So lesen Sie Pakete in Wireshark

Für viele IT-Experten ist Wireshark das Werkzeug der Wahl für die Analyse von Netzwerkpaketen. Die Open-Source-Software ermöglicht es Ihnen, die gesammelten Daten genau zu untersuchen und die Ursache des Problems mit verbesserter Genauigkeit zu bestimmen. Darüber hinaus arbeitet Wireshark in Echtzeit und verwendet neben anderen raffinierten Mechanismen Farbcodierung, um die erfassten Pakete anzuzeigen.

So lesen Sie Pakete in Wireshark

In diesem Tutorial erklären wir, wie Sie Pakete mit Wireshark erfassen, lesen und filtern. Nachfolgend finden Sie Schritt-für-Schritt-Anleitungen und Aufschlüsselungen der grundlegenden Netzwerkanalysefunktionen. Sobald Sie diese grundlegenden Schritte beherrschen, können Sie den Datenverkehrsfluss Ihres Netzwerks überprüfen und Probleme effizienter beheben.

Pakete analysieren

Sobald die Pakete erfasst sind, organisiert Wireshark sie in einem detaillierten Paketlistenbereich, der unglaublich einfach zu lesen ist. Wenn Sie auf die Informationen zu einem einzelnen Paket zugreifen möchten, müssen Sie es nur in der Liste suchen und klicken. Sie können den Baum auch weiter erweitern, um auf die Details jedes im Paket enthaltenen Protokolls zuzugreifen.

Für eine umfassendere Übersicht können Sie jedes erfasste Paket in einem separaten Fenster anzeigen. Hier ist wie:

  1. Wählen Sie das Paket mit dem Cursor aus der Liste aus und klicken Sie dann mit der rechten Maustaste.

  2. Öffnen Sie die Registerkarte "Ansicht" in der Symbolleiste oben.

  3. Wählen Sie „Paket in neuem Fenster anzeigen“ aus dem Dropdown-Menü.

Hinweis: Es ist viel einfacher, die erfassten Pakete zu vergleichen, wenn Sie sie in separaten Fenstern aufrufen.

Wie bereits erwähnt, verwendet Wireshark ein Farbcodierungssystem zur Datenvisualisierung. Jedes Paket ist mit einer anderen Farbe gekennzeichnet, die verschiedene Arten von Datenverkehr repräsentiert. TCP-Datenverkehr wird beispielsweise normalerweise blau hervorgehoben, während Schwarz verwendet wird, um Pakete mit Fehlern anzuzeigen.

Natürlich müssen Sie sich nicht die Bedeutung jeder Farbe merken. Stattdessen können Sie vor Ort nachsehen:

  1. Klicken Sie mit der rechten Maustaste auf das Paket, das Sie untersuchen möchten.

  2. Wählen Sie in der Symbolleiste am oberen Bildschirmrand die Registerkarte „Ansicht“.

  3. Wählen Sie „Farbregeln“ aus dem Dropdown-Feld.

Sie sehen die Option, die Farbgebung nach Ihren Wünschen anzupassen. Wenn Sie die Färberegeln jedoch nur vorübergehend ändern möchten, gehen Sie folgendermaßen vor:

  1. Klicken Sie mit der rechten Maustaste auf das Paket im Paketlistenbereich.
  2. Wählen Sie aus der Liste der Optionen "Mit Filter einfärben".

  3. Wählen Sie die Farbe aus, mit der Sie es beschriften möchten.

Nummer

Der Paketlistenbereich zeigt Ihnen die genaue Anzahl der erfassten Datenbits an. Da die Pakete in mehreren Spalten organisiert sind, ist es ziemlich einfach zu interpretieren. Die Standardkategorien sind:

  • Nr. (Anzahl): Wie bereits erwähnt, finden Sie in dieser Spalte die genaue Anzahl der erfassten Pakete. Die Ziffern bleiben auch nach dem Filtern der Daten gleich.
  • Zeit: Wie Sie vielleicht schon vermutet haben, wird hier der Zeitstempel des Pakets angezeigt.
  • Quelle: Zeigt an, woher das Paket stammt.
  • Ziel: Zeigt den Ort an, an dem das Paket aufbewahrt wird.
  • Protokoll: Zeigt den Namen des Protokolls an, normalerweise in einer Abkürzung.
  • Länge: Zeigt die Anzahl der Bytes an, die im erfassten Paket enthalten sind.
  • Info: Die Spalte enthält zusätzliche Informationen zu einem bestimmten Paket.

Zeit

Da Wireshark den Netzwerkverkehr analysiert, wird jedes erfasste Paket mit einem Zeitstempel versehen. Die Zeitstempel werden dann in den Paketlistenbereich aufgenommen und stehen für eine spätere Überprüfung zur Verfügung.

Wireshark erstellt die Zeitstempel nicht selbst. Stattdessen ruft das Analysetool sie aus der Npcap-Bibliothek ab. Die Quelle des Zeitstempels ist jedoch tatsächlich der Kernel. Aus diesem Grund kann die Genauigkeit des Zeitstempels von Datei zu Datei variieren.

Sie können das Format auswählen, in dem die Zeitstempel in der Paketliste angezeigt werden. Außerdem können Sie die bevorzugte Genauigkeit oder die Anzahl der angezeigten Dezimalstellen einstellen. Abgesehen von der Standardpräzisionseinstellung gibt es auch:

  • Sekunden
  • Zehntelsekunden
  • Hundertstelsekunden
  • Millisekunden
  • Mikrosekunden
  • Nanosekunden

Quelle

Wie der Name schon sagt, ist die Quelle des Pakets der Herkunftsort. Wenn Sie den Quellcode eines Wireshark-Repositorys erhalten möchten, können Sie ihn mithilfe eines Git-Clients herunterladen. Die Methode erfordert jedoch, dass Sie über einen GitLab-Account verfügen. Es ist möglich, es ohne zu tun, aber es ist besser, sich für alle Fälle anzumelden.

Führen Sie nach der Registrierung eines Kontos die folgenden Schritte aus:

  1. Stellen Sie sicher, dass Git funktioniert, indem Sie diesen Befehl verwenden:$ git --version.

  2. Überprüfen Sie, ob Ihre E-Mail-Adresse und Ihr Benutzername konfiguriert sind.
  3. Erstellen Sie als Nächstes einen Klon der Workshark-Quelle. Verwenden Sie die „$ git clone -oupstream [email protected] :wireshark/wireshark.git” SSH-URL, um die Kopie zu erstellen.
  4. Wenn Sie kein GitLab-Konto haben, versuchen Sie es mit der HTTPS-URL:$ git clone -o Upstream //gitlab.com/wireshark/wireshark.git.

Alle Quellen werden anschließend auf Ihr Gerät kopiert. Denken Sie daran, dass das Klonen eine Weile dauern kann, insbesondere wenn Sie eine träge Netzwerkverbindung haben.

Ziel

Wenn Sie die IP-Adresse des Ziels eines bestimmten Pakets wissen möchten, können Sie den Anzeigefilter verwenden, um es zu finden. Hier ist wie:

  1. Eintreten "ip.addr == 8.8.8.8“ in die Wireshark-„Filterbox“. Klicken Sie dann auf "Eingabe".

  2. Der Paketlistenbereich wird neu konfiguriert, um nur das Paketziel anzuzeigen. Suchen Sie die gewünschte IP-Adresse, indem Sie durch die Liste scrollen.

  3. Wenn Sie fertig sind, wählen Sie in der Symbolleiste „Löschen“, um den Paketlistenbereich neu zu konfigurieren.

Protokoll

Ein Protokoll ist eine Richtlinie, die die Datenübertragung zwischen verschiedenen Geräten festlegt, die mit demselben Netzwerk verbunden sind. Jedes Wireshark-Paket enthält ein Protokoll, das Sie mithilfe des Anzeigefilters aufrufen können. Hier ist wie:

  1. Klicken Sie oben im Wireshark-Fenster auf das Dialogfeld „Filter“.
  2. Geben Sie den Namen des Protokolls ein, das Sie untersuchen möchten. Normalerweise werden Protokolltitel in Kleinbuchstaben geschrieben.
  3. Klicken Sie auf „Enter“ oder „Apply“, um den Anzeigefilter zu aktivieren.

Länge

Die Länge eines Wireshark-Pakets wird durch die Anzahl der Bytes bestimmt, die in diesem bestimmten Netzwerk-Snippet erfasst werden. Diese Zahl entspricht normalerweise der Anzahl der Rohdatenbytes, die unten im Wireshark-Fenster aufgeführt sind.

Wenn Sie die Längenverteilung untersuchen möchten, öffnen Sie das Fenster „Paketlängen“. Alle Informationen sind in die folgenden Spalten unterteilt:

  • Paketlängen
  • Zählen
  • Durchschnitt
  • Min Val/Max Val
  • Rate
  • Prozent
  • Burst-Rate
  • Schnellstart

Die Info

Wenn in einem bestimmten erfassten Paket Anomalien oder ähnliche Elemente vorhanden sind, wird Wireshark dies vermerken. Die Informationen werden dann zur weiteren Prüfung im Paketlistenfenster angezeigt. Auf diese Weise erhalten Sie ein klares Bild von atypischem Netzwerkverhalten, was zu schnelleren Reaktionen führt.

Zusätzliche FAQs

Wie kann ich die Paketdaten filtern?

Das Filtern ist eine effiziente Funktion, mit der Sie die Besonderheiten einer bestimmten Datensequenz untersuchen können. Es gibt zwei Arten von Wireshark-Filtern: Capture und Display. Erfassungsfilter sind dazu da, die Paketerfassung auf bestimmte Anforderungen zu beschränken. Mit anderen Worten, Sie können verschiedene Arten von Datenverkehr durchsuchen, indem Sie einen Erfassungsfilter anwenden. Wie der Name schon sagt, können Sie mit Anzeigefiltern ein bestimmtes Element des Pakets von der Paketlänge bis zum Protokoll genauer untersuchen.

Das Anwenden eines Filters ist ein ziemlich einfacher Prozess. Sie können den Filtertitel in das Dialogfeld oben im Wireshark-Fenster eingeben. Darüber hinaus vervollständigt die Software normalerweise den Namen des Filters automatisch.

Wenn Sie alternativ die standardmäßigen Wireshark-Filter durchkämmen möchten, gehen Sie wie folgt vor:

1. Öffnen Sie die Registerkarte „Analyze“ in der Symbolleiste oben im Wireshark-Fenster.

2. Wählen Sie in der Dropdown-Liste „Anzeigefilter“ aus.

3. Durchsuchen Sie die Liste und klicken Sie auf diejenige, die Sie anwenden möchten.

Schließlich sind hier einige gängige Wireshark-Filter, die sich als nützlich erweisen können:

• Um nur die Quell- und Ziel-IP-Adresse anzuzeigen, verwenden Sie:ip.src==IP-Adresse und ip.dst==IP-Adresse

• Um nur den SMTP-Verkehr anzuzeigen, geben Sie Folgendes ein: „tcp.port eq 25

• Um den gesamten Subnetzverkehr zu erfassen, wenden Sie Folgendes an: „netto 192.168.0.0/24

• Um alles außer ARP- und DNS-Verkehr zu erfassen, verwenden Sie:Port nicht 53 und nicht arp

Wie erfasse ich die Paketdaten in Wireshark?

Sobald Sie Wireshark auf Ihr Gerät heruntergeladen haben, können Sie mit der Überwachung Ihrer Netzwerkverbindung beginnen. Um Datenpakete für eine umfassende Analyse zu erfassen, müssen Sie Folgendes tun:

1. Starten Sie Wireshark. Sie sehen eine Liste der verfügbaren Netzwerke, klicken Sie also auf das Netzwerk, das Sie untersuchen möchten. Sie können auch einen Erfassungsfilter anwenden, wenn Sie die Art des Datenverkehrs bestimmen möchten.

2. Wenn Sie mehrere Netzwerke inspizieren möchten, verwenden Sie das Steuerelement „Umschalt + Linksklick“.

3. Klicken Sie als nächstes auf das Haifischflossen-Symbol ganz links in der Symbolleiste oben.

4. Sie können die Aufnahme auch starten, indem Sie auf die Registerkarte „Aufnahme“ klicken und aus der Dropdown-Liste „Start“ auswählen.

5. Eine andere Möglichkeit besteht darin, die Tastenkombination „Strg – E“ zu verwenden.

Während die Software die Daten erfasst, werden sie in Echtzeit im Paketlistenbereich angezeigt.

Hai-Byte

Obwohl Wireshark ein hochentwickelter Netzwerkanalysator ist, ist er überraschend einfach zu interpretieren. Der Paketlistenbereich ist äußerst umfassend und gut organisiert. Alle Informationen sind in sieben verschiedenen Farben verteilt und mit klaren Farbcodes gekennzeichnet.

Darüber hinaus bietet die Open-Source-Software eine Reihe von einfach anwendbaren Filtern, die die Überwachung erleichtern. Durch Aktivieren eines Erfassungsfilters können Sie genau bestimmen, welche Art von Datenverkehr Wireshark analysieren soll. Und sobald die Daten erfasst sind, können Sie mehrere Anzeigefilter für bestimmte Suchen anwenden. Alles in allem ist es ein hocheffizienter Mechanismus, der nicht allzu schwer zu beherrschen ist.

Verwenden Sie Wireshark zur Netzwerkanalyse? Was haltet ihr von der Filterfunktion? Lassen Sie uns in den Kommentaren unten wissen, ob es eine nützliche Paketanalysefunktion gibt, die wir übersprungen haben.

kürzliche Posts