26Aug
Wireshark, een netwerkanalyse-tool die voorheen Ethereal heette, vangt pakketten in realtime op en geeft ze weer in een door mensen leesbaar formaat. Wireshark bevat filters, kleurcodering en andere functies waarmee u diep in het netwerkverkeer kunt graven en individuele pakketten kunt inspecteren.
In deze zelfstudie leert u hoe u pakketten kunt vastleggen, filteren en inspecteren. U kunt Wireshark gebruiken om het netwerkverkeer van een verdacht programma te inspecteren, de verkeersstroom op uw netwerk te analyseren of netwerkproblemen op te lossen.
Getting Wireshark
U kunt Wireshark voor Windows of macOS downloaden van de officiële website. Als u Linux of een ander UNIX-achtig systeem gebruikt, vindt u waarschijnlijk Wireshark in zijn pakketrepository's. Als u bijvoorbeeld Ubuntu gebruikt, vindt u Wireshark in het Ubuntu Software Center.
Gewoon een snelle waarschuwing: veel organisaties staan Wireshark en vergelijkbare tools op hun netwerken niet toe. Gebruik deze tool niet op het werk tenzij u toestemming hebt.
Capting Packets
Na het downloaden en installeren van Wireshark, kunt u het starten en dubbelklikken op de naam van een netwerkinterface onder Capture om te beginnen met het vastleggen van pakketten op die interface. Als u bijvoorbeeld verkeer op uw draadloze netwerk wilt vastleggen, klikt u op uw draadloze interface. U kunt geavanceerde functies configureren door te klikken op Capture & gt;Opties, maar dit is voorlopig niet nodig.
Zodra u op de naam van de interface klikt, ziet u dat de pakketten in realtime verschijnen. Wireshark legt elk pakket vast dat naar of van uw systeem wordt verzonden.
Als de promiscuous-modus is ingeschakeld, is deze standaard ingeschakeld, ziet u ook alle andere pakketten op het netwerk in plaats van alleen pakketten die zijn geadresseerd aan uw netwerkadapter. Als u wilt controleren of de promiscueuze modus is ingeschakeld, klikt u op Capture & gt;Opties en controleer of het selectievakje "Promiscuous-modus inschakelen voor alle interfaces" is ingeschakeld onder in dit venster.
Klik op de rode knop "Stoppen" in de linkerbovenhoek van het venster wanneer u wilt stoppen met het vastleggen van verkeer.
Kleurcodering
U ziet waarschijnlijk pakketten gemarkeerd in verschillende kleuren. Wireshark gebruikt kleuren om u te helpen de soorten verkeer in één oogopslag te identificeren. Lichtpaars is standaard TCP-verkeer, lichtblauw is UDP-verkeer en zwart identificeert pakketten met fouten, bijvoorbeeld omdat ze niet in de juiste volgorde zijn afgeleverd.
Als u exact wilt weergeven wat de kleurcodes betekenen, klikt u op Weergave & gt;Kleurregels. Je kunt de kleurregels ook hier aanpassen en wijzigen, als je wilt.
Voorbeeldopnamen
Als er niets interessants op uw eigen netwerk is om te inspecteren, kunt u terecht op de wiki van Wireshark. De wiki bevat een pagina met voorbeeldinvoerbestanden die u kunt laden en inspecteren. Klik op Bestand & gt;Open in Wireshark en blader naar uw gedownloade bestand om er een te openen.
Je kunt ook je eigen opnames opslaan in Wireshark en ze later openen. Klik op Bestand & gt;Opslaan om uw vastgelegde pakketten op te slaan.
filterpakketten
Als u iets specifieks wilt inspecteren, zoals het verkeer dat een programma verzendt bij het bellen naar huis, helpt het om alle andere toepassingen die gebruikmaken van het netwerk te sluiten, zodat u het verkeer kunt beperken. Toch zul je waarschijnlijk een grote hoeveelheid pakketten hebben om door te lezen. Dat is waar de filters van Wireshark binnenkomen.
De eenvoudigste manier om een filter toe te passen, is door het in het filtervak bovenaan het venster te typen en op Toepassen te klikken( of op Enter te drukken).Typ bijvoorbeeld "dns" en u ziet alleen DNS-pakketten. Wanneer u begint met typen, zal Wireshark u helpen uw filter automatisch aan te vullen.
U kunt ook klikken op Analyseren & gt;Geef Filters weer om een filter te kiezen uit de standaardfilters in Wireshark. Vanaf hier kunt u uw eigen aangepaste filters toevoegen en deze opslaan zodat u ze later gemakkelijk kunt openen.
Lees voor meer informatie over de schermfilteringtaal van Wireshark de filterpagina's voor het weergeven van weergaven voor het uiterlijk van de officiële Wireshark-documentatie.
Een ander interessant ding dat u kunt doen, is met de rechtermuisknop op een pakket klikken en Volgen & gt;TCP-stroom.
U ziet het volledige TCP-gesprek tussen de client en de server. U kunt ook klikken op andere protocollen in het menu Volg om de volledige conversaties voor andere protocollen te bekijken, indien van toepassing.
Sluit het venster en u zult merken dat een filter automatisch is toegepast. Wireshark toont u de pakketten waaruit het gesprek bestaat.
Inspecting Packets
Klik op een pakket om het te selecteren en u kunt naar beneden zoeken om de details te bekijken.
U kunt hier ook filters maken - klik met de rechtermuisknop op een van de details en gebruik het submenu Toepassen als filter om een filter op basis daarvan te maken.
Wireshark is een buitengewoon krachtige tool en deze tutorial is slechts een kras op het oppervlak van wat je ermee kunt doen. Professionals gebruiken het om netwerkprotocol-implementaties te debuggen, beveiligingsproblemen te onderzoeken en netwerkprotocol-internals te inspecteren.
U kunt meer gedetailleerde informatie vinden in de officiële Wireshark gebruikershandleiding en de andere documentatiepagina's op de website van Wireshark.
