Für viele IT-Experten ist Wireshark das Tool für die Netzwerkpaketanalyse. Die Open-Source-Software ermöglicht es Ihnen, die gesammelten Daten genau zu untersuchen und die Wurzel des Problems mit verbesserter Genauigkeit zu bestimmen. Darüber hinaus arbeitet Wireshark in Echtzeit und verwendet unter anderem die Farbcodierung, um die erfassten Pakete anzuzeigen.
In diesem Lernprogramm wird erläutert, wie Pakete mit Wireshark erfasst, gelesen und gefiltert werden. Im Folgenden finden Sie Schritt-für-Schritt-Anleitungen und Aufschlüsselungen der grundlegenden Netzwerkanalysefunktionen. Sobald Sie diese grundlegenden Schritte beherrschen, können Sie den Verkehrsfluss Ihres Netzwerks überprüfen und Probleme effizienter beheben.
Analysieren von Paketen
Sobald die Pakete erfasst wurden, organisiert Wireshark sie in einem detaillierten Paketlistenbereich, der unglaublich einfach zu lesen ist. Wenn Sie auf die Informationen zu einem einzelnen Paket zugreifen möchten, müssen Sie es nur in der Liste suchen und klicken. Sie können den Baum auch weiter erweitern, um auf die Details jedes im Paket enthaltenen Protokolls zuzugreifen.
Für eine umfassendere Übersicht können Sie jedes erfasste Paket in einem separaten Fenster anzeigen. So geht’s:
- Wählen Sie das Paket mit dem Cursor aus der Liste aus und klicken Sie dann mit der rechten Maustaste.
- Öffnen Sie die Registerkarte „Ansicht“ in der Symbolleiste oben.
- Wählen Sie „Paket in neuem Fenster anzeigen“ aus dem Dropdown-Menü.
Hinweis: Es ist viel einfacher, die erfassten Pakete zu vergleichen, wenn Sie sie in separaten Fenstern aufrufen.
Wie bereits erwähnt, verwendet Wireshark ein Farbcodierungssystem zur Datenvisualisierung. Jedes Paket ist mit einer anderen Farbe gekennzeichnet, die verschiedene Arten von Datenverkehr darstellt. Beispielsweise wird TCP-Datenverkehr normalerweise blau hervorgehoben, während Schwarz verwendet wird, um Pakete anzuzeigen, die Fehler enthalten.
Natürlich müssen Sie sich nicht die Bedeutung hinter jeder Farbe merken. Stattdessen können Sie vor Ort überprüfen:
- Klicken Sie mit der rechten Maustaste auf das Paket, das Sie untersuchen möchten.
- Wählen Sie die Registerkarte „Ansicht“ in der Symbolleiste oben auf dem Bildschirm.
- Wählen Sie „Farbregeln“ aus dem Dropdown-Menü.
Sie sehen die Option, die Einfärbung nach Ihren Wünschen anzupassen. Wenn Sie die Farbregeln jedoch nur vorübergehend ändern möchten, gehen Sie folgendermaßen vor:
- Klicken Sie mit der rechten Maustaste auf das Paket im Bereich Paketliste.
- Wählen Sie aus der Liste der Optionen „Mit Filter einfärben“.“
- Wählen Sie die Farbe, mit der Sie es beschriften möchten.
Number
Im Bereich Paketliste wird die genaue Anzahl der erfassten Datenbits angezeigt. Da die Pakete in mehreren Spalten organisiert sind, ist es ziemlich einfach zu interpretieren. Die Standardkategorien sind:
- Nein. (Anzahl): Wie bereits erwähnt, finden Sie die genaue Anzahl der erfassten Pakete in dieser Spalte. Die Ziffern bleiben auch nach dem Filtrieren der Daten gleich.
- Zeit: Wie Sie vielleicht erraten haben, wird hier der Zeitstempel des Pakets angezeigt.
- Quelle: Zeigt an, woher das Paket stammt.
- Ziel: Zeigt den Ort an, an dem das Paket aufbewahrt wird.
- Protokoll: Es zeigt den Namen des Protokolls, in der Regel in einer Abkürzung.
- Länge: Zeigt die Anzahl der Bytes an, die im erfassten Paket enthalten sind.
- Info: Die Spalte enthält alle zusätzlichen Informationen zu einem bestimmten Paket.
Zeit
Während Wireshark den Netzwerkverkehr analysiert, wird jedes erfasste Paket mit einem Zeitstempel versehen. Die Zeitstempel werden dann in den Paketlistenbereich aufgenommen und stehen für eine spätere Überprüfung zur Verfügung.
Wireshark erstellt die Zeitstempel nicht selbst. Stattdessen ruft das Analyzer-Tool sie aus der Npcap-Bibliothek ab. Die Quelle des Zeitstempels ist jedoch tatsächlich der Kernel. Aus diesem Grund kann die Genauigkeit des Zeitstempels von Datei zu Datei variieren.
Sie können das Format wählen, in dem die Zeitstempel in der Paketliste angezeigt werden. Darüber hinaus können Sie die bevorzugte Genauigkeit oder die Anzahl der angezeigten Dezimalstellen festlegen. Neben der Standard-Präzisionseinstellung gibt es auch:
- Sekunden
- Zehntelsekunden
- Hundertstel Sekunden
- Millisekunden
- Mikrosekunden
- Nanosekunden
Quelle
Wie der Name schon sagt, ist die Quelle des Pakets der Ursprungsort. Wenn Sie den Quellcode eines Wireshark-Repositorys erhalten möchten, können Sie ihn mithilfe eines Git-Clients herunterladen. Für die Methode müssen Sie jedoch über ein GitLab-Konto verfügen. Es ist möglich, es ohne einen zu tun, aber es ist besser, sich nur für den Fall anzumelden.
Sobald Sie ein Konto registriert haben, gehen Sie folgendermaßen vor:
- Stellen Sie mit diesem Befehl sicher, dass Git funktionsfähig ist: „
$ git -–version.
„
- Überprüfen Sie, ob Ihre E-Mail-Adresse und Ihr Benutzername konfiguriert sind.
- Erstellen Sie als Nächstes einen Klon der Workshark-Quelle. Verwenden Sie die SSH-URL „
$ git clone -o upstream :wireshark/wireshark.git
„, um die Kopie zu erstellen. - Wenn Sie kein GitLab-Konto haben, versuchen Sie es mit der HTTPS-URL: „
$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.
„
Alle Quellen werden anschließend auf Ihr Gerät kopiert. Beachten Sie, dass das Klonen eine Weile dauern kann, insbesondere wenn Sie eine langsame Netzwerkverbindung haben.
Ziel
Wenn Sie die IP-Adresse des Ziels eines bestimmten Pakets kennen möchten, können Sie den Anzeigefilter verwenden, um es zu lokalisieren. So geht’s:
- Geben Sie „
ip.addr == 8.8.8.8
“ in das Wireshark-Filterfeld ein.“ Klicken Sie dann auf „Enter „.“
- Der Bereich Paketliste wird nur neu konfiguriert, um das Paketziel anzuzeigen. Suchen Sie die IP-Adresse, an der Sie interessiert sind, indem Sie durch die Liste scrollen.
- Wenn Sie fertig sind, wählen Sie „Löschen“ in der Symbolleiste, um den Paketlistenbereich neu zu konfigurieren.
Protokoll
Ein Protokoll ist eine Richtlinie, die die Datenübertragung zwischen verschiedenen Geräten bestimmt, die mit demselben Netzwerk verbunden sind. Jedes Wireshark-Paket enthält ein Protokoll, das Sie mithilfe des Anzeigefilters aufrufen können. So geht’s:
- Klicken Sie oben im Wireshark-Fenster auf das Dialogfeld „Filter“.
- Geben Sie den Namen des Protokolls ein, das Sie untersuchen möchten. In der Regel werden Protokolltitel in Kleinbuchstaben geschrieben.
- Klicken Sie auf „Enter“ oder „Apply“, um den Anzeigefilter zu aktivieren.
Length
Die Länge eines Wireshark-Pakets wird durch die Anzahl der Bytes bestimmt, die in diesem bestimmten Netzwerk-Snippet erfasst werden. Diese Zahl entspricht normalerweise der Anzahl der Rohdatenbytes, die am unteren Rand des Wireshark-Fensters aufgeführt sind.
Wenn Sie die Längenverteilung untersuchen möchten, öffnen Sie das Fenster „Paketlängen“. Alle Informationen sind in die folgenden Spalten unterteilt:
- Paketlängen
- Anzahl
- Durchschnitt
- Min Val/Max Val
- Rate
- Prozent
- Burst-Rate
- Burst-Start
Info
Wenn Anomalien oder ähnliche Elemente in einem bestimmten erfassten Paket vorhanden sind, wird Wireshark dies notieren. Die Informationen werden dann zur weiteren Prüfung im Paketlistenbereich angezeigt. Auf diese Weise haben Sie ein klares Bild von atypischem Netzwerkverhalten, was zu schnelleren Reaktionen führt.
Weitere FAQs
Wie kann ich die Paketdaten filtern?
Das Filtern ist eine effiziente Funktion, mit der Sie die Besonderheiten einer bestimmten Datensequenz untersuchen können. Es gibt zwei Arten von Wireshark-Filtern: Erfassen und Anzeigen. Erfassungsfilter schränken die Paketerfassung auf bestimmte Anforderungen ein. Mit anderen Worten, Sie können verschiedene Arten von Datenverkehr durchsuchen, indem Sie einen Erfassungsfilter anwenden. Wie der Name schon sagt, können Sie mit Anzeigefiltern ein bestimmtes Element des Pakets von der Paketlänge bis zum Protokoll verfeinern.
Das Anwenden eines Filters ist ein ziemlich einfacher Vorgang. Sie können den Filtertitel in das Dialogfeld oben im Wireshark-Fenster eingeben. Darüber hinaus vervollständigt die Software den Namen des Filters normalerweise automatisch.
Wenn Sie alternativ die Standard-Wireshark-Filter durchkämmen möchten, gehen Sie wie folgt vor:
1. Öffnen Sie die Registerkarte „Analysieren“ in der Symbolleiste oben im Wireshark-Fenster.
2. Wählen Sie in der Dropdown-Liste „Filter anzeigen“.“
3. Blättern Sie durch die Liste und klicken Sie auf die, die Sie anwenden möchten.
Schließlich sind hier einige gängige Wireshark-Filter, die nützlich sein können:
• Um nur die Quell- und Ziel-IP-Adresse anzuzeigen, verwenden Sie: „ip.src==IP-address and ip.dst==IP-address
„
• Um nur SMTP-Datenverkehr anzuzeigen, geben Sie Folgendes ein: „tcp.port eq 25
„
• Um den gesamten Subnetzverkehr zu erfassen, wenden Sie Folgendes an: „net 192.168.0.0/24
„
• Um alles außer dem ARP- und DNS-Datenverkehr zu erfassen, verwenden Sie: „port not 53 and not arp
„
Wie erfasse ich die Paketdaten in Wireshark?
Sobald Sie Wireshark auf Ihr Gerät heruntergeladen haben, können Sie mit der Überwachung Ihrer Netzwerkverbindung beginnen. Um Datenpakete für eine umfassende Analyse zu erfassen, müssen Sie Folgendes tun:
1. Starten Sie Wireshark. Sie sehen eine Liste der verfügbaren Netzwerke, klicken Sie also auf das Netzwerk, das Sie untersuchen möchten. Sie können auch einen Erfassungsfilter anwenden, wenn Sie die Art des Datenverkehrs genau bestimmen möchten.
2. Wenn Sie mehrere Netzwerke überprüfen möchten, verwenden Sie das Steuerelement „Umschalt + Linksklick“.
3. Klicken Sie anschließend auf das Haifischflossensymbol ganz links in der Symbolleiste oben.
4. Sie können die Erfassung auch starten, indem Sie auf die Registerkarte „Erfassung“ klicken und „Start“ aus der Dropdown-Liste auswählen.
5. Eine andere Möglichkeit besteht darin, den Tastendruck „Control – E“ zu verwenden.
Wenn die Software die Daten erfasst, werden sie in Echtzeit im Paketlistenbereich angezeigt.
Shark Byte
Wireshark ist zwar ein hochentwickelter Netzwerkanalysator, aber überraschend einfach zu interpretieren. Der Paketlistenbereich ist äußerst umfassend und gut organisiert. Alle Informationen sind in sieben verschiedenen Farben verteilt und mit klaren Farbcodes gekennzeichnet.
Darüber hinaus verfügt die Open-Source-Software über eine Reihe leicht anwendbarer Filter, die die Überwachung erleichtern. Durch Aktivieren eines Erfassungsfilters können Sie genau bestimmen, welche Art von Datenverkehr Wireshark analysieren soll. Sobald die Daten erfasst sind, können Sie mehrere Anzeigefilter für bestimmte Suchvorgänge anwenden. Alles in allem ist es ein hocheffizienter Mechanismus, der nicht allzu schwer zu meistern ist.