26Aug

Wie man Wireshark verwendet, um Pakete zu erfassen, zu filtern und zu inspizieren

click fraud protection

Wireshark, ein früher als Ethereal bekanntes Netzwerkanalyse-Tool, erfasst Pakete in Echtzeit und zeigt sie in einem für Menschen lesbaren Format an. Wireshark enthält Filter, Farbcodierung und andere Funktionen, mit denen Sie tief in den Netzwerkverkehr eindringen und einzelne Pakete überprüfen können.

Dieses Tutorial wird Sie mit den Grundlagen der Erfassung von Paketen, ihrer Filterung und ihrer Überprüfung vertraut machen. Sie können Wireshark verwenden, um den Netzwerkverkehr eines verdächtigen Programms zu untersuchen, den Verkehrsfluss in Ihrem Netzwerk zu analysieren oder Netzwerkprobleme zu beheben.

Wireshark

Sie können Wireshark für Windows oder Mac OS von seiner offiziellen Website herunterladen. Wenn Sie Linux oder ein anderes UNIX-ähnliches System verwenden, finden Sie Wireshark wahrscheinlich in seinen Paket-Repositories. Wenn Sie beispielsweise Ubuntu verwenden, finden Sie Wireshark im Ubuntu Software Center.

Nur eine kurze Warnung: Viele Organisationen lassen Wireshark und ähnliche Tools in ihren Netzwerken nicht zu. Verwenden Sie dieses Tool nicht, wenn Sie nicht berechtigt sind.

instagram viewer

Erfassung von Paketen

Nachdem Sie Wireshark heruntergeladen und installiert haben, können Sie es starten und unter Capture auf den Namen einer Netzwerkschnittstelle doppelklicken, um mit der Erfassung von Paketen auf dieser Schnittstelle zu beginnen. Wenn Sie beispielsweise Datenverkehr in Ihrem drahtlosen Netzwerk erfassen möchten, klicken Sie auf Ihre drahtlose Schnittstelle. Sie können erweiterte Funktionen konfigurieren, indem Sie auf Capture & gt;Optionen, aber das ist jetzt nicht notwendig.

Sobald Sie auf den Namen der Schnittstelle klicken, werden die Pakete in Echtzeit angezeigt. Wireshark erfasst jedes an oder von Ihrem System gesendete Paket.

Wenn der Promiscuous-Modus aktiviert ist( standardmäßig aktiviert), werden auch alle anderen Pakete im Netzwerk angezeigt und nicht nur die Pakete, die an Ihren Netzwerkadapter adressiert sind. Um zu prüfen, ob der Promiscuous-Modus aktiviert ist, klicken Sie auf Capture & gt;Optionen und vergewissern Sie sich, dass das Kontrollkästchen "Promiscuous-Modus für alle Schnittstellen aktivieren" am unteren Rand dieses Fensters aktiviert ist.

Klicken Sie auf die rote "Stop" -Schaltfläche in der oberen linken Ecke des Fensters, wenn Sie die Erfassung von Datenverkehr beenden möchten.

Farbcodierung

Sie werden wahrscheinlich Pakete in verschiedenen Farben sehen. Wireshark verwendet Farben, um Ihnen zu helfen, die Arten von Verkehr auf einen Blick zu identifizieren. Standardmäßig ist hellvioletter TCP-Verkehr, hellblau ist UDP-Verkehr und schwarz kennzeichnet Pakete mit Fehlern, die z. B. nicht ordnungsgemäß geliefert werden konnten.

Um genau zu sehen, was die Farbcodes bedeuten, klicken Sie auf View & gt;Malregeln. Sie können die Färberegeln auch hier anpassen und ändern, wenn Sie möchten.

Sample Captures

Wenn es nichts Interessantes in Ihrem eigenen Netzwerk zu inspizieren gibt, hat Wiresharks Wiki Sie abgedeckt. Das Wiki enthält eine Seite mit Beispiel-Capture-Dateien, die Sie laden und überprüfen können. Klicken Sie auf Datei & gt;Öffnen Sie in Wireshark und suchen Sie nach Ihrer heruntergeladenen Datei, um eine zu öffnen.

Sie können Ihre eigenen Aufnahmen auch in Wireshark speichern und später öffnen. Klicken Sie auf Datei & gt;Speichern, um die erfassten Pakete zu speichern.

Filterpakete

Wenn Sie versuchen, bestimmte Informationen zu überprüfen, wie z. B. den Datenverkehr, den ein Programm beim Telefonieren sendet, können Sie alle anderen Anwendungen, die das Netzwerk verwenden, schließen, um den Datenverkehr einzugrenzen. Trotzdem werden Sie wahrscheinlich eine große Menge an Paketen durchforsten müssen. Hier kommen die Wireshark-Filter ins Spiel.

Die einfachste Methode, einen Filter anzuwenden, besteht darin, ihn in das Filterfeld am oberen Rand des Fensters einzugeben und auf Anwenden zu klicken( oder die Eingabetaste zu drücken).Geben Sie beispielsweise "DNS" ein und Sie sehen nur DNS-Pakete. Wenn Sie mit der Eingabe beginnen, hilft Ihnen Wireshark bei der automatischen Vervollständigung Ihres Filters.

Sie können auch auf Analysieren & gt;Zeigen Sie Filter an, um einen Filter aus den in Wireshark enthaltenen Standardfiltern auszuwählen. Von hier aus können Sie Ihre eigenen benutzerdefinierten Filter hinzufügen und speichern, um sie später problemlos aufrufen zu können.

Weitere Informationen zur Anzeigenfiltersprache von Wireshark finden Sie in der offiziellen Wireshark-Dokumentation auf der Seite Gebäudemanager-Filterausdrücke.

Eine weitere interessante Sache, die Sie tun können, ist mit der rechten Maustaste auf ein Paket und wählen Sie folgen & gt;TCP-Stream.

Sie sehen die vollständige TCP-Konversation zwischen dem Client und dem Server. Sie können im Menü "Verfolgen" auch auf andere Protokolle klicken, um gegebenenfalls die vollständigen Konversationen für andere Protokolle anzuzeigen.

Schließen Sie das Fenster und Sie werden feststellen, dass ein Filter automatisch angewendet wurde. Wireshark zeigt dir die Pakete, aus denen die Konversation besteht.

Inspecting Packets

Klicken Sie auf ein Paket, um es auszuwählen, und Sie können nach unten graben, um die Details anzuzeigen.

Sie können hier auch Filter erstellen - klicken Sie einfach mit der rechten Maustaste auf eine der Details und verwenden Sie das Untermenü "Als Filter anwenden", um einen Filter darauf zu erstellen.

Wireshark ist ein extrem leistungsfähiges Werkzeug, und dieses Tutorial ist nur an der Oberfläche von dem, was Sie damit machen können. Fachleute verwenden es, um Netzwerkprotokollimplementierungen zu debuggen, Sicherheitsprobleme zu untersuchen und interne Netzwerkprotokolle zu überprüfen.

Weitere Informationen finden Sie im offiziellen Wireshark-Benutzerhandbuch und den anderen Dokumentationsseiten auf der Wireshark-Website.