Für viele IT-Experten ist Wireshark das Tool der Wahl für die Analyse von Netzwerkpaketen. Die Open-Source-Software ermöglicht es Ihnen, die gesammelten Daten genau zu untersuchen und die Ursache des Problems mit verbesserter Genauigkeit zu bestimmen. Darüber hinaus arbeitet Wireshark in Echtzeit und verwendet Farbcodierung, um die erfassten Pakete neben anderen raffinierten Mechanismen anzuzeigen.
In diesem Tutorial erklären wir, wie Sie Pakete mit Wireshark erfassen, lesen und filtern. Nachfolgend finden Sie Schritt-für-Schritt-Anleitungen und Aufschlüsselungen der grundlegenden Netzwerkanalysefunktionen. Sobald Sie diese grundlegenden Schritte beherrschen, können Sie den Datenverkehrsfluss Ihres Netzwerks untersuchen und Probleme effizienter beheben.
Analysieren von Paketen
Sobald die Pakete erfasst wurden, organisiert Wireshark sie in einem detaillierten Paketlistenbereich, der unglaublich einfach zu lesen ist. Wenn Sie auf die Informationen zu einem einzelnen Paket zugreifen möchten, müssen Sie es nur in der Liste suchen und darauf klicken. Sie können den Baum auch weiter erweitern, um auf die Details jedes im Paket enthaltenen Protokolls zuzugreifen.
Für eine umfassendere Übersicht können Sie sich jedes erfasste Paket in einem separaten Fenster anzeigen lassen. Hier ist wie:
wie man ein bild hinter text in google docs einfügt
- Wählen Sie das Paket mit dem Cursor aus der Liste aus und klicken Sie dann mit der rechten Maustaste.
- Öffnen Sie die Registerkarte Ansicht in der Symbolleiste oben.
- Wählen Sie Paket in neuem Fenster anzeigen aus dem Dropdown-Menü.
Hinweis: Es ist viel einfacher, die erfassten Pakete zu vergleichen, wenn Sie sie in separaten Fenstern anzeigen.
Wie bereits erwähnt, verwendet Wireshark ein Farbcodierungssystem zur Datenvisualisierung. Jedes Paket ist mit einer anderen Farbe gekennzeichnet, die unterschiedliche Arten von Datenverkehr darstellt. Beispielsweise wird TCP-Verkehr normalerweise blau hervorgehoben, während schwarze Pakete verwendet werden, die Fehler enthalten.
Natürlich müssen Sie sich nicht die Bedeutung hinter jeder Farbe merken. Stattdessen können Sie vor Ort nachsehen:
- Klicken Sie mit der rechten Maustaste auf das Paket, das Sie untersuchen möchten.
- Wählen Sie die Registerkarte Ansicht aus der Symbolleiste oben auf dem Bildschirm.
- Wählen Sie Färberegeln aus dem Dropdown-Bedienfeld.
Sie sehen die Option, die Farbgebung nach Ihren Wünschen anzupassen. Wenn Sie die Farbregeln jedoch nur vorübergehend ändern möchten, gehen Sie folgendermaßen vor:
- Klicken Sie mit der rechten Maustaste auf das Paket im Paketlistenbereich.
- Wählen Sie aus der Liste der Optionen die Option „Mit Filter einfärben“.
- Wählen Sie die Farbe, mit der Sie es beschriften möchten.
Nummer
Das Paketlistenfenster zeigt Ihnen die genaue Anzahl der erfassten Datenbits. Da die Pakete in mehreren Spalten organisiert sind, ist es ziemlich einfach zu interpretieren. Die Standardkategorien sind:
- No. (Anzahl): Wie bereits erwähnt, finden Sie in dieser Spalte die genaue Anzahl der erfassten Pakete. Die Ziffern bleiben auch nach dem Filtern der Daten gleich.
- Zeit: Wie Sie vielleicht schon erraten haben, wird hier der Zeitstempel des Pakets angezeigt.
- Quelle: Zeigt an, woher das Paket stammt.
- Ziel: Zeigt den Ort an, an dem das Paket aufbewahrt wird.
- Protokoll: Zeigt den Namen des Protokolls an, normalerweise in Form einer Abkürzung.
- Länge: Zeigt die Anzahl der im erfassten Paket enthaltenen Bytes an.
- Info: Die Spalte enthält zusätzliche Informationen zu einem bestimmten Paket.
Zeit
Während Wireshark den Netzwerkverkehr analysiert, erhält jedes erfasste Paket einen Zeitstempel. Die Zeitstempel werden dann in das Paketlistenfenster aufgenommen und stehen für eine spätere Überprüfung zur Verfügung.
Wireshark erstellt die Zeitstempel selbst nicht. Stattdessen ruft das Analysetool sie aus der Npcap-Bibliothek ab. Die Quelle des Zeitstempels ist jedoch tatsächlich der Kernel. Aus diesem Grund kann die Genauigkeit des Zeitstempels von Datei zu Datei variieren.
Sie können das Format auswählen, in dem die Zeitstempel in der Paketliste angezeigt werden. Darüber hinaus können Sie die bevorzugte Genauigkeit oder Anzahl der angezeigten Dezimalstellen festlegen. Abgesehen von der Standard-Präzisionseinstellung gibt es auch:
- Sekunden
- Zehntelsekunden
- Hundertstelsekunden
- Millisekunden
- Mikrosekunden
- Nanosekunden
Quelle
Wie der Name schon sagt, ist die Quelle des Pakets der Herkunftsort. Wenn Sie den Quellcode eines Wireshark-Repositorys abrufen möchten, können Sie ihn mithilfe eines Git-Clients herunterladen. Die Methode erfordert jedoch, dass Sie über ein GitLab-Konto verfügen. Es geht auch ohne, aber es ist besser, sich für alle Fälle anzumelden.
Führen Sie nach der Registrierung eines Kontos die folgenden Schritte aus:
- Stellen Sie sicher, dass Git funktioniert, indem Sie diesen Befehl verwenden: |_+_|
- Überprüfen Sie noch einmal, ob Ihre E-Mail-Adresse und Ihr Benutzername konfiguriert sind.
- Erstellen Sie als Nächstes einen Klon der Workshark-Quelle. Verwenden Sie die |_+_| SSH-URL zum Erstellen der Kopie.
- Wenn Sie kein GitLab-Konto haben, versuchen Sie es mit der HTTPS-URL: |_+_|
Anschließend werden alle Quellen auf Ihr Gerät kopiert. Denken Sie daran, dass das Klonen eine Weile dauern kann, insbesondere wenn Sie eine langsame Netzwerkverbindung haben.
Ziel
Wenn Sie die IP-Adresse des Ziels eines bestimmten Pakets wissen möchten, können Sie den Anzeigefilter verwenden, um es zu finden. Hier ist wie:
- Geben Sie |_+_| ein in die Wireshark-Filterbox. Klicken Sie dann auf Eingabe.
- Der Paketlistenbereich wird neu konfiguriert, um nur das Paketziel anzuzeigen. Finden Sie die IP-Adresse, die Sie interessiert, indem Sie durch die Liste scrollen.
- Wenn Sie fertig sind, wählen Sie in der Symbolleiste Löschen aus, um den Paketlistenbereich neu zu konfigurieren.
Protokoll
Ein Protokoll ist eine Richtlinie, die die Datenübertragung zwischen verschiedenen Geräten festlegt, die mit demselben Netzwerk verbunden sind. Jedes Wireshark-Paket enthält ein Protokoll, und Sie können es mithilfe des Anzeigefilters aufrufen. Hier ist wie:
- Klicken Sie oben im Wireshark-Fenster auf das Dialogfeld Filter.
- Geben Sie den Namen des Protokolls ein, das Sie untersuchen möchten. Typischerweise werden Protokolltitel in Kleinbuchstaben geschrieben.
- Klicken Sie auf Enter oder Apply, um den Anzeigefilter zu aktivieren.
Länge
Die Länge eines Wireshark-Pakets wird durch die Anzahl der in diesem bestimmten Netzwerk-Snippet erfassten Bytes bestimmt. Diese Zahl entspricht normalerweise der Anzahl der Rohdatenbytes, die unten im Wireshark-Fenster aufgeführt sind.
Wenn Sie die Längenverteilung untersuchen möchten, öffnen Sie das Fenster Paketlängen. Alle Informationen sind in die folgenden Spalten unterteilt:
- Paketlängen
- Zählen
- Durchschnitt
- Min-Wert / Max-Wert
- Rate
- Prozent
- Burst-Rate
- Burst-Start
Die Info
Wenn es Anomalien oder ähnliche Elemente in einem bestimmten erfassten Paket gibt, wird Wireshark dies bemerken. Die Informationen werden dann zur weiteren Untersuchung im Paketlistenbereich angezeigt. Auf diese Weise erhalten Sie ein klares Bild von atypischem Netzwerkverhalten, was zu schnelleren Reaktionen führt.
Weitere häufig gestellte Fragen
Wie kann ich die Paketdaten filtern?
Das Filtern ist eine effiziente Funktion, mit der Sie die Besonderheiten einer bestimmten Datensequenz untersuchen können. Es gibt zwei Arten von Wireshark-Filtern: Erfassung und Anzeige. Erfassungsfilter dienen dazu, die Paketerfassung auf bestimmte Anforderungen einzuschränken. Mit anderen Worten, Sie können verschiedene Arten von Datenverkehr durchsuchen, indem Sie einen Erfassungsfilter anwenden. Wie der Name schon sagt, können Sie mit Anzeigefiltern ein bestimmtes Element des Pakets verfeinern, von der Paketlänge bis zum Protokoll.
Das Anwenden eines Filters ist ein ziemlich einfacher Vorgang. Sie können den Filtertitel in das Dialogfeld oben im Wireshark-Fenster eingeben. Außerdem vervollständigt die Software normalerweise automatisch den Namen des Filters.
Wenn Sie alternativ die standardmäßigen Wireshark-Filter durchsuchen möchten, gehen Sie wie folgt vor:
1. Öffnen Sie die Registerkarte Analysieren in der Symbolleiste oben im Wireshark-Fenster.
wie man einen Discord-Server übernimmt
2. Wählen Sie aus der Dropdown-Liste Anzeigefilter aus.
3. Durchsuchen Sie die Liste und klicken Sie auf diejenige, die Sie anwenden möchten.
Schließlich sind hier einige gängige Wireshark-Filter, die sich als nützlich erweisen können:
• Um nur die Quell- und Ziel-IP-Adresse anzuzeigen, verwenden Sie: |_+_|
• Um nur den SMTP-Datenverkehr anzuzeigen, geben Sie Folgendes ein: |_+_|
• Um den gesamten Subnetzverkehr zu erfassen, wenden Sie Folgendes an: |_+_|
• Um alles außer dem ARP- und DNS-Datenverkehr zu erfassen, verwenden Sie: |_+_|
Wie erfasse ich die Paketdaten in Wireshark?
Nachdem Sie Wireshark auf Ihr Gerät heruntergeladen haben, können Sie mit der Überwachung Ihrer Netzwerkverbindung beginnen. Um Datenpakete für eine umfassende Analyse zu erfassen, müssen Sie Folgendes tun:
1. Starten Sie Wireshark. Sie sehen eine Liste der verfügbaren Netzwerke, also klicken Sie auf dasjenige, das Sie untersuchen möchten. Sie können auch einen Erfassungsfilter anwenden, wenn Sie die Art des Datenverkehrs genau bestimmen möchten.
2. Wenn Sie mehrere Netzwerke untersuchen möchten, verwenden Sie die Umschalttaste + Linksklick-Steuerung.
3. Klicken Sie als Nächstes auf das Haifischflossen-Symbol ganz links in der Symbolleiste oben.
4. Sie können die Erfassung auch starten, indem Sie auf die Registerkarte Erfassung klicken und in der Dropdown-Liste Start auswählen.
5. Eine andere Möglichkeit besteht darin, die Tastenkombination Strg – E zu verwenden.
Während die Software die Daten erfasst, werden sie in Echtzeit im Paketlistenbereich angezeigt.
Hai-Byte
Obwohl Wireshark ein hochentwickelter Netzwerkanalysator ist, ist er überraschend einfach zu interpretieren. Das Paketlistenfenster ist äußerst umfassend und gut organisiert. Alle Informationen sind in sieben verschiedenen Farben verteilt und mit eindeutigen Farbcodes gekennzeichnet.
Darüber hinaus verfügt die Open-Source-Software über eine Reihe einfach anwendbarer Filter, die die Überwachung erleichtern. Indem Sie einen Erfassungsfilter aktivieren, können Sie genau bestimmen, welche Art von Datenverkehr Wireshark analysieren soll. Und sobald die Daten erfasst sind, können Sie mehrere Anzeigefilter für bestimmte Suchen anwenden. Alles in allem ist es ein hocheffizienter Mechanismus, der nicht allzu schwer zu beherrschen ist.
Verwenden Sie Wireshark zur Netzwerkanalyse? Was haltet ihr von der Filterfunktion? Lassen Sie uns in den Kommentaren unten wissen, ob es eine nützliche Paketanalysefunktion gibt, die wir übersprungen haben.