So funktioniert die Opensource-Netzwerkanalyse

Erste Schritte mit Wireshark

| Autor / Redakteur: Thomas Joos / Andreas Donner

Die Opensource Monitoring- und Analyse-Lösung Wireshark steht kostenfrei zur Verfügung.
Die Opensource Monitoring- und Analyse-Lösung Wireshark steht kostenfrei zur Verfügung. (Bild: Joos / Wireshark.org)

Geht es um die Analyse von Netzwerken, gehört die Opensource-Lösung Wireshark zu den bekanntesten Lösungen dafür. Das Tool steht für Netzwerkanalysen auch als portable Version zur Verfügung.

Wireshark steht für Windows, Linux und macOS X zur Verfügung. Für Windows stellen die Entwickler auch eine portable Version bereit. Nach dem Extrahieren kann Wireshark ohne Installation genutzt werden. Allerdings ist eine Installation meistens besser, da so mehr Funktionen genutzt werden können und Anfänger schneller mit dem Programm zurechtkommen (siehe Abbildung 1).

Im Rahmen der Installation wird zusätzlich die kostenlose Opensource-Erweiterung WinPcap benötigt. Diese wird automatisch mit installiert. Neben der Überwachung von Netzwerken lassen sich mit Wireshark auch Probleme mit USB-Geräten beheben. Dazu wird auf dem Rechner auch noch die Erweiterung USBPcap installiert.

Für den Betrieb in Linux werden zahlreiche Distributionen zur Verfügung gestellt. Vor allem Debian, Ubuntu, Arch Linux, Gentoo, openSUSE, Red Hat, Fedora und Slackware gehören zu den unterstützten Systemen. Wireshark steht auch über die Live-DVD „Kali“ https://www.kali.org zur Verfügung. In diesem Fall muss keine Installation erfolgen, sondern der Rechner mit der DVD gestartet werden.

Benutzeroberfläche verstehen

Nach dem Start der grafischen Oberfläche von Wireshark stehen Administratoren zahlreiche Optionen zur Verfügung. In der Titelleiste sind Informationen zu den aktuellen Scanvorgängen und die Version von Wireshark zu sehen. Darunter zeigt das Tool die Menüleiste mit den verschiedenen zur Verfügung stehenden Befehlen an (siehe Abbildung 2). Besonders wichtig sind an dieser Stelle die Menüpunkte Datei, Bearbeiten und Aufzeichnen. Darunter ist die Symbolleiste zu finden, in der die wichtigsten Befehle zur Steuerung der Scanvorgänge zu sehen sind (siehe Abbildung 2).

Unter der Symbolleiste ist die Filterleiste zu sehen. An dieser Stelle können Administratoren nach Scanvorgängen auch nach bestimmten Inhalten suchen. Der obere Teil des Hauptfensters zeigt wiederum die Scanergebnisse in Echtzeit an. Hier sind in verschiedenen Spalten Informationen zu Paketen zu sehen. Unterhalb der mitgeschnittenen Anzeige der Pakete sind die Inhalte eines Paketes zu sehen, wenn Administratoren ein Paket anklicken.

Scannen in der grafischen Oberfläche

Das Scannen des Netzwerks erfolgt in einer grafischen Oberfläche (siehe Abbildung 3). Sobald der Scanvorgang gestartet wurde, zeigt Wireshark im Fenster bereits Informationen an (siehe Abbildung 4). Die Optionen der einzelnen Scanvorgänge werden in der grafischen Oberfläche Über „Aufzeichnen\Optionen“ gesteuert (siehe Abbildung 5).

Nach dem Start von Wireshark kann eine erste Aufnahme recht schnell erfolgen, in dem auf „Aufzeichnung von Paketen starten“ geklickt wird. Anschließend beginnt die Software bereits mit der Aufzeichnung. Beim Starten der Aufzeichnung kann ausgewählt werden, welche Schnittstelle aufgezeichnet werden soll.

Die Aufzeichnung lässt sich über das Menüband beenden. Anschließend können die Daten analysiert werden. Einzelne Pakete lassen sich mit „Bearbeiten\Paket finden“ oder „Edit\Find Packet“ finden. Im Rahmen des Suchfensters kann ausgewählt werden, wo der gesuchte Text in den mitgeschnittenen Daten gesucht werden soll (siehe Abbildung 6). Hier bietet es sich meistens an die Option „Paketdetails“ auszuwählen.

Scanvorgänge im Detail steuern

Über „Aufzeichnung\Optionen“ lassen sich umfangreiche Einstellungen für Scanvorgänge vornehmen. Auf verschiedenen Registerkarten stehen die Optionen zur Steuerung des aktuellen Scanvorgangs zur Verfügung. Auf der Registerkarte „Eingabe“ wird zunächst festgelegt welche Schnittstelle überwacht werden soll (siehe Abbildung 7).

Wichtig ist die Aktivierung der Option „Promiskuitiven Modus für alle Schnittstellen aktivieren“. Mit dieser Option wird festgelegt, dass Wireshark nicht nur die Pakete aufzeichnet, die für den PC bestimmt sind, auf dem die Software installiert ist, sondern alle Pakete, die durch die Netzwerkkarte laufen.

Über „Capture filter“ oder „Mitschnittfilter für die ausgewählte Schnittstelle“ kann festgelegt werden, welche Daten mitgeschnitten werden sollen. Dazu müssen die einzelnen Daten einfach als Liste aufgenommen werden, zum Beispiel „ip host“. Durch einen Klick auf „Schnittstellen verwalten“ können einzelne Schnittstellen von der Auswahl der Schnittstellen ausgenommen werden. Über die Registerkarte „Entferne Schnittstellen“ lassen sich Wireshark-Installationen auf anderen Rechnern im Netzwerk steuern (siehe Abbildung 8).

Auf der Registerkarte „Ausgabe“ kann festgelegt werden, wie die Daten aufgezeichnet werden (siehe Abbildung 9). Hier wird zum Beispiel gesteuert in welchen Abständen eine neue Aufzeichnungsdatei angelegt werden soll, und welches Format dabei eingesetzt wird. Generell sollte hier die Option auf „pcap-ng“ gesetzt werden. Es besteht die Möglichkeit, ab einer bestimmten Größe oder nach einer bestimmten Zeit eine neue Datei zu erstellen. Durch Aktivierung der Option „Ringpuffer“ kann festgelegt werden, dass ältere Dateien automatisch überschrieben werden.

Auf der Registerkarte „Optionen“ kann festgelegt werden, wann der Mitschnitt (Capture) automatisch beendet werden soll. Außerdem kann hier detailliert festgelegt werden, wie Daten mitgeschnitten werden sollen. Durch Aktivierung der Option „Netzwerknamen auflösen“ werden nicht nur IP-Adressen mitgeschnitten, sondern es findet auch eine Auflösung nach Hostnamen statt. Durch die Option „Transportschichtnamen auflösen“ zeigt Wireshark nicht nur die Ports an, sondern auch den Namen des Dienstes, der diesen Port nutzt. Durch die letzteren beiden Optionen wird die Übersicht des Mitschnitts also deutlich erhöht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44894509 / Monitoring und KI)