Website-Suche

10 Tipps zur Verwendung von Wireshark zur Analyse von Netzwerkpaketen

In jedem paketvermittelten Netzwerk stellen Pakete Dateneinheiten dar, die zwischen Computern übertragen werden. Es liegt gleichermaßen in der Verantwortung von Netzwerktechnikern und Systemadministratoren, die Pakete zu Sicherheits- und Fehlerbehebungszwecken zu überwachen und zu prüfen.

Dazu greifen sie auf Softwareprogramme namens Netzwerkpaketanalysatoren zurück, wobei Wireshark aufgrund seiner Vielseitigkeit und Benutzerfreundlichkeit vielleicht das beliebteste und am häufigsten verwendete Programm ist. Darüber hinaus können Sie mit Wireshark den Datenverkehr nicht nur in Echtzeit überwachen, sondern ihn auch zur späteren Überprüfung in einer Datei speichern.

Verwandte Lektüre: Beste Linux-Bandbreitenüberwachungstools zur Analyse der Netzwerknutzung

In diesem Artikel geben wir Ihnen 10 Tipps, wie Sie Wireshark zum Analysieren von Paketen in Ihrem Netzwerk verwenden können, und hoffen, dass Sie den Abschnitt „Zusammenfassung“ zu Ihren Lesezeichen hinzufügen möchten, wenn Sie ihn erreichen.

Wireshark unter Linux installieren

Um Wireshark zu installieren, wählen Sie unter https://www.wireshark.org/download.html das richtige Installationsprogramm für Ihr Betriebssystem/Ihre Architektur aus.

Insbesondere wenn Sie Linux verwenden, muss Wireshark direkt in den Repositorys Ihrer Distribution verfügbar sein, um eine einfachere Installation zu ermöglichen. Obwohl sich die Versionen unterscheiden können, sollten die Optionen und Menüs ähnlich – wenn nicht sogar identisch – sein.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

Es gibt einen bekannten Fehler in Debian und Derivaten, der möglicherweise die Auflistung der Netzwerkschnittstellen verhindert, es sei denn, Sie verwenden sudo, um Wireshark zu starten. Um dies zu beheben, folgen Sie der akzeptierten Antwort in diesem Beitrag.

Sobald Wireshark ausgeführt wird, können Sie unter Erfassen die Netzwerkschnittstelle auswählen, die Sie überwachen möchten:

In diesem Artikel verwenden wir eth0, aber Sie können bei Bedarf auch eine andere wählen. Klicken Sie noch nicht auf die Benutzeroberfläche – wir werden dies später tun, sobald wir einige Aufnahmeoptionen überprüft haben.

Aufnahmeoptionen festlegen

Die nützlichsten Erfassungsoptionen, die wir in Betracht ziehen, sind:

  1. Netzwerkschnittstelle – Wie bereits erläutert, analysieren wir nur eingehende oder ausgehende Pakete, die über eth0 eingehen.
  2. Erfassungsfilter – Mit dieser Option können wir angeben, welche Art von Datenverkehr wir nach Port, Protokoll oder Typ überwachen möchten.

Bevor wir mit den Tipps fortfahren, ist es wichtig zu beachten, dass einige Organisationen die Verwendung von Wireshark in ihren Netzwerken verbieten. Wenn Sie Wireshark jedoch nicht für persönliche Zwecke nutzen, stellen Sie sicher, dass Ihre Organisation die Nutzung erlaubt.

Wählen Sie vorerst einfach eth0 aus der Dropdown-Liste aus und klicken Sie auf der Schaltfläche Start. Sie werden den gesamten Datenverkehr sehen, der über diese Schnittstelle läuft. Aufgrund der großen Menge der überprüften Pakete nicht wirklich für Überwachungszwecke nützlich, aber es ist ein Anfang.

Im obigen Bild können wir auch die Symbole sehen, um die verfügbaren Schnittstellen aufzulisten, die aktuelle Aufnahme zu stoppen und sie neu zu starten (rot). Feld links) und zum Konfigurieren und Bearbeiten eines Filters (rotes Feld rechts). Wenn Sie mit der Maus über eines dieser Symbole fahren, wird ein Tooltip angezeigt, der angibt, was es bewirkt.

Wir beginnen mit der Veranschaulichung der Capture-Optionen, während in den Tipps #7 bis #10 erläutert wird, wie man mit einem Capture tatsächlich etwas Nützliches macht.

TIPP #1 – Untersuchen Sie den HTTP-Verkehr

Geben Sie http in das Filterfeld ein und klicken Sie auf Übernehmen. Starten Sie Ihren Browser und gehen Sie zu einer beliebigen Website:

Um mit jedem weiteren Tipp zu beginnen, stoppen Sie die Live-Aufnahme und bearbeiten Sie den Aufnahmefilter.

TIPP #2 – Untersuchen Sie den HTTP-Verkehr von einer bestimmten IP-Adresse

In diesem speziellen Tipp werden wir ip==192.168.0.10&& der Filterzeile voranstellen, um den HTTP-Verkehr zwischen dem lokalen Computer und 192.168.0.10 zu überwachen:

TIPP #3 – Untersuchen Sie den HTTP-Verkehr zu einer bestimmten IP-Adresse

In engem Zusammenhang mit #2 verwenden wir in diesem Fall ip.dst wie folgt als Teil des Erfassungsfilters:

ip.dst==192.168.0.10&&http

Um die Tipps #2 und #3 zu kombinieren, können Sie in der Filterregel ip.addr anstelle von ip.src verwenden. oder ip.dst.

TIPP #4 – Überwachen Sie den Apache- und MySQL-Netzwerkverkehr

Manchmal sind Sie daran interessiert, den Datenverkehr zu untersuchen, der eine (oder beide) Bedingungen erfüllt. Um beispielsweise den Datenverkehr auf den TCP-Ports 80 (Webserver) und 3306 (MySQL-/MariaDB-Datenbankserver) zu überwachen, können Sie eine OR-Bedingung verwenden im Capture-Filter:

tcp.port==80||tcp.port==3306

In den Tipps #2 und #3 führen || und das Wort or zu denselben Ergebnissen. Das Gleiche gilt für && und das Wort und.

TIPP Nr. 5 – Pakete an die angegebene IP-Adresse ablehnen

Um Pakete auszuschließen, die nicht der Filterregel entsprechen, verwenden Sie ! und schließen Sie die Regel in Klammern ein. Um beispielsweise Pakete auszuschließen, die von einer bestimmten IP-Adresse stammen oder an diese weitergeleitet werden, können Sie Folgendes verwenden:

!(ip.addr == 192.168.0.10)

TIPP #6 – Überwachen Sie den lokalen Netzwerkverkehr (192.168.0.0/24)

Die folgende Filterregel zeigt nur lokalen Datenverkehr an und schließt Pakete aus, die ins Internet gehen und aus dem Internet kommen:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

TIPP Nr. 7 – Überwachen Sie den Inhalt einer TCP-Konversation

Um den Inhalt einer TCP-Konversation (Datenaustausch) zu überprüfen, klicken Sie mit der rechten Maustaste auf ein bestimmtes Paket und wählen Sie TCP-Stream folgen. Es öffnet sich ein Fenster mit dem Inhalt der Konversation.

Dazu gehören HTTP-Header, wenn wir den Webverkehr untersuchen, sowie ggf. auch alle Klartext-Anmeldeinformationen, die während des Prozesses übertragen werden.

TIPP Nr. 8 – Bearbeiten Sie die Farbregeln

Ich bin mir sicher, dass Sie bereits bemerkt haben, dass jede Zeile im Erfassungsfenster farbig ist. Standardmäßig wird HTTP-Verkehr im grünen Hintergrund mit schwarzem Text angezeigt, während Prüfsummen-Fehler in rotem Text angezeigt werden mit schwarzem Hintergrund.

Wenn Sie diese Einstellungen ändern möchten, klicken Sie auf das Symbol Farbregeln bearbeiten, wählen Sie einen bestimmten Filter aus und klicken Sie auf Bearbeiten.

TIPP #9 – Speichern Sie die Aufnahme in einer Datei

Durch das Speichern des Erfassungsinhalts können wir ihn genauer untersuchen. Gehen Sie dazu zu Datei → Exportieren und wählen Sie ein Exportformat aus der Liste aus:

TIPP Nr. 10 – Üben Sie mit Capture-Samples

Wenn Sie der Meinung sind, dass Ihr Netzwerk „langweilig ist, stellt Wireshark eine Reihe von Beispiel-Capture-Dateien zur Verfügung, die Sie zum Üben und Lernen verwenden können. Sie können diese SampleCaptures herunterladen und über das Menü Datei → Importieren importieren.

Zusammenfassung

Wireshark ist eine kostenlose Open-Source-Software, wie Sie im FAQ-Bereich der offiziellen Website sehen können. Sie können einen Erfassungsfilter entweder vor oder nach dem Start einer Inspektion konfigurieren.

Falls Sie es noch nicht bemerkt haben: Der Filter verfügt über eine Funktion zur automatischen Vervollständigung, mit der Sie ganz einfach nach den am häufigsten verwendeten Optionen suchen und diese später anpassen können. Damit sind keine Grenzen gesetzt!

Zögern Sie wie immer nicht, uns über das Kommentarformular unten eine Nachricht zu senden, wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben.