voor veel IT-experts is Wireshark de tool voor netwerkpakketanalyse. De open-source software stelt u in staat om de verzamelde gegevens nauwkeurig te onderzoeken en de wortel van het probleem met verbeterde nauwkeurigheid te bepalen. Verder werkt Wireshark in real-time en gebruikt kleurcodering om de vastgelegde pakketten weer te geven, onder andere handige mechanismen.
In deze tutorial zullen we uitleggen hoe pakketten te vangen, te lezen en te filteren met behulp van Wireshark. Hieronder vindt u stapsgewijze instructies en uitsplitsingen van de basisfuncties voor netwerkanalyse. Zodra u deze fundamentele stappen onder de knie hebt, kunt u de verkeersstroom van uw netwerk inspecteren en problemen met meer efficiëntie oplossen.
het analyseren van pakketten
zodra de pakketten zijn vastgelegd, organiseert Wireshark ze in een gedetailleerd pakketlijstvenster dat ongelooflijk gemakkelijk te lezen is. Als u toegang wilt krijgen tot de informatie over een enkel pakket, alles wat je hoeft te doen is het te vinden op de lijst en klik op. U kunt ook de boomstructuur verder uitbreiden om toegang te krijgen tot de details van elk protocol in het pakket.
voor een uitgebreider overzicht kunt u elk vastgelegd pakket in een apart venster weergeven. Hier is hoe:
- Selecteer het pakket uit de lijst met uw cursor en klik met de rechtermuisknop.
- Open het tabblad “View” in de werkbalk hierboven.
- selecteer “Toon pakket in nieuw venster” in het drop-down menu.
Opmerking: Het is veel gemakkelijker om de vastgelegde pakketten te vergelijken als u ze in afzonderlijke vensters brengt.
zoals gezegd, Wireshark maakt gebruik van een kleur-codering systeem voor data visualisatie. Elk pakket is gemarkeerd met een andere kleur die verschillende soorten verkeer vertegenwoordigt. Bijvoorbeeld, TCP verkeer wordt meestal gemarkeerd met blauw, terwijl zwart wordt gebruikt om pakketten met fouten aan te geven.
natuurlijk hoeft u de betekenis achter elke kleur niet te onthouden. In plaats daarvan kunt u ter plaatse controleren:
- Klik met de rechtermuisknop op het pakket dat u wilt onderzoeken.
- Selecteer de” View ” tab van de werkbalk aan de bovenkant van het scherm.
- kies “kleurregels” in het vervolgkeuzepaneel.
u ziet de optie om de kleuring naar wens aan te passen. Als u de kleurregels echter alleen tijdelijk wilt wijzigen, volgt u deze stappen:
- Klik met de rechtermuisknop op het pakket in het deelvenster pakketlijst.
- in de lijst met opties, selecteer ” inkleuren met Filter.”
- kies de kleur waarmee u het wilt labelen.
nummer
het deelvenster pakketlijst toont u het exacte aantal vastgelegde gegevensbits. Omdat de pakketten zijn georganiseerd in verschillende kolommen, is het vrij gemakkelijk te interpreteren. De standaardcategorieën zijn::
- Nee. (Aantal): zoals vermeld, kunt u het exacte aantal vastgelegde pakketten in deze kolom vinden. De cijfers blijven hetzelfde, zelfs na het filtreren van de gegevens.
- tijd: zoals je misschien al geraden hebt, wordt de tijdstempel van het pakket hier weergegeven.
- Bron: Het toont waar het pakket vandaan kwam.
- bestemming: het toont de plaats waar het pakket zal worden bewaard.
- Protocol: Het toont de naam van het protocol, meestal in een afkorting.
- lengte: het toont het aantal bytes in het gevangen pakket.
- Info: de kolom bevat alle aanvullende informatie over een bepaald pakket.
tijd
terwijl Wireshark het netwerkverkeer analyseert, wordt elk opgenomen pakket voorzien van een tijdstempel. De tijdstempels worden dan opgenomen in het deelvenster pakketlijst en beschikbaar voor latere inspectie.
Wireshark maakt de tijdstempels zelf niet aan. In plaats daarvan, de analyzer tool krijgt ze uit de npcap bibliotheek. Echter, de bron van de tijdstempel is eigenlijk de kernel. Dat is de reden waarom de nauwkeurigheid van de tijdstempel kan variëren van bestand tot bestand.
u kunt het formaat kiezen waarin de tijdstempels worden weergegeven in de pakketlijst. Daarnaast kunt u de gewenste precisie of het aantal decimalen dat wordt weergegeven instellen. Naast de standaard precisie-instelling, is er ook:
- Seconden
- Tienden van een seconde
- Honderdsten van een seconde
- Milliseconden
- Microseconden
- Nanoseconden
Bron
Zoals de naam al doet vermoeden, de bron van het pakket is de plaats van oorsprong. Als je de broncode van een Wireshark repository wilt verkrijgen, kun je deze downloaden met behulp van een Git client. De methode vereist echter dat je een GitLab-account hebt. Het is mogelijk om het te doen zonder een, maar het is beter om je aan te melden voor het geval dat.
zodra u een account hebt geregistreerd, volgt u deze stappen:
- zorg ervoor dat Git functioneel is met dit commando: “
$ git -–version.
“
- Controleer of uw e-mailadres en gebruikersnaam zijn geconfigureerd.
- maak vervolgens een kloon van de bron van het werkblad. Gebruik de SSH-URL “
$ git clone -o upstream :wireshark/wireshark.git
” om de kopie te maken. - als je geen GitLab account hebt, probeer dan de HTTPS URL: “
$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.
“
alle bronnen worden vervolgens gekopieerd naar uw apparaat. Houd in gedachten dat het klonen kan een tijdje duren, vooral als je een trage netwerkverbinding.
bestemming
als u het IP-adres van de bestemming van een bepaald pakket wilt weten, kunt u het schermfilter gebruiken om het te lokaliseren. Hier is hoe:
- voer ”
ip.addr == 8.8.8.8
“in het filtervak Wireshark in.”Dan, klik” Enter.”
- het deelvenster pakketlijst zal opnieuw worden geconfigureerd om alleen de pakketbestemming te tonen. Zoek het IP-adres waarin u geïnteresseerd bent door door de lijst te bladeren.
- als u klaar bent, selecteert u “Clear” in de werkbalk om het pakketlijstvenster opnieuw te configureren.
Protocol
een protocol is een richtlijn die de gegevensoverdracht bepaalt tussen verschillende apparaten die op hetzelfde netwerk zijn aangesloten. Elk Wireshark pakket bevat een protocol, en je kunt het naar voren brengen met behulp van het display filter. Hier is hoe:
- aan de bovenkant van het venster Wireshark, klik op het “Filter” dialoogvenster.
- Voer de naam in van het protocol dat u wilt onderzoeken. Typisch, protocol titels worden geschreven in kleine letters.
- klik op ” Enter “of” Apply ” om het weergavefilter in te schakelen.
lengte
de lengte van een Wireshark-pakket wordt bepaald door het aantal bytes in dat specifieke netwerkfragment. Dat aantal komt meestal overeen met het aantal ruwe data bytes dat onderaan het Wireshark venster staat.
als u de verdeling van lengtes wilt onderzoeken, opent u het venster “Pakketlengtes”. Alle info is verdeeld in de volgende kolommen:
- Pakketlengtes
- Aantal
- gemiddelde
- min Val / Max Val
- percentage
- burstsnelheid
- Burststart
Info
als er anomalieën of soortgelijke items zijn binnen een bepaald gevangen pakket, zal Wireshark dit noteren. De informatie wordt dan weergegeven in het deelvenster pakketlijst voor verder onderzoek. Op die manier heb je een duidelijk beeld van atypisch netwerkgedrag, wat resulteert in snellere reacties.
aanvullende Veelgestelde vragen
Hoe kan ik de pakketgegevens filteren?
filteren is een efficiënte functie waarmee u de specifieke kenmerken van een bepaalde gegevensreeks kunt bekijken. Er zijn twee soorten Wireshark-filters: vastleggen en weergeven. Capture filters zijn er om de packet capture te beperken tot specifieke eisen. Met andere woorden, u kunt ziften door verschillende soorten verkeer door het toepassen van een capture filter. Zoals de naam al doet vermoeden, laten weergavefilters je toe om een bepaald element van het pakket aan te scherpen, van pakketlengte tot protocol.
het toepassen van een filter is een vrij eenvoudig proces. U kunt de filtertitel typen in het dialoogvenster boven aan het venster Wireshark. Daarnaast zal de software meestal automatisch de naam van het filter aanvullen.
Als u de standaard Wireshark-filters Wilt doorkammen, doet u afwisselend het volgende:
1. Open het tabblad “Analyseren” in de werkbalk aan de bovenkant van het venster Wireshark.
2. Selecteer in de vervolgkeuzelijst “Filter weergeven.”
3. Blader door de lijst en klik op de lijst die u wilt toepassen.
Eindelijk, hier zijn enkele gemeenschappelijke Wireshark filters kunnen van pas komen:
• Om alleen de bron-en doel-IP-adres in, gebruik: “ip.src==IP-address and ip.dst==IP-address
“
• Om enkel de SMTP-verkeer, type: “tcp.port eq 25
“
• Voor het vastleggen van al subnet verkeer, van toepassing: “net 192.168.0.0/24
“
• Om alles vast te leggen, maar de ARP en DNS-verkeer, gebruik: “port not 53 and not arp
“
Hoe leg ik de packet-gegevens in Wireshark?
zodra u Wireshark hebt gedownload naar uw apparaat, kunt u beginnen met het monitoren van uw netwerkverbinding. Als u datapakketten wilt vastleggen voor een uitgebreide analyse, moet u het volgende doen:
1. Lanceer Wireshark. U ziet een lijst met beschikbare netwerken, dus klik op de lijst die u wilt onderzoeken. U kunt ook een capture-filter toepassen als u het type verkeer wilt lokaliseren.
2. Als u meerdere netwerken wilt inspecteren, gebruikt u de” shift + links-klik ” controle.
3. Klik vervolgens op het uiterst linkse haaienvinpictogram op de werkbalk hierboven.
4. U kunt de opname ook starten door op het tabblad “Capture” te klikken en “Start” te selecteren in de vervolgkeuzelijst.
5. Een andere manier om dit te doen is door de “Control – E” toetsaanslag te gebruiken.
als de software de gegevens grijpt, ziet u deze in real-time verschijnen in het deelvenster pakketlijst.
Shark Byte
hoewel Wireshark een zeer geavanceerde netwerkanalysator is, is het verrassend eenvoudig te interpreteren. Het deelvenster pakketlijst is zeer uitgebreid en goed georganiseerd. Alle informatie wordt verdeeld in zeven verschillende kleuren en gemarkeerd met duidelijke kleurcodes.
bovendien wordt de Opensourcesoftware geleverd met een reeks gemakkelijk toepasbare filters die de monitoring vergemakkelijken. Door een capture-filter in te schakelen, kunt u bepalen welk soort verkeer u wilt dat Wireshark analyseert. En zodra de gegevens zijn gepakt, kunt u verschillende weergavefilters toepassen voor opgegeven zoekopdrachten. Al met al is het een zeer efficiënt mechanisme dat niet al te moeilijk te beheersen is.