Verwendung von Wireshark zum Erfassen, Filtern und Überprüfen von Paketen

Wireshark, ein Netzwerkanalyse-Tool, das früher als Ethereal bezeichnet wurde, erfasst Pakete in Echtzeit und zeigt sie in einem für Menschen lesbaren Format an. Wireshark enthält Filter, Farbkodierungen und andere Funktionen, mit denen Sie tief in den Netzwerkverkehr eingreifen und einzelne Pakete untersuchen können.

In diesem Lernprogramm werden Sie mit den Grundlagen zum Erfassen, Filtern und Untersuchen von Paketen vertraut gemacht. Sie können Wireshark verwenden, um den Netzwerkverkehr eines verdächtigen Programms zu überprüfen, den Verkehrsfluss in Ihrem Netzwerk zu analysieren oder Netzwerkprobleme zu beheben.

Wireshark bekommen

Sie können Wireshark für Windows oder macOS von der offiziellen Website herunterladen. Wenn Sie Linux oder ein anderes UNIX-ähnliches System verwenden, finden Sie Wireshark wahrscheinlich in den Paket-Repositorys. Wenn Sie beispielsweise Ubuntu verwenden, finden Sie Wireshark im Ubuntu Software Center.

Nur eine kurze Warnung: Viele Organisationen lassen keine Wireshark und ähnliche Tools in ihren Netzwerken zu. Verwenden Sie dieses Tool nicht bei der Arbeit, wenn Sie keine Erlaubnis haben.

Pakete erfassen

Nach dem Herunterladen und Installieren von Wireshark können Sie es starten und unter Capture auf den Namen einer Netzwerkschnittstelle doppelklicken, um Pakete auf dieser Schnittstelle zu erfassen. Wenn Sie beispielsweise Datenverkehr in Ihrem drahtlosen Netzwerk erfassen möchten, klicken Sie auf Ihre drahtlose Schnittstelle. Sie können erweiterte Funktionen konfigurieren, indem Sie auf Aufnahme> Optionen klicken. Dies ist jedoch vorerst nicht erforderlich.

Sobald Sie auf den Namen der Schnittstelle klicken, werden die Pakete in Echtzeit angezeigt. Wireshark erfasst jedes an oder von Ihrem System gesendete Paket.

Wenn Sie den Promiscuous-Modus aktiviert haben (standardmäßig aktiviert), werden auch alle anderen Pakete im Netzwerk angezeigt, anstatt nur an Ihren Netzwerkadapter adressierte Pakete. Um zu prüfen, ob der Promiscuous-Modus aktiviert ist, klicken Sie auf Erfassen> Optionen, und stellen Sie sicher, dass das Kontrollkästchen "Promiscuous-Modus für alle Schnittstellen aktivieren" im unteren Bereich dieses Fensters aktiviert ist.

Klicken Sie auf die rote Schaltfläche "Stop" in der oberen linken Ecke des Fensters, wenn Sie die Erfassung des Verkehrs stoppen möchten.

Farbcodierung

Sie sehen wahrscheinlich Pakete, die in verschiedenen Farben hervorgehoben sind. Wireshark verwendet Farben, um die Arten des Verkehrs auf einen Blick zu erkennen. Standardmäßig ist hellviolett TCP-Datenverkehr, hellblau ist UDP-Datenverkehr, und Schwarz kennzeichnet Pakete mit Fehlern. Beispielsweise könnten sie falsch geliefert worden sein.

Um genau zu sehen, was die Farbcodes bedeuten, klicken Sie auf Ansicht> Farbregeln. Sie können hier auch die Farbregeln anpassen und ändern, wenn Sie möchten.

Beispielaufnahmen

Wenn es in Ihrem eigenen Netzwerk nichts Interessantes gibt, das Sie prüfen können, haben Sie mit dem Wiki von Wireshark überarbeitet. Das Wiki enthält eine Seite mit Beispielaufnahmedateien, die Sie laden und untersuchen können. Klicken Sie auf Datei> In Wireshark öffnen und suchen Sie nach der heruntergeladenen Datei, um sie zu öffnen.

Sie können auch Ihre eigenen Aufnahmen in Wireshark speichern und später öffnen. Klicken Sie auf Datei> Speichern, um die erfassten Pakete zu speichern.

Pakete filtern

Wenn Sie etwas Bestimmtes überprüfen möchten, beispielsweise den Datenverkehr, den ein Programm sendet, wenn Sie von zu Hause aus telefonieren, können Sie alle anderen Anwendungen, die das Netzwerk verwenden, schließen, um den Datenverkehr einzuschränken. Trotzdem müssen Sie wahrscheinlich eine große Anzahl von Paketen durchsehen. Hier kommen die Filter von Wireshark ins Spiel.

Die einfachste Methode zum Anwenden eines Filters besteht darin, dass Sie ihn in das Filterfeld oben im Fenster eingeben und auf Übernehmen klicken (oder die Eingabetaste drücken). Geben Sie zum Beispiel "dns" ein und es werden nur DNS-Pakete angezeigt. Wenn Sie mit der Eingabe beginnen, hilft Wireshark Ihnen bei der automatischen Vervollständigung Ihres Filters.

Sie können auch auf Analysieren> Anzeigefilter klicken, um einen Filter aus den in Wireshark enthaltenen Standardfiltern auszuwählen. Von hier aus können Sie Ihre eigenen benutzerdefinierten Filter hinzufügen und speichern, um in Zukunft leicht darauf zugreifen zu können.

Weitere Informationen zur Anzeigefilterungssprache von Wireshark finden Sie in der offiziellen Dokumentation zu Wireshark auf der Seite zum Erstellen von Darstellungsfilterausdrücken.

Eine weitere interessante Sache ist, dass Sie mit der rechten Maustaste auf ein Paket klicken und Follow> TCP Stream wählen.

Sie sehen die vollständige TCP-Konversation zwischen Client und Server. Sie können auch auf andere Protokolle im Menü "Folgen" klicken, um ggf. die vollständigen Konversationen für andere Protokolle anzuzeigen.

Schließen Sie das Fenster und Sie werden feststellen, dass ein Filter automatisch angewendet wurde. Wireshark zeigt Ihnen die Pakete, aus denen das Gespräch besteht.

Pakete überprüfen

Klicken Sie auf ein Paket, um es auszuwählen, und Sie können nach Details suchen.

Sie können hier auch Filter erstellen. Klicken Sie einfach mit der rechten Maustaste auf eines der Details und verwenden Sie das Untermenü Als Filter anwenden, um einen darauf basierenden Filter zu erstellen.

Wireshark ist ein extrem leistungsfähiges Werkzeug, und dieses Tutorial zerkratzt nur die Oberfläche dessen, was Sie damit machen können. Fachleute verwenden es, um Netzwerkprotokollimplementierungen zu debuggen, Sicherheitsprobleme zu untersuchen und Netzwerkprotokolle zu überprüfen.

Ausführliche Informationen finden Sie im offiziellen Wireshark Benutzerhandbuch und den anderen Dokumentationsseiten auf der Website von Wireshark.