Haupt Vernetzung So lesen Sie Pakete in Wireshark

So lesen Sie Pakete in Wireshark



Für viele IT-Experten ist Wireshark das Tool der Wahl für die Analyse von Netzwerkpaketen. Die Open-Source-Software ermöglicht es Ihnen, die gesammelten Daten genau zu untersuchen und die Ursache des Problems mit verbesserter Genauigkeit zu bestimmen. Darüber hinaus arbeitet Wireshark in Echtzeit und verwendet Farbcodierung, um die erfassten Pakete neben anderen raffinierten Mechanismen anzuzeigen.

So lesen Sie Pakete in Wireshark

In diesem Tutorial erklären wir, wie Sie Pakete mit Wireshark erfassen, lesen und filtern. Nachfolgend finden Sie Schritt-für-Schritt-Anleitungen und Aufschlüsselungen der grundlegenden Netzwerkanalysefunktionen. Sobald Sie diese grundlegenden Schritte beherrschen, können Sie den Datenverkehrsfluss Ihres Netzwerks untersuchen und Probleme effizienter beheben.

Analysieren von Paketen

Sobald die Pakete erfasst wurden, organisiert Wireshark sie in einem detaillierten Paketlistenbereich, der unglaublich einfach zu lesen ist. Wenn Sie auf die Informationen zu einem einzelnen Paket zugreifen möchten, müssen Sie es nur in der Liste suchen und darauf klicken. Sie können den Baum auch weiter erweitern, um auf die Details jedes im Paket enthaltenen Protokolls zuzugreifen.

Für eine umfassendere Übersicht können Sie sich jedes erfasste Paket in einem separaten Fenster anzeigen lassen. Hier ist wie:

wie man ein bild hinter text in google docs einfügt
  1. Wählen Sie das Paket mit dem Cursor aus der Liste aus und klicken Sie dann mit der rechten Maustaste.
  2. Öffnen Sie die Registerkarte Ansicht in der Symbolleiste oben.
  3. Wählen Sie Paket in neuem Fenster anzeigen aus dem Dropdown-Menü.

Hinweis: Es ist viel einfacher, die erfassten Pakete zu vergleichen, wenn Sie sie in separaten Fenstern anzeigen.

Wie bereits erwähnt, verwendet Wireshark ein Farbcodierungssystem zur Datenvisualisierung. Jedes Paket ist mit einer anderen Farbe gekennzeichnet, die unterschiedliche Arten von Datenverkehr darstellt. Beispielsweise wird TCP-Verkehr normalerweise blau hervorgehoben, während schwarze Pakete verwendet werden, die Fehler enthalten.

Natürlich müssen Sie sich nicht die Bedeutung hinter jeder Farbe merken. Stattdessen können Sie vor Ort nachsehen:

  1. Klicken Sie mit der rechten Maustaste auf das Paket, das Sie untersuchen möchten.
  2. Wählen Sie die Registerkarte Ansicht aus der Symbolleiste oben auf dem Bildschirm.
  3. Wählen Sie Färberegeln aus dem Dropdown-Bedienfeld.

Sie sehen die Option, die Farbgebung nach Ihren Wünschen anzupassen. Wenn Sie die Farbregeln jedoch nur vorübergehend ändern möchten, gehen Sie folgendermaßen vor:

  1. Klicken Sie mit der rechten Maustaste auf das Paket im Paketlistenbereich.
  2. Wählen Sie aus der Liste der Optionen die Option „Mit Filter einfärben“.
  3. Wählen Sie die Farbe, mit der Sie es beschriften möchten.

Nummer

Das Paketlistenfenster zeigt Ihnen die genaue Anzahl der erfassten Datenbits. Da die Pakete in mehreren Spalten organisiert sind, ist es ziemlich einfach zu interpretieren. Die Standardkategorien sind:

  • No. (Anzahl): Wie bereits erwähnt, finden Sie in dieser Spalte die genaue Anzahl der erfassten Pakete. Die Ziffern bleiben auch nach dem Filtern der Daten gleich.
  • Zeit: Wie Sie vielleicht schon erraten haben, wird hier der Zeitstempel des Pakets angezeigt.
  • Quelle: Zeigt an, woher das Paket stammt.
  • Ziel: Zeigt den Ort an, an dem das Paket aufbewahrt wird.
  • Protokoll: Zeigt den Namen des Protokolls an, normalerweise in Form einer Abkürzung.
  • Länge: Zeigt die Anzahl der im erfassten Paket enthaltenen Bytes an.
  • Info: Die Spalte enthält zusätzliche Informationen zu einem bestimmten Paket.

Zeit

Während Wireshark den Netzwerkverkehr analysiert, erhält jedes erfasste Paket einen Zeitstempel. Die Zeitstempel werden dann in das Paketlistenfenster aufgenommen und stehen für eine spätere Überprüfung zur Verfügung.

Wireshark erstellt die Zeitstempel selbst nicht. Stattdessen ruft das Analysetool sie aus der Npcap-Bibliothek ab. Die Quelle des Zeitstempels ist jedoch tatsächlich der Kernel. Aus diesem Grund kann die Genauigkeit des Zeitstempels von Datei zu Datei variieren.

Sie können das Format auswählen, in dem die Zeitstempel in der Paketliste angezeigt werden. Darüber hinaus können Sie die bevorzugte Genauigkeit oder Anzahl der angezeigten Dezimalstellen festlegen. Abgesehen von der Standard-Präzisionseinstellung gibt es auch:

  • Sekunden
  • Zehntelsekunden
  • Hundertstelsekunden
  • Millisekunden
  • Mikrosekunden
  • Nanosekunden

Quelle

Wie der Name schon sagt, ist die Quelle des Pakets der Herkunftsort. Wenn Sie den Quellcode eines Wireshark-Repositorys abrufen möchten, können Sie ihn mithilfe eines Git-Clients herunterladen. Die Methode erfordert jedoch, dass Sie über ein GitLab-Konto verfügen. Es geht auch ohne, aber es ist besser, sich für alle Fälle anzumelden.

Führen Sie nach der Registrierung eines Kontos die folgenden Schritte aus:

  1. Stellen Sie sicher, dass Git funktioniert, indem Sie diesen Befehl verwenden: |_+_|
  2. Überprüfen Sie noch einmal, ob Ihre E-Mail-Adresse und Ihr Benutzername konfiguriert sind.
  3. Erstellen Sie als Nächstes einen Klon der Workshark-Quelle. Verwenden Sie die |_+_| SSH-URL zum Erstellen der Kopie.
  4. Wenn Sie kein GitLab-Konto haben, versuchen Sie es mit der HTTPS-URL: |_+_|

Anschließend werden alle Quellen auf Ihr Gerät kopiert. Denken Sie daran, dass das Klonen eine Weile dauern kann, insbesondere wenn Sie eine langsame Netzwerkverbindung haben.

Ziel

Wenn Sie die IP-Adresse des Ziels eines bestimmten Pakets wissen möchten, können Sie den Anzeigefilter verwenden, um es zu finden. Hier ist wie:

  1. Geben Sie |_+_| ein in die Wireshark-Filterbox. Klicken Sie dann auf Eingabe.
  2. Der Paketlistenbereich wird neu konfiguriert, um nur das Paketziel anzuzeigen. Finden Sie die IP-Adresse, die Sie interessiert, indem Sie durch die Liste scrollen.
  3. Wenn Sie fertig sind, wählen Sie in der Symbolleiste Löschen aus, um den Paketlistenbereich neu zu konfigurieren.

Protokoll

Ein Protokoll ist eine Richtlinie, die die Datenübertragung zwischen verschiedenen Geräten festlegt, die mit demselben Netzwerk verbunden sind. Jedes Wireshark-Paket enthält ein Protokoll, und Sie können es mithilfe des Anzeigefilters aufrufen. Hier ist wie:

  1. Klicken Sie oben im Wireshark-Fenster auf das Dialogfeld Filter.
  2. Geben Sie den Namen des Protokolls ein, das Sie untersuchen möchten. Typischerweise werden Protokolltitel in Kleinbuchstaben geschrieben.
  3. Klicken Sie auf Enter oder Apply, um den Anzeigefilter zu aktivieren.

Länge

Die Länge eines Wireshark-Pakets wird durch die Anzahl der in diesem bestimmten Netzwerk-Snippet erfassten Bytes bestimmt. Diese Zahl entspricht normalerweise der Anzahl der Rohdatenbytes, die unten im Wireshark-Fenster aufgeführt sind.

Wenn Sie die Längenverteilung untersuchen möchten, öffnen Sie das Fenster Paketlängen. Alle Informationen sind in die folgenden Spalten unterteilt:

  • Paketlängen
  • Zählen
  • Durchschnitt
  • Min-Wert / Max-Wert
  • Rate
  • Prozent
  • Burst-Rate
  • Burst-Start

Die Info

Wenn es Anomalien oder ähnliche Elemente in einem bestimmten erfassten Paket gibt, wird Wireshark dies bemerken. Die Informationen werden dann zur weiteren Untersuchung im Paketlistenbereich angezeigt. Auf diese Weise erhalten Sie ein klares Bild von atypischem Netzwerkverhalten, was zu schnelleren Reaktionen führt.

Weitere häufig gestellte Fragen

Wie kann ich die Paketdaten filtern?

Das Filtern ist eine effiziente Funktion, mit der Sie die Besonderheiten einer bestimmten Datensequenz untersuchen können. Es gibt zwei Arten von Wireshark-Filtern: Erfassung und Anzeige. Erfassungsfilter dienen dazu, die Paketerfassung auf bestimmte Anforderungen einzuschränken. Mit anderen Worten, Sie können verschiedene Arten von Datenverkehr durchsuchen, indem Sie einen Erfassungsfilter anwenden. Wie der Name schon sagt, können Sie mit Anzeigefiltern ein bestimmtes Element des Pakets verfeinern, von der Paketlänge bis zum Protokoll.

Das Anwenden eines Filters ist ein ziemlich einfacher Vorgang. Sie können den Filtertitel in das Dialogfeld oben im Wireshark-Fenster eingeben. Außerdem vervollständigt die Software normalerweise automatisch den Namen des Filters.

Wenn Sie alternativ die standardmäßigen Wireshark-Filter durchsuchen möchten, gehen Sie wie folgt vor:

1. Öffnen Sie die Registerkarte Analysieren in der Symbolleiste oben im Wireshark-Fenster.

wie man einen Discord-Server übernimmt

2. Wählen Sie aus der Dropdown-Liste Anzeigefilter aus.

3. Durchsuchen Sie die Liste und klicken Sie auf diejenige, die Sie anwenden möchten.

Schließlich sind hier einige gängige Wireshark-Filter, die sich als nützlich erweisen können:

• Um nur die Quell- und Ziel-IP-Adresse anzuzeigen, verwenden Sie: |_+_|

• Um nur den SMTP-Datenverkehr anzuzeigen, geben Sie Folgendes ein: |_+_|

• Um den gesamten Subnetzverkehr zu erfassen, wenden Sie Folgendes an: |_+_|

• Um alles außer dem ARP- und DNS-Datenverkehr zu erfassen, verwenden Sie: |_+_|

Wie erfasse ich die Paketdaten in Wireshark?

Nachdem Sie Wireshark auf Ihr Gerät heruntergeladen haben, können Sie mit der Überwachung Ihrer Netzwerkverbindung beginnen. Um Datenpakete für eine umfassende Analyse zu erfassen, müssen Sie Folgendes tun:

1. Starten Sie Wireshark. Sie sehen eine Liste der verfügbaren Netzwerke, also klicken Sie auf dasjenige, das Sie untersuchen möchten. Sie können auch einen Erfassungsfilter anwenden, wenn Sie die Art des Datenverkehrs genau bestimmen möchten.

2. Wenn Sie mehrere Netzwerke untersuchen möchten, verwenden Sie die Umschalttaste + Linksklick-Steuerung.

3. Klicken Sie als Nächstes auf das Haifischflossen-Symbol ganz links in der Symbolleiste oben.

4. Sie können die Erfassung auch starten, indem Sie auf die Registerkarte Erfassung klicken und in der Dropdown-Liste Start auswählen.

5. Eine andere Möglichkeit besteht darin, die Tastenkombination Strg – E zu verwenden.

Während die Software die Daten erfasst, werden sie in Echtzeit im Paketlistenbereich angezeigt.

Hai-Byte

Obwohl Wireshark ein hochentwickelter Netzwerkanalysator ist, ist er überraschend einfach zu interpretieren. Das Paketlistenfenster ist äußerst umfassend und gut organisiert. Alle Informationen sind in sieben verschiedenen Farben verteilt und mit eindeutigen Farbcodes gekennzeichnet.

Darüber hinaus verfügt die Open-Source-Software über eine Reihe einfach anwendbarer Filter, die die Überwachung erleichtern. Indem Sie einen Erfassungsfilter aktivieren, können Sie genau bestimmen, welche Art von Datenverkehr Wireshark analysieren soll. Und sobald die Daten erfasst sind, können Sie mehrere Anzeigefilter für bestimmte Suchen anwenden. Alles in allem ist es ein hocheffizienter Mechanismus, der nicht allzu schwer zu beherrschen ist.

Verwenden Sie Wireshark zur Netzwerkanalyse? Was haltet ihr von der Filterfunktion? Lassen Sie uns in den Kommentaren unten wissen, ob es eine nützliche Paketanalysefunktion gibt, die wir übersprungen haben.

Interessante Artikel

Was ist eine Drittanbieter-App?

Was ist eine Drittanbieter-App?

Microsoft Edge erhält Option zum Entfernen doppelter Favoriten

Microsoft Edge erhält Option zum Entfernen doppelter Favoriten

Tipp Der Redaktion

Was ist eine DAT-Datei?
Was ist eine DAT-Datei?
Eine DAT-Datei kann ein Video, eine E-Mail oder eine generische Datendatei sein. Viele Apps verwenden sie und kein bestimmtes Programm ist für die Erstellung jeder DAT-Datei verantwortlich.
So entfernen Sie eine Zahlungsmethode in Google Play
So entfernen Sie eine Zahlungsmethode in Google Play
Viele Android-Nutzer, die auch große Spieler sind, kaufen wahrscheinlich Spiele im Google Play Store und haben Kreditkarteninformationen in ihrem Konto gespeichert, um den Vorgang zu beschleunigen. Der Kauf von Apps und anderen Mikrotransaktionen erfordert eine Zahlung und ein Guthaben
Wo Sie den Windows-Hintergrundspeicherort auf Ihrem PC finden
Wo Sie den Windows-Hintergrundspeicherort auf Ihrem PC finden
Jede neue Windows-Version, einschließlich jedes neuen Vorschau-Builds von Windows 10, führt wunderschöne neue Hintergrundbilder ein. Hier finden Sie diese hochauflösenden Bilder auf Ihrem PC, sodass Sie sie als Hintergrundbild auf anderen Geräten oder älteren Windows-Versionen verwenden können.
So speichern Sie Fotos von Instagram
So speichern Sie Fotos von Instagram
Vermutlich lässt Instagram aus urheberrechtlichen Gründen keine Fotos von der Website oder App speichern. Das kann ziemlich ärgerlich sein, wenn Sie die aufgenommenen und auf die Site hochgeladenen Fotos verloren haben und eine
So aktualisieren Sie unter uns
So aktualisieren Sie unter uns
Jedes Massen-Multiplayer-Spiel erfordert an der einen oder anderen Stelle Updates. Among Us ist keine Ausnahme, und die Entwickler müssen auch Fehler und Probleme beheben. Kürzlich wurde das Airship-Update veröffentlicht und viele Spieler genießen es.
Was .COM in einer URL bedeutet
Was .COM in einer URL bedeutet
Ein zentraler Bestandteil von Website-Namen, die Top-Level-Domains, zu denen auch .com gehört, bieten Benutzern einen Einblick in den ursprünglichen Zweck der Website.
So passen Sie die Zeilenhöhe in Excel automatisch an
So passen Sie die Zeilenhöhe in Excel automatisch an
Wenn Sie mit langen Zahlen, Namen, Formeln oder etwas arbeiten, das im Allgemeinen nicht in eine Standardzelle passt, können Sie die Abmessungen dieser Zelle manuell dehnen, um sie anzupassen. Aber wäre es nicht cool, wenn Sie es automatisch könnten?