Definition Wireshark

Netzwerküberwachung mit Wireshark

| Autor / Redakteur: tutanch / Peter Schmitz

Wireshark ist eine freie Analysesoftware für Datenpakete auf Protokollebene, die sich zur Netzwerküberwachung und Fehlersuche einsetzen lässt.
Wireshark ist eine freie Analysesoftware für Datenpakete auf Protokollebene, die sich zur Netzwerküberwachung und Fehlersuche einsetzen lässt. (Bild: Pixabay / CC0)

Der Netzwerk-Sniffer Wireshark ist eine frei erhältliche Software, mit der sich Datenverbindungen auf Protokollebene mitlesen und auswerten lassen. Das Netzwerkanalyse-Tool kann für die Fehlersuche und Fehleranalyse oder im Bereich der IT-Sicherheit eingesetzt werden.

Wireshark entstand aus der Software Ethereal als freie und unter der GNU General Public License stehende, quelloffene Software. Ethereal existiert zwar noch immer, wird aber nicht mehr weiterentwickelt. Wireshark hingegen wird ständig verbessert und ist für verschiedene Betriebssysteme wie Windows, Linux, Solaris oder MacOS erhältlich. Die wesentlichen Funktionen von Wireshark sind das Mitschneiden von Datenverkehr auf verschiedenen Netzwerkschnittstellen und das Aufbereiten der Daten. Die Software ist in der Lage, eine Vielzahl verschiedener Protokolle automatisch zu erkennen und die wichtigsten Informationen des Protokollheaders übersichtlich, für Menschen lesbar darzustellen. Zudem kann Wireshark die Inhalte der transportierten Daten auswerten. Für das Mitlesen auf den unterschiedlichen Schnittstellen kommen spezielle Programmpakete wie pcap oder WinPcap zum Einsatz. Frei definierbare Filter innerhalb von Wireshark erlauben es, spezifische Pakete oder Verbindungen aus dem mitgeschnittenen Datenverkehr zu isolieren. Darüber hinaus erstellt die Software Statistiken zum Datenfluss, Verbindungsübersichten oder zeitliche Ablaufdiagramme von Kommunikationsverbindungen. Selbst das Extrahieren von binären Inhalten wie Bildern aus dem Datenstrom ist möglich.

Wireshark und der Datenschutz

In modernen geswitchten oder in verschlüsselten WLAN-basierten Netzen lassen sich mit Wireshark an der Netzwerkschnittstelle nur die gesendeten und empfangenen Pakete des jeweiligen Rechners sowie Broadcast-Pakete mitschneiden. In unverschlüsselten WLAN-Netzen und an einem Port eines Hubs hingegen, ist grundsätzlich sämtlicher Datenverkehr aller verbundener Rechner mit Wireshark analysierbar. Bevor Wireshark zur Netzanalyse verwendet wird, ist es wichtig zu prüfen, ob der Einsatz des Tools in der Netzumgebung erlaubt ist oder ob datenschutzrechtliche Regelungen zu berücksichtigen sind. Im privaten Umfeld des eigenen Netzwerks ist der Einsatz eher unkritisch, während in einem Firmennetz eine Erlaubnis einzuholen ist. Ein Abhören von Verbindungen sowie die Speicherung, Verwendung oder Weitergabe der mitgelesenen Daten können unter Umständen strafbar sein.

Externe Capture Files mit Wireshark analysieren

Wireshark kann unterschiedliche Formate verschiedener LAN-Analysatoren einlesen und interpretieren. Dadurch ist es möglich, mit einem externen Analyzer mitgeschnittenen Datenverkehr mit Wireshark zu analysieren. Einige Hardwarehersteller haben in Ihren Netzwerkgeräten wie Router oder Switche Funktionen implementiert, die per Wireshark auswertbare Netzwerktraces in Form von Dateien liefern. Beispielsweise ermöglicht es die in Deutschland weit verbreitete Fritzbox durch ein spezielles Feature, den Datenverkehr auf ihren Schnittstellen mitzuschneiden und eine per Wireshark analysierbare Datei zu erzeugen.

Schwachstellen der IT-Sicherheit mit Wireshark aufspüren

Einer der wichtigsten Einsatzbereiche von Wireshark ist die Überprüfung der IT-Sicherheit und das Aufspüren von Schwachstellen oder aktuellen Gefährdungen von Einzelkomponenten oder Netzwerken. Ein auf einem verdächtigen Rechner mitgeschnittener und per Wireshark analysierter Datenverkehr erlaubt es, alle Kommunikationspartner des Rechners genau zu bestimmen. Dadurch ist es relativ schnell möglich, herauszufinden, ob der Rechner Daten an eine unerwünschte IP-Adresse sendet oder von außen Datenpakete von einer verdächtigen oder unbekannten IP-Adresse erhält. Erfolgt der Mitschnitt des Datenverkehrs an einer zentralen Stelle wie an der WAN-Schnittstelle des Internetzugangsrouters, sind im Wireshark-Trace alle externen Kommunikationspartner des eigenen Netzwerks feststellbar. Auch alle aus dem Internet ankommenden Daten und Verbindungswünsche auf bestimmte IP-Adressen oder Ports sind eindeutig identifizierbar. Durch Wireshark wird sämtlicher Datenverkehr transparent und hinsichtlich der IT-Sicherheit auswertbar. In einem Wireshark Mitschnitt ist es quasi unmöglich, Datenverkehr zu verbergen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Sicherheit für Web­an­wen­dungen mit Zed Attack Proxy

Tool-Tipp: OWASP Zed Attack Proxy (ZAP)

Sicherheit für Web­an­wen­dungen mit Zed Attack Proxy

Administratoren oder Entwickler, die Webanwendungen betreiben, kämpfen ständig mit Sicherheitslücken. Das Open-Source-Tool „Zed Attack Proxy“ (ZAP) gehört zum „Open Web Application Security Project“ (OWASP) und ermöglicht automatisiert Web-Apps auf Sicherheitslücken zu überprüfen und Angriffe durchzuführen. lesen

Die Rückkehr des Festi-Rootkit

Malware-Analyse

Die Rückkehr des Festi-Rootkit

Veraltete Software wird nicht unendlich verkauft, sondern irgendwann vom Markt genommen. Es macht auch keinen Sinn, sie später wieder auf den Markt zu bringen. Gleiches gilt eigentlich auch für Malware. Ist ein Angriffsvektor bekannt, sollten Unternehmen ihn schließen und der Schädling hätte keine Chance mehr. Leider passiert das nicht, dies zeigt die Geschichte von Festi, eines ehemals beliebten Rootkits. lesen

Informationen sammeln mit Kali Linux

Kali Linux Workshop, Teil 2

Informationen sammeln mit Kali Linux

Kali Linux bietet Sicherheitsexperten, Pentestern und neugierigen Nutzern eine umfangreiche Sammlung an Werkzeugen. Das kann auf den ersten Blick etwas zu viel sein. Unsere Artikelserie stellt sinnvolle Tools vor – im zweiten Teil dreht sich alles um das Thema Informationen übers Netzwerk sammeln. lesen

Hochsichere Linux-Distributionen im Überblick

Qubes OS, Tails, Whonix und Co.

Hochsichere Linux-Distributionen im Überblick

Linux gilt als sehr sicheres Betriebssystem, aber manchmal gibt es Einsatzgebiete, für die es ein noch sichereres System braucht. Wer vertraulich arbeiten und kommunizieren muss, oder die Sicherheit des eigenen Netzwerks überwachen will, greift zu speziellen Linux-Distributionen wie z.B. Qubes OS, Tails oder Whonix. Wir stellen einige der bekanntesten und besten Distributionen in diesem Bereich vor. lesen

Schifffahrt in der IoT-Falle

Schadprogramme als Steuermann

Schifffahrt in der IoT-Falle

Schiffe sind die größten Komponenten des Internets der Dings (IoT), und sie sind oft nicht besser geschützt als eine Webcam für 20 Euro. Ein deutscher Sicherheitsexperte knackte die IT einer Millionen-Euro Jacht binnen kürzester Zeit. lesen

Was ist Kali Linux?

Definition Kali Linux

Was ist Kali Linux?

Bei Kali Linux handelt es sich um eine Linux-Distribution, die auf Sicherheits- und Penetrationstests von IT-Systemen spezialisiert ist. Mit zur Distribution gehören zahlreiche Tools und Werkzeuge für die Durchführung unterschiedlichster Testmethoden. lesen

Fingbox: ARP-Rowdy mit guten Absichten

Nutzer müssen Fingbox in the Middle vertrauen

Fingbox: ARP-Rowdy mit guten Absichten

Für ein einfaches Netzwerkgerät ohne Routingfunktionen bietet die Fingbox einen erstaunlichen Funktionsumfang. Wir haben uns genauer angeschaut, welche technischen Tricks der Anbieter hierfür nutzt. lesen

Mit Rettungs-CDs Viren entfernen und Daten retten

Antivirus- und Rettungs-CDs

Mit Rettungs-CDs Viren entfernen und Daten retten

Neben dem Entfernen von Viren können Rettungs-CDs, wie der Name schon sagt, oft auch dabei helfen Daten zu retten. Auf der Rettungs-CD von Kaspersky befinden sich zum Beispiel auch Tools für das Kopieren von Dateien. Aber auch andere Hersteller bieten solche Möglichkeiten. Jeder Admin sollte eine aktuelle Version einer Rettungs-CD in seiner Toolbox haben. lesen

Erste Schritte mit Wireshark

So funktioniert die Opensource-Netzwerkanalyse

Erste Schritte mit Wireshark

Geht es um die Analyse von Netzwerken, gehört die Opensource-Lösung Wireshark zu den bekanntesten Lösungen dafür. Das Tool steht für Netzwerkanalysen auch als portable Version zur Verfügung. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44621856 / Definitionen)