Verwendung von Wireshark: Ein vollständiges Tutorial

Was zu wissen

  • Wireshark ist eine Open-Source-Anwendung, die Daten erfasst und anzeigt, die in einem Netzwerk hin und her wandern.
  • Da der Drilldown durchgeführt und der Inhalt jedes Pakets gelesen werden kann, werden Netzwerkprobleme behoben und Software getestet.

Die Anweisungen in diesem Artikel gelten für Wireshark 3.0.3 für Windows und Mac.


Was ist Wireshark?

Ursprünglich als Ethereal bekannt, zeigt Wireshark Daten aus Hunderten verschiedener Protokolle in allen wichtigen Netzwerktypen an. Datenpakete können in Echtzeit angezeigt oder offline analysiert werden. Wireshark unterstützt Dutzende von Capture / Trace-Dateiformaten, einschließlich CAP und ERF. Integrierte Entschlüsselungstools zeigen die verschlüsselten Pakete für mehrere gängige Protokolle an, einschließlich WEP und WPA / WPA2.

Herunterladen und Installieren von Wireshark

Wireshark kann kostenlos von der Wireshark Foundation-Website für macOS und Windows heruntergeladen werden. Sie sehen die neueste stabile Version und die aktuelle Entwicklungsversion. Laden Sie die stabile Version herunter, es sei denn, Sie sind ein fortgeschrittener Benutzer.

Wählen Sie während des Windows-Setup-Vorgangs die Installation aus WinPcap or Npcap. Wenn Sie dazu aufgefordert werden, umfassen diese Bibliotheken, die für die Live-Datenerfassung erforderlich sind.

Sie müssen als Administrator am Gerät angemeldet sein, um Wireshark verwenden zu können. Suchen Sie in Windows 10 nach Wireshark und wählen Sie Als Administrator ausführen. Klicken Sie in macOS mit der rechten Maustaste auf das App-Symbol und wählen Sie Get Info. In dem Sharing & Zugriffsrechte Einstellungen geben Sie den Administrator Lesen & Schreiben Privilegien.

Die Anwendung ist auch für Linux und andere UNIX-ähnliche Plattformen verfügbar, einschließlich Red Hat, Solaris und FreeBSD. Die für diese Betriebssysteme erforderlichen Binärdateien finden Sie unten auf der Wireshark-Downloadseite unter Pakete von Drittanbietern Sektion. Sie können auch den Quellcode von Wireshark von dieser Seite herunterladen.


So erfassen Sie Datenpakete mit Wireshark

Wenn Sie Wireshark starten, werden in einem Begrüßungsbildschirm die verfügbaren Netzwerkverbindungen auf Ihrem aktuellen Gerät aufgelistet. Rechts von jedem wird ein Liniendiagramm im EKG-Stil angezeigt, das den Live-Verkehr in diesem Netzwerk darstellt.

So beginnen Sie mit der Erfassung von Paketen mit Wireshark:

  1. Wählen Sie eines oder mehrere Netzwerke aus, gehen Sie zur Menüleiste und wählen Sie Erfassung.

    Halten Sie die Taste gedrückt, um mehrere Netzwerke auszuwählen Verschiebung Schlüssel, während Sie Ihre Auswahl treffen.

  2. In dem Wireshark Capture-Schnittstellen Fenster, wählen Sie Start.

    Es gibt andere Möglichkeiten, die Paketerfassung zu initiieren. Wählen Sie Haifischflosse aus. Drücken Sie auf der linken Seite der Wireshark-Symbolleiste Strg + E oder doppelklicken Sie auf das Netzwerk.

  3. Wählen Sie Reichen Sie das > Speichern unter oder wählen Sie eine Export Option zum Aufzeichnen der Aufnahme.

  4. Drücken Sie, um die Aufnahme zu beenden Strg + E.. Oder gehen Sie zur Wireshark-Symbolleiste und wählen Sie die rote Stopptaste, der sich neben der Haifischflosse befindet.


Anzeigen und Analysieren von Paketinhalten

Die Schnittstelle für erfasste Daten enthält drei Hauptabschnitte:

  • Das Paketlistenfenster (der obere Abschnitt)
  • Das Paketdetailfenster (der mittlere Abschnitt)
  • Das Paketbyte-Fenster (unterer Abschnitt)

Paketliste

Der Paketlistenbereich oben im Fenster zeigt alle Pakete an, die in der aktiven Erfassungsdatei gefunden wurden. Jedem Paket ist eine eigene Zeile und eine entsprechende Nummer zugeordnet, zusammen mit jedem dieser Datenpunkte:

  • Nein: Dieses Feld gibt an, welche Pakete Teil derselben Konversation sind. Es bleibt leer, bis Sie ein Paket auswählen.
  • Uhrzeit: In dieser Spalte wird der Zeitstempel angezeigt, zu dem das Paket erfasst wurde. Das Standardformat ist die Anzahl der Sekunden oder Teilsekunden seit der ersten Erstellung dieser bestimmten Erfassungsdatei.
  • Quelle: Diese Spalte enthält die Adresse (IP oder eine andere), von der das Paket stammt.
  • Reiseziel: Diese Spalte enthält die Adresse, an die das Paket gesendet wird.
  • Protokoll: Der Protokollname des Pakets, z. B. TCP, befindet sich in dieser Spalte.
  • Länge: In dieser Spalte wird die Paketlänge in Byte angezeigt.
  • Info: Weitere Details zum Paket finden Sie hier. Der Inhalt dieser Spalte kann je nach Paketinhalt stark variieren.

Wählen Sie aus, um das Zeitformat auf etwas Nützlicheres zu ändern (z. B. die tatsächliche Tageszeit) Ansicht > Zeitanzeigeformat.

Wenn im oberen Bereich ein Paket ausgewählt ist, werden möglicherweise ein oder mehrere Symbole im Feld Nein Säule angezeigt. Geöffente oder geschlossene Klammern und eine gerade horizontale Linie zeigen an, ob ein Paket oder eine Gruppe von Paketen Teil derselben Hin- und Her-Konversation im Netzwerk ist. Eine unterbrochene horizontale Linie zeigt an, dass ein Paket nicht Teil der Konversation ist.

Paketdetails

Im Detailbereich in der Mitte werden die Protokolle und Protokollfelder des ausgewählten Pakets in einem zusammenklappbaren Format angezeigt. Zusätzlich zur Erweiterung jeder Auswahl können Sie einzelne Wireshark-Filter basierend auf bestimmten Details anwenden und Datenströme basierend auf dem Protokolltyp verfolgen, indem Sie mit der rechten Maustaste auf das gewünschte Element klicken.

Paketbytes

Unten befindet sich der Bereich Paketbytes, in dem die Rohdaten des ausgewählten Pakets in einer hexadezimalen Ansicht angezeigt werden. Dieser Hex-Dump enthält neben dem Datenoffset 16 hexadezimale Bytes und 16 ASCII-Bytes.

Wenn Sie einen bestimmten Teil dieser Daten auswählen, wird der entsprechende Abschnitt im Bereich mit den Paketdetails automatisch hervorgehoben und umgekehrt. Alle Bytes, die nicht gedruckt werden können, werden durch einen Punkt dargestellt.

Um diese Daten im Bitformat und nicht im Hexadezimalformat anzuzeigen, klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im Bereich und wählen Sie als Bits.

Verwendung von Wireshark-Filtern

Erfassungsfilter weisen Wireshark an, nur Pakete aufzuzeichnen, die bestimmte Kriterien erfüllen. Filter können auch auf eine Erfassungsdatei angewendet werden, die so erstellt wurde, dass nur bestimmte Pakete angezeigt werden. Diese werden als Anzeigefilter bezeichnet.

Wireshark bietet standardmäßig eine große Anzahl vordefinierter Filter. Um einen dieser vorhandenen Filter zu verwenden, geben Sie seinen Namen in das Feld ein Wenden Sie einen Anzeigefilter an. Eingabefeld unterhalb der Wireshark-Symbolleiste oder in der Geben Sie einen Erfassungsfilter ein Feld in der Mitte des Begrüßungsbildschirms.

Wenn Sie beispielsweise TCP-Pakete anzeigen möchten, geben Sie Folgendes ein TCP. Die Funktion zur automatischen Vervollständigung von Wireshark zeigt zu Beginn der Eingabe vorgeschlagene Namen an, sodass Sie leichter den richtigen Spitznamen für den gewünschten Filter finden.

Eine andere Möglichkeit, einen Filter auszuwählen, besteht darin, den auszuwählen Lesezeichen auf der linken Seite des Eingabefeldes. Wählen Sie Filterausdrücke verwalten or Anzeigefilter verwalten Filter hinzufügen, entfernen oder bearbeiten.

Sie können auch auf zuvor verwendete Filter zugreifen, indem Sie den Abwärtspfeil auf der rechten Seite des Eingabefelds auswählen, um eine Verlaufs-Dropdown-Liste anzuzeigen.

Erfassungsfilter werden angewendet, sobald Sie mit der Aufzeichnung des Netzwerkverkehrs beginnen. Um einen Anzeigefilter anzuwenden, wählen Sie den Rechtspfeil auf der rechten Seite des Eingabefelds.

Wireshark-Farbregeln

Während die Erfassungs- und Anzeigefilter von Wireshark die Aufzeichnung oder Anzeige von Paketen auf dem Bildschirm einschränken, geht die Kolorierungsfunktion noch einen Schritt weiter: Sie kann anhand ihres individuellen Farbtons zwischen verschiedenen Pakettypen unterscheiden. Dadurch werden bestimmte Pakete innerhalb eines gespeicherten Satzes anhand ihrer Zeilenfarbe im Paketlistenbereich schnell gefunden.

Wireshark enthält ca. 20 Standardfarbregeln, die jeweils bearbeitet, deaktiviert oder gelöscht werden können. Wählen Sie Ansicht > Farbregeln für einen Überblick darüber, was jede Farbe bedeutet. Sie können auch Ihre eigenen farbbasierten Filter hinzufügen.

Wählen Sie Ansicht aus > Paketliste einfärben zum Ein- und Ausschalten der Paketfärbung.

Statistiken in Wireshark

Weitere nützliche Metriken sind über die verfügbar Statistiken Dropdown-Menü. Dazu gehören Informationen zu Größe und Zeitpunkt der Erfassungsdatei sowie Dutzende von Diagrammen und Grafiken, die thematisch von Aufschlüsselungen der Paketkonversation bis zur Lastverteilung von HTTP-Anforderungen reichen.

Anzeigefilter können über ihre Schnittstellen auf viele dieser Statistiken angewendet werden, und die Ergebnisse können in gängige Dateiformate wie CSV, XML und TXT exportiert werden.

Erweiterte Wireshark-Funktionen

Wireshark unterstützt auch erweiterte Funktionen, einschließlich der Möglichkeit, Protokolldissektoren in der Programmiersprache Lua zu schreiben.

Schreibe einen Kommentar