Verwendung von Wireshark: Ein vollständiges Tutorial

Erfassen und betrachten Sie die Daten in Ihrem Netzwerk

Wireshark ist eine kostenlose Anwendung, mit der Sie Daten erfassen und anzeigen können, die in Ihrem Netzwerk hin und her wandern. Es bietet die Möglichkeit, den Inhalt jedes Pakets aufzuspüren und zu lesen und wird gefiltert, um Ihre spezifischen Anforderungen zu erfüllen. Es wird häufig zur Behebung von Netzwerkproblemen und zum Entwickeln und Testen von Software verwendet. Dieser Open-Source-Protokollanalysator ist weithin als Industriestandard anerkannt und hat im Laufe der Jahre zahlreiche Auszeichnungen erhalten.

Ursprünglich als Ethereal bekannt, verfügt Wireshark über eine benutzerfreundliche Oberfläche, die Daten von Hunderten verschiedener Protokolle in allen wichtigen Netzwerktypen anzeigen kann. Datenpakete können in Echtzeit angezeigt oder offline analysiert werden. Wireshark unterstützt Dutzende von Capture / Trace-Dateiformaten, einschließlich CAP und ERF. Mit den integrierten Entschlüsselungstools können Sie verschlüsselte Pakete für verschiedene gängige Protokolle anzeigen, einschließlich WEP und WPA / WPA2.

Wireshark herunterladen und installieren

Wireshark kann kostenlos von der Wireshark Foundation-Website für MacOS- und Windows-Betriebssysteme heruntergeladen werden. Sofern Sie kein fortgeschrittener Benutzer sind, wird empfohlen, nur die neueste stabile Version herunterzuladen. Während des Windows-Installationsvorgangs sollten Sie WinPcap installieren, wenn Sie dazu aufgefordert werden, da es eine Bibliothek enthält, die für die Live-Datenerfassung erforderlich ist.

Die Anwendung ist auch für Linux und die meisten anderen UNIX-ähnlichen Plattformen verfügbar, einschließlich Red Hat, Solaris und FreeBSD. Die für diese Betriebssysteme erforderlichen Binärdateien finden Sie unten auf der Downloadseite im Abschnitt Pakete von Drittanbietern. Sie können den Quellcode von Wireshark auch von dieser Seite herunterladen.

So erfassen Sie Datenpakete

Wenn Sie Wireshark zum ersten Mal starten, wird ein Begrüßungsbildschirm mit einer Liste der verfügbaren Netzwerkverbindungen auf Ihrem aktuellen Gerät angezeigt. In diesem Beispiel werden die folgenden Verbindungstypen angezeigt: Bluetooth-Netzwerkverbindung, Ethernet, Nur-Host-Netzwerk der VirtualBox und Wi-Fi. Rechts von jedem wird ein EKG-Liniendiagramm angezeigt, das den Live-Verkehr in dem jeweiligen Netzwerk darstellt.

Um mit der Erfassung von Paketen zu beginnen, wählen Sie eines oder mehrere der Netzwerke aus, indem Sie auf Ihre Auswahl klicken und die Umschalt- oder Strg- Taste verwenden, wenn Sie Daten aus mehreren Netzwerken gleichzeitig aufzeichnen möchten. Nachdem ein Verbindungstyp für Erfassungszwecke ausgewählt wurde, ist sein Hintergrund entweder blau oder grau schattiert. Klicken Sie im Hauptmenü oben in der Wireshark-Oberfläche auf Capture . Wenn das Dropdown-Menü angezeigt wird, wählen Sie die Option Start .

Sie können die Paketerfassung auch über eine der folgenden Verknüpfungen starten.

  • Tastatur: Drücken Sie Strg + E.
  • Maus: Um Pakete von einem bestimmten Netzwerk zu erfassen, doppelklicken Sie auf dessen Namen.
  • Symbolleiste: Klicken Sie auf die Schaltfläche „Blue Shark Fin“ ganz links in der Wireshark-Symbolleiste.

Der Live-Erfassungsprozess beginnt und Wireshark zeigt die Paketdetails an, während sie aufgezeichnet werden. So beenden Sie die Erfassung:

  • Tastatur: Drücken Sie Strg + E
  • Symbolleiste : Klicken Sie in der Wireshark-Symbolleiste auf die rote Schaltfläche Stopp neben der Haiflossen.

Paketinhalte anzeigen und analysieren

Nachdem Sie einige Netzwerkdaten aufgezeichnet haben, ist es Zeit, sich die erfassten Pakete anzusehen. Die Schnittstelle für erfasste Daten enthält drei Hauptabschnitte: den Paketlistenbereich, den Paketdetailsbereich und den Paketbytebereich.

Paketliste

Im Paketlistenbereich oben im Fenster werden alle in der aktiven Erfassungsdatei gefundenen Pakete angezeigt. Jedem Paket ist eine eigene Zeile und eine entsprechende Nummer zugeordnet, zusammen mit jedem dieser Datenpunkte.

  • Zeit: In dieser Spalte wird der Zeitstempel angezeigt, zu dem das Paket erfasst wurde. Das Standardformat ist die Anzahl der Sekunden oder Teilsekunden seit der ersten Erstellung dieser bestimmten Erfassungsdatei. Um dieses Format auf etwas zu ändern, das möglicherweise nützlicher ist, z. B. die tatsächliche Uhrzeit, wählen Sie die Option Zeitanzeigeformat im Menü Ansicht von Wireshark oben auf der Hauptoberfläche.
  • Quelle: Diese Spalte enthält die Adresse (IP oder andere), von der das Paket stammt.
  • Ziel: Diese Spalte enthält die Adresse, an die das Paket gesendet wird.
  • Protokoll: In dieser Spalte finden Sie den Protokollnamen des Pakets, z. B. TCP.
  • Länge: In dieser Spalte wird die Paketlänge in Byte angezeigt.
  • Info: Weitere Details zum Paket finden Sie hier. Der Inhalt dieser Spalte kann je nach Paketinhalt stark variieren.

Wenn im oberen Bereich ein Paket ausgewählt ist, werden in der ersten Spalte möglicherweise ein oder mehrere Symbole angezeigt. Offene oder geschlossene Klammern und eine gerade horizontale Linie geben an, ob ein Paket oder eine Gruppe von Paketen Teil derselben Hin- und Her-Konversation im Netzwerk sind. Eine unterbrochene horizontale Linie zeigt an, dass ein Paket nicht Teil der Konversation ist.

Paketdetails

Der Detailbereich in der Mitte zeigt die Protokolle und Protokollfelder des ausgewählten Pakets in einem reduzierbaren Format an. Zusätzlich zum Erweitern jeder Auswahl können Sie einzelne Wireshark-Filter basierend auf bestimmten Details anwenden und Datenströme basierend auf dem Protokolltyp über das Detailkontextmenü verfolgen, auf das Sie zugreifen können, indem Sie mit der rechten Maustaste auf das gewünschte Element in diesem Bereich klicken.

Paket-Bytes

Unten befindet sich das Paketbyte-Fenster, in dem die Rohdaten des ausgewählten Pakets in einer hexadezimalen Ansicht angezeigt werden. Dieser hexadezimale Speicherauszug enthält neben dem Datenoffset 16 hexadezimale Bytes und 16 ASCII-Bytes.

Wenn Sie einen bestimmten Teil dieser Daten auswählen, wird der entsprechende Abschnitt im Paketdetailbereich automatisch hervorgehoben und umgekehrt. Alle Bytes, die nicht gedruckt werden können, werden stattdessen durch einen Punkt dargestellt.

Sie können diese Daten im Bitformat anstatt hexadezimal anzeigen, indem Sie mit der rechten Maustaste auf eine beliebige Stelle im Bereich klicken und die entsprechende Option aus dem Kontextmenü auswählen.

Verwenden von Wireshark-Filtern

Eine der wichtigsten Funktionen von Wireshark ist die Filterfunktion, insbesondere bei Dateien mit erheblicher Größe. Capture-Filter können vorab festgelegt werden, um Wireshark anzuweisen, nur die Pakete aufzuzeichnen, die den angegebenen Kriterien entsprechen.

Filter können auch auf eine bereits erstellte Erfassungsdatei angewendet werden, sodass nur bestimmte Pakete angezeigt werden. Diese werden als Anzeigefilter bezeichnet.

Wireshark bietet standardmäßig eine große Anzahl vordefinierter Filter, mit denen Sie die Anzahl der sichtbaren Pakete mit nur wenigen Tastenanschlägen oder Mausklicks eingrenzen können. Um einen dieser vorhandenen Filter zu verwenden, geben Sie seinen Namen in das Feld Anwenden eines Anzeigefiltereingabefelds direkt unter der Wireshark-Symbolleiste oder in das Feld Geben Sie einen Erfassungsfilter ein in der Mitte des Begrüßungsbildschirms ein.

Es gibt mehrere Möglichkeiten, dies zu erreichen. Wenn Sie den Namen Ihres Filters bereits kennen, geben Sie ihn in das entsprechende Feld ein. Wenn Sie beispielsweise nur TCP-Pakete anzeigen möchten, geben Sie tcp ein . Die Autocompleting-Funktion von Wireshark zeigt bereits zu Beginn der Eingabe die vorgeschlagenen Namen an, damit Sie den richtigen Moniker für den gesuchten Filter leichter finden.

Sie können einen Filter auch auswählen, indem Sie auf das lesezeichenartige Symbol links neben dem Eingabefeld klicken. Daraufhin wird ein Menü mit einigen der am häufigsten verwendeten Filter sowie eine Option zum Verwalten von Erfassungsfiltern oder zum Verwalten von Anzeigefiltern angezeigt . Wenn Sie einen der beiden Typen verwalten, wird eine Oberfläche angezeigt, über die Sie Filter hinzufügen, entfernen oder bearbeiten können.

Sie können auch auf zuvor verwendete Filter zugreifen, indem Sie auf den Abwärtspfeil rechts neben dem Eingabefeld klicken, um eine Verlaufs-Dropdown-Liste anzuzeigen.

Einmal eingestellt, werden Aufnahmefilter angewendet, sobald Sie mit der Aufzeichnung des Netzwerkverkehrs beginnen. Um einen Anzeigefilter anzuwenden, klicken Sie auf den Rechtspfeil ganz rechts im Eingabefeld.

Farbregeln

Mit den Erfassungs- und Anzeigefiltern von Wireshark können Sie einschränken, welche Pakete auf dem Bildschirm aufgezeichnet oder angezeigt werden. Die Farbfunktionalität macht es jedoch noch einfacher, verschiedene Pakettypen anhand ihres individuellen Farbtons zu unterscheiden. Mit dieser praktischen Funktion können Sie bestimmte Pakete innerhalb eines gespeicherten Satzes anhand ihrer Zeilenfarbe im Paketlistenbereich schnell lokalisieren.

In Wireshark sind ca. 20 Standard-Farbregeln integriert, die bei Bedarf bearbeitet, deaktiviert oder gelöscht werden können. Sie können auch neue schattenbasierte Filter über die Benutzeroberfläche für Farbregeln hinzufügen, auf die Sie über das Menü Ansicht zugreifen können. Zusätzlich zum Definieren eines Namens und von Filterkriterien für jede Regel werden Sie aufgefordert, sowohl eine Hintergrundfarbe als auch eine Textfarbe zuzuordnen.

Die Paketfärbung kann über die Option " Paketliste einfärben" , die sich auch im Menü " Ansicht" befindet, ein- und ausgeschaltet werden.

Statistiken

Zusätzlich zu den detaillierten Informationen zu den Daten Ihres Netzwerks, die im Hauptfenster von Wireshark angezeigt werden, stehen über das Dropdown-Menü " Statistik" oben auf dem Bildschirm einige weitere nützliche Messdaten zur Verfügung. Dazu gehören Größen- und Zeitinformationen zur Erfassungsdatei selbst sowie Dutzende von Diagrammen und Diagrammen, die thematisch von Paketunterbrechungen bis zur Lastverteilung von HTTP-Anforderungen reichen.

Anzeigefilter können über ihre Schnittstellen auf viele dieser Statistiken angewendet werden, und die Ergebnisse können in verschiedene gängige Dateiformate wie CSV, XML und TXT exportiert werden.

Erweiterte Funktionen

Zusätzlich zu den Hauptfunktionen von Wireshark steht in diesem leistungsstarken Tool eine Reihe zusätzlicher Funktionen zur Verfügung, die normalerweise fortgeschrittenen Benutzern vorbehalten sind. Dies beinhaltet die Möglichkeit, eigene Protokoll-Dissektoren in der Programmiersprache Lua zu schreiben.