Wireshark ist der führende Netzwerkprotokollanalysator, der von Sicherheitsexperten auf der ganzen Welt eingesetzt wird. Sie können damit Anomalien in Computernetzwerken erkennen und die zugrunde liegenden Ursachen ermitteln. In den folgenden Abschnitten wird die Verwendung von Wireshark demonstriert.

Wie funktioniert es? Und wie verwenden Sie Wireshark tatsächlich, um Datenpakete zu erfassen?

Wie funktioniert Wireshark?

Wiresharks robuster Funktionsumfang hat es zu einem der beste Tools zur Behebung von Netzwerkproblemen. Viele Benutzer verwenden Wireshark, einschließlich Netzwerkadministratoren, Sicherheitsprüfern, Malware-Analysten und sogar Angreifern.

7 Beste Tools zur Behebung von Netzwerkproblemen

Haben Sie ein Netzwerkproblem? Oder möchten Sie einfach mehr über Ihr Heimnetzwerk erfahren? Mit diesen sieben Tools können Sie Ihr Netzwerk analysieren und Fehler beheben.

Sie können damit eingehende Inspektionen von aktiven oder gespeicherten Netzwerkpaketen durchführen. Wenn Sie Wireshark verwenden, werden Sie von der Menge an Informationen fasziniert sein, die es bieten kann. Zu viele Informationen machen es jedoch oft schwierig, auf dem richtigen Weg zu bleiben.

instagram viewer

Glücklicherweise können wir dies durch die erweiterten Filterfunktionen von Wireshark abmildern. Wir werden sie später ausführlich besprechen. Der Workflow besteht aus der Erfassung von Netzwerkpaketen und dem Herausfiltern der erforderlichen Informationen.

Verwendung von Wireshark für die Paketerfassung

Sobald Sie Wireshark starten, werden die mit Ihrem System verbundenen Netzwerkschnittstellen angezeigt. Neben jeder Schnittstelle sollten Sie Kurven bemerken, die die Netzwerkkommunikation darstellen.

Jetzt müssen Sie eine bestimmte Schnittstelle auswählen, bevor Sie mit der Erfassung von Paketen beginnen können. Wählen Sie dazu den Schnittstellennamen und klicken Sie auf das Blau Haifischflosse Symbol. Sie können dies auch tun, indem Sie auf den Namen der Schnittstelle doppelklicken.

Wireshark beginnt mit der Erfassung der eingehenden und ausgehenden Pakete für die ausgewählte Schnittstelle. Klicken Sie auf das Rot Pause Symbol zum Anhalten der Erfassung. Sie sollten eine Liste der Netzwerkpakete sehen, die während dieses Vorgangs aufgenommen wurden.

Wireshark zeigt die Quelle und das Ziel für jedes Paket neben dem Protokoll an. Meistens interessieren Sie sich jedoch für den Inhalt des Informationsfeldes.

Sie können einzelne Pakete überprüfen, indem Sie darauf klicken. Auf diese Weise können Sie die gesamten Paketdaten anzeigen.

So speichern Sie erfasste Pakete in Wireshark

Da Wireshark viel Verkehr erfasst, möchten Sie ihn manchmal für eine spätere Überprüfung speichern. Glücklicherweise ist das Speichern erfasster Pakete mit Wireshark mühelos.

Beenden Sie die aktive Sitzung, um Pakete zu speichern. Dann klicken Sie auf Datei Symbol im oberen Menü. Sie können auch verwenden Strg + S. um dies zu tun.

Wireshark kann Pakete in verschiedenen Formaten speichern, einschließlich pcapng, pcap und dmp. Sie können erfasste Pakete auch in einem anderen Format speichern Netzwerkanalyse-Tools kann später verwenden.

So analysieren Sie erfasste Pakete

Sie können zuvor erfasste Pakete analysieren, indem Sie die Erfassungsdatei öffnen. Klicken Sie im Hauptfenster auf Datei> Öffnen und wählen Sie dann die entsprechende gespeicherte Datei aus.

Sie können auch verwenden Strg + O. um dies schnell zu tun. Wenn Sie die Pakete analysiert haben, verlassen Sie das Inspektionsfenster, indem Sie auf gehen Datei> Schließen.

Verwendung von Wireshark-Filtern

Wireshark bietet eine Vielzahl robuster Filterfunktionen. Es gibt zwei Arten von Filtern: Anzeigefilter und Erfassungsfilter.

Verwenden von Wireshark-Anzeigefiltern

Anzeigefilter werden zum Anzeigen bestimmter Pakete aus allen erfassten Paketen verwendet. Zum Beispiel können wir den Anzeigefilter verwenden icmp um alle ICMP-Datenpakete anzuzeigen.

Sie können aus einer Vielzahl von Filtern auswählen. Darüber hinaus können Sie auch benutzerdefinierte Filterregeln für einfache Aufgaben definieren. Um personalisierte Filter hinzuzufügen, gehen Sie zu Analysieren> Filter anzeigen. Klicke auf das + Symbol, um einen neuen Filter hinzuzufügen.

Verwenden von Wireshark Capture-Filtern

Erfassungsfilter werden verwendet, um anzugeben, welche Pakete während einer Wireshark-Sitzung erfasst werden sollen. Es werden deutlich weniger Pakete als bei Standardaufnahmen erzeugt. Sie können sie in Situationen verwenden, in denen Sie bestimmte Informationen zu bestimmten Paketen benötigen.

Geben Sie Ihren Erfassungsfilter in das Feld direkt über der Schnittstellenliste im Hauptfenster ein. Wählen Sie den Schnittstellennamen aus der Liste aus und geben Sie den Filternamen in das obige Feld ein.

Klicken Sie auf das Blau Haifischflosse Symbol zum Starten der Paketerfassung. Das folgende Beispiel verwendet die arp Filter, um nur ARP-Transaktionen zu erfassen.

Verwenden von Wireshark-Farbregeln

Wireshark bietet verschiedene Farbregeln, die zuvor als Farbfilter bezeichnet wurden. Dies ist eine großartige Funktion bei der Analyse des umfangreichen Netzwerkverkehrs. Sie können sie auch nach Ihren Wünschen anpassen.

Um die aktuellen Farbregeln anzuzeigen, gehen Sie zu Ansicht> Farbregeln. Hier finden Sie die Standardfarbregeln für Ihre Installation.

Sie können sie beliebig ändern. Außerdem können Sie die Farbregeln anderer Personen verwenden, indem Sie die Konfigurationsdatei importieren.

Laden Sie die Datei mit den benutzerdefinierten Regeln herunter und importieren Sie sie durch Auswahl Ansicht> Farbregeln> Importieren. Sie können Regeln auf ähnliche Weise exportieren.

Wireshark in Aktion

Bisher haben wir einige der Kernfunktionen von Wireshark erörtert. Lassen Sie uns einige praktische Operationen durchführen, um zu demonstrieren, wie sich diese integrieren.

Für diese Demonstration haben wir einen einfachen Go-Server erstellt. Für jede Anforderung wird eine einfache Textnachricht zurückgegeben. Sobald der Server ausgeführt wird, stellen wir einige HTTP-Anforderungen und erfassen den Live-Verkehr. Beachten Sie, dass wir den Server auf dem lokalen Host ausführen.

Zunächst initiieren wir die Paketerfassung durch Doppelklick auf die Loopback-Schnittstelle (localhost). Der nächste Schritt besteht darin, unseren lokalen Server zu starten und eine GET-Anfrage zu senden. Wir verwenden dazu Curl.

Wireshark erfasst während dieser Konversation alle eingehenden und ausgehenden Pakete. Wir möchten die von unserem Server gesendeten Daten anzeigen, daher verwenden wir die http.response Anzeigefilter zum Anzeigen der Antwortpakete.

Jetzt versteckt Wireshark alle anderen erfassten Pakete und zeigt nur die Antwortpakete an. Wenn Sie sich die Paketdetails genau ansehen, sollten Sie die von unserem Server gesendeten Klartextdaten beachten.

Nützliche Wireshark-Befehle

Sie können auch verschiedene Wireshark-Befehle verwenden, um die Software von Ihrem Linux-Terminal aus zu steuern. Hier sind einige grundlegende Wireshark-Befehle:

  • Wireshark startet Wireshark im grafischen Modus.
  • Wireshark -h Zeigt die verfügbaren Befehlszeilenoptionen an.
  • Wireshark -i SCHNITTSTELLE wählt INTERFACE als Erfassungsschnittstelle aus.

Tshark ist die Befehlszeilenalternative für Wireshark. Es unterstützt alle wesentlichen Funktionen und ist äußerst effizient.

Analysieren Sie die Netzwerksicherheit mit Wireshark

Dank des umfangreichen Funktionsumfangs und der erweiterten Filterregeln von Wireshark ist die Paketanalyse produktiv und unkompliziert. Sie können damit alle Arten von Informationen über Ihr Netzwerk finden. Probieren Sie die grundlegendsten Funktionen aus, um zu erfahren, wie Sie Wireshark für die Paketanalyse verwenden.

Wireshark steht zum Download zur Verfügung auf Geräten unter Windows, MacOS und Linux.

Email
So verwandeln Sie Ihren Raspberry Pi in ein Netzwerküberwachungstool

Möchten Sie Ihr Netzwerk oder Ihre Remote-Geräte überwachen? So verwandeln Sie Ihren Raspberry Pi mithilfe von Nagios in ein Netzwerküberwachungstool.

Verwandte Themen
  • Linux
  • Mac
  • Windows
  • Sicherheit
  • Online-Sicherheit
Über den Autor
Rubaiat Hossain (6 Artikel veröffentlicht)

Rubaiat ist ein CS-Absolvent mit einer starken Leidenschaft für Open Source. Er ist nicht nur ein Unix-Veteran, sondern beschäftigt sich auch mit Netzwerksicherheit, Kryptografie und funktionaler Programmierung. Er ist ein begeisterter Sammler gebrauchter Bücher und hat eine unendliche Bewunderung für klassischen Rock.

Mehr von Rubaiat Hossain

Abonniere unseren Newsletter

Melden Sie sich für unseren Newsletter an, um technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote zu erhalten!

Noch ein Schritt…!

Bitte bestätigen Sie Ihre E-Mail-Adresse in der E-Mail, die wir Ihnen gerade gesendet haben.

.