Aufnahme
Sie können eine spezielle Verknüpfung mit den Befehlszeilenargumenten von Wirshark erstellen, wenn Sie ohne Verzögerung mit der Erfassung von Paketen beginnen möchten. Sie müssen die Nummer der Netzwerkschnittstelle kennen, die Sie verwenden möchten, basierend auf der Reihenfolge, in der Wireshark die Schnittstellen anzeigt.
Erstellen Sie eine Kopie der Wireshark-Verknüpfung, klicken Sie mit der rechten Maustaste darauf, wechseln Sie in das Eigenschaftenfenster und ändern Sie die Befehlszeilenargumente. Hinzufügen -ich k bis zum Ende der Verknüpfung, ersetzen # mit der Nummer der Schnittstelle, die Sie verwenden möchten. Die Option -i gibt die Schnittstelle an, während die Option -k Wireshark anweist, sofort mit der Aufnahme zu beginnen.
Wenn Sie Linux oder ein anderes Nicht-Windows-Betriebssystem verwenden, erstellen Sie einfach eine Verknüpfung mit dem folgenden Befehl oder führen Sie sie von einem Terminal aus aus, um sofort mit der Aufnahme zu beginnen:
wireshark -i # -k
Weitere Befehlszeilen-Verknüpfungen finden Sie auf der Handbuchseite von Wireshark.
Erfassen des Datenverkehrs von Remotecomputern
Wireshark erfasst standardmäßig den Datenverkehr von den lokalen Schnittstellen Ihres Systems. Dies ist jedoch nicht immer der Ort, an dem Sie erfassen möchten. Beispielsweise möchten Sie möglicherweise den Datenverkehr von einem Router, Server oder einem anderen Computer an einem anderen Ort im Netzwerk erfassen. Hier kommt die Remote-Capture-Funktion von Wireshark zum Einsatz. Diese Funktion ist derzeit nur unter Windows verfügbar. In der offiziellen Dokumentation von Wireshark wird empfohlen, dass Linux-Benutzer einen SSH-Tunnel verwenden.
Zunächst müssen Sie WinPcap auf dem Remote-System installieren. WinPcap wird mit Wireshark geliefert. Sie müssen WinPCap also nicht installieren, wenn Wireshark bereits auf dem Remote-System installiert ist.
Öffnen Sie nach dem Start das Fenster Dienste auf dem Remote-Computer. Klicken Sie auf Start und geben Sie ein services.msc in das Suchfeld im Startmenü und drücken Sie die Eingabetaste. Suchen Sie das Remote Packet Capture-Protokoll Dienst in der Liste und starten Sie es. Dieser Dienst ist standardmäßig deaktiviert.
Drücke den Aufnahmeoptions-Link in Wireshark, dann wählen Sie Remote aus dem Interface-Feld.
Geben Sie die Adresse des Remote-Systems ein und 2002 wie der Hafen. Sie müssen über Zugriff auf Port 2002 auf dem Remote-System verfügen, um eine Verbindung herstellen zu können. Daher müssen Sie diesen Port möglicherweise in einer Firewall öffnen.
Nach dem Verbinden können Sie eine Schnittstelle auf dem Remote-System aus dem Dropdown-Feld Schnittstelle auswählen. Klicken Start nachdem Sie die Schnittstelle zum Starten der Remote-Aufnahme ausgewählt haben.
Wireshark in einem Terminal (TShark)
Wenn Sie keine grafische Oberfläche in Ihrem System haben, können Sie Wireshark von einem Terminal aus mit dem Befehl TShark verwenden.
Zuerst geben Sie das aus tshark -D Befehl. Dieser Befehl gibt Ihnen die Nummern Ihrer Netzwerkschnittstellen an.
Sobald Sie haben, führen Sie die tshark -i # Befehl, der # durch die Nummer der Schnittstelle ersetzt, auf der Sie erfassen möchten.
TShark verhält sich wie Wireshark und druckt den erfassten Verkehr an das Terminal. Benutzen Strg-C wenn Sie die Aufnahme stoppen möchten.
Das Ausdrucken der Pakete an das Terminal ist nicht das nützlichste Verhalten. Wenn wir den Verkehr genauer untersuchen möchten, können wir ihn von TShark in eine Datei laden, die wir später überprüfen können. Verwenden Sie stattdessen diesen Befehl, um den Datenverkehr in eine Datei zu übertragen:
tshark -i # -w Dateiname
TShark zeigt Ihnen die Pakete nicht, wenn sie erfasst werden, aber sie werden gezählt, wenn sie erfasst werden. Du kannst den ... benutzen Datei -> Öffnen Option in Wireshark, um die Capture-Datei später zu öffnen.
Weitere Informationen zu den Befehlszeilenoptionen von TShark finden Sie auf dessen Manpage.
Firewall-ACL-Regeln erstellen
Wenn Sie ein Netzwerkadministrator sind, der für eine Firewall verantwortlich ist und Sie mit Wireshark herumstochern möchten, können Sie Maßnahmen ergreifen, die auf dem angezeigten Datenverkehr basieren. Möglicherweise wird auch verdächtiger Datenverkehr blockiert. Wireshark Firewall-ACL-Regeln Das Tool generiert die Befehle, die Sie zum Erstellen von Firewall-Regeln für Ihre Firewall benötigen.
Wählen Sie zunächst ein Paket aus, für das Sie eine Firewall-Regel erstellen möchten, indem Sie darauf klicken. Danach klicken Sie auf die Werkzeuge Menü und wählen Sie Firewall-ACL-Regeln.
Verwenden Sie die Produkt Menü, um Ihren Firewall-Typ auszuwählen. Wireshark unterstützt Cisco IOS, verschiedene Arten von Linux-Firewalls, einschließlich iptables, und die Windows-Firewall.
Du kannst den ... benutzen Filter In diesem Feld können Sie eine Regel erstellen, die auf der MAC-Adresse, IP-Adresse, dem Port oder sowohl der IP-Adresse als auch auf dem Port des Systems basiert. Abhängig von Ihrem Firewall-Produkt werden möglicherweise weniger Filteroptionen angezeigt.
Standardmäßig erstellt das Tool eine Regel, die eingehenden Datenverkehr ablehnt. Sie können das Verhalten der Regel ändern, indem Sie das Kontrollkästchen deaktivieren Eingehende oder Verweigern Ankreuzfelder Nachdem Sie eine Regel erstellt haben, verwenden Sie die Kopieren Klicken Sie auf die Schaltfläche, um sie zu kopieren, und führen Sie sie in Ihrer Firewall aus, um die Regel anzuwenden.
Möchten Sie, dass wir in Zukunft etwas Spezifisches über Wireshark schreiben? Teilen Sie uns in den Kommentaren mit, ob Sie Wünsche oder Ideen haben.