Verwendung von Wireshark: Netzwerkanalyse, 2020-Stil

Vor über 20 Jahren kündigte Gerald Combs Ethereal 0.2.0 an, die erste öffentliche Version dessen, was wir heute als Wireshark kennen. Wireshark wurde für Solaris und Linux entwickelt und ist ein Open-Source-Netzwerk- und Paketanalysator. Das Projekt begann 1998 als Ethereal, wurde jedoch 2006 aufgrund von Markenrechtsproblemen in Wireshark geändert.


Heute ist Wireshark der weltweit führende Netzwerkanalysator mit über 600 Autoren, mehreren Auszeichnungen und einer eigenen Entwicklerkonferenz, SharkFest.

Diese Anleitung hilft Ihnen bei der Inbetriebnahme von Wireshark. Wir werden die Grundlagen erläutern, z. B. das Herunterladen und Erfassen, Anzeigen und Filtern von Paketen. Wireshark verfügt über viele erweiterte Funktionen, die im Rahmen dieses Artikels nicht behandelt werden können. Auf wireshark.org finden Sie jedoch zahlreiche Tutorials.

Laden Sie Wireshark herunter und richten Sie es ein

Wireshark kann über die Download-Seite heruntergeladen werden. Um es für Windows oder MacOS zu erhalten, klicken Sie auf die entsprechenden Links im Abschnitt “Stable Release”. Wenn Sie eine Quelle für Linux benötigen, scrollen Sie zum Ende der Seite und suchen Sie den Download für Ihre Version unter “Pakete von Drittanbietern”.

Wireshark-Download

Sobald Sie die Anwendung heruntergeladen haben, können Sie mit dem Einrichtungsvorgang beginnen. Wenn Sie ein Windows-Benutzer sind, müssen Sie die WinPcap-Bibliothek installieren. Auf diese Weise können Sie den Live-Netzwerkverkehr erfassen. Ohne diese Funktion können Sie nur erfasste Pakete anzeigen, die gespeichert wurden. Die neueste Version von Wireshark sollte standardmäßig WinPcap installieren.

Stellen Sie ebenfalls sicher, dass Sie USBPcap installieren, damit Wireshark den Datenverkehr von USB-Geräten erfassen kann.

So erfassen Sie Pakete mit Wireshark

Wireshark basiert auf seiner Fähigkeit, Netzwerkpakete zu erfassen und in einem Format anzuzeigen, das von Sterblichen interpretiert werden kann. Wenn Sie sich nicht sicher sind, um welche Netzwerkpakete es sich handelt, werden diese in unserem IPv4- oder IPv6-Handbuch behandelt.

Nach dem Herunterladen und Installieren können Sie Wireshark starten und mit der Erfassung von Paketen beginnen.

Wireshark-Start

Um den Erfassungsprozess zu starten, müssen Sie Ihre Netzwerkschnittstelle auswählen. Beim Starten der Anwendung werden auf dem Startbildschirm die verfügbaren Netzwerkverbindungen angezeigt. Sie können erweiterte Funktionen auch anzeigen, indem Sie auf “Erfassen” klicken und dann “Optionen” auswählen..

Aufnahmeoptionen

Wählen Sie eine Verbindung zum Erfassen aus durch:

  • Doppelklicken Sie auf den Namen.
  • Verwenden der Tastenkombination STRG + E..
  • Klicken Sie auf die Haifischflosse in der Symbolleiste ganz links.

Sobald dies erledigt ist, wird die aufzuzeichnende Verbindung blau oder grau schattiert und Wireshark beginnt mit der Aufzeichnung des Netzwerkverkehrs und dessen Detaillierung. Um den Aufnahmevorgang zu stoppen, drücken Sie die rote Stopptaste neben der Haifischflossen-Taste. Alternativ können Sie die Tastenkombination STRG + E verwenden.

Bei der Aufnahme mit Wireshark ist der Promiscuous-Modus standardmäßig aktiviert. Es ermöglicht die Erfassung aller Pakete in einem Netzwerk und nicht nur der an Ihren Computer oder Netzwerkadapter adressierten Pakete. Der Promiscuous-Modus wird jedoch nicht von allen Netzwerkhardware und -schnittstellen unterstützt. Sie kann geändert werden, indem Sie auf “Bearbeiten” und dann auf “Einstellungen …” klicken..

Wireshark-Vorlieben

Weitere Informationen zum Promiscuous-Modus finden Sie in den Wireshark-FAQ.

Erfasste Pakete mit Wireshark anzeigen

Nachdem Sie die Daten aufgezeichnet haben, ist es Zeit, sie anzuzeigen. Beim Anzeigen von Paketen werden Informationen in drei Bereichen angezeigt: der Paketliste, den Paketdetails und den Paketbytes. Der Paketlistenbereich ist der oberste und zeigt Zeit, Quelle, Ziel, Protokoll und zusätzliche Informationen an.  

Wireshark-packet_pane1
 

Das Paketdetailfenster befindet sich in der Mitte. Wie der Name schon sagt, werden Details zum ausgewählten Paket angezeigt. Es zeigt den Protokolltyp wie IPv4 oder IPv6 und Adressen wie IP oder MAC in einem zusammenklappbaren Listenformat.

Wireshark-Paket-Fenster2

Der Bereich für Paketbytes befindet sich unten. Es enthält die Rohdaten aus dem Paket und zeigt sie in einem Hexadezimal- oder Bitformat an.

Wireshark-Paket-Fenster3

Filtern von Paketen mit Wireshark

Jedes Mal, wenn Sie den Netzwerkverkehr analysieren, möchten Sie Anwendungen herunterfahren, die Pakete senden, die Sie nicht sehen möchten, um den Verkehr einzugrenzen. Selbst dann bleiben Ihnen wahrscheinlich viele Restpakete zum Durchsuchen übrig. Hier kommen die Filter von Wireshark ins Spiel. Es bietet Erfassungsfilter und Anzeigefilter, und beide wirken sich unterschiedlich auf die Erfassungsdatei aus.

Capture-Filter werden vor Beginn des Aufnahmeprozesses auf die Capture-Datei angewendet, sodass Sie entscheiden können, welche Pakete Wireshark erfassen soll. Anzeigefilter hingegen werden nachträglich auf eine Erfassungsdatei angewendet, sodass Sie nur Pakete anzeigen können, die Ihren spezifischen Kriterien entsprechen.

Um einen Erfassungsfilter hinzuzufügen, klicken Sie in das Eingabefeld über den im Startfenster angezeigten Schnittstellen. Sie können einen Filter wie TDP eingeben oder auf das Lesezeichensymbol links klicken und aus einer Dropdown-Liste auswählen. Für weitere Optionen wählen Sie nach dem Klicken auf das grüne Lesezeichensymbol “Erfassungsfilter verwalten”.

Wireshark-Capture-Filter

Über dem Erfassungsfeld wird ein weiteres Eingabefeld mit der Aufschrift “Anzeigefilter anwenden …” angezeigt, in dem Sie Anzeigefilter auf die gleiche Weise anwenden können, wie für die Anwendung von Erfassungsfiltern beschrieben.

Wireshark-Display-Filter

Farbcodierung mit Wireshark

Mit den Farbregeln von Wireshark können Sie Pakete anhand ihrer hervorgehobenen Farbe weiter trennen und individualisieren. Auf diese Weise können Sie bestimmte Arten von Datenverkehr oder Fehler auf einen Blick erkennen. Die in Wireshark integrierte Farbbibliothek bietet ca. 20 Farbtöne, die alle bearbeitet, deaktiviert oder gelöscht werden können.

Sie können auf die Farboptionen zugreifen, indem Sie in der Symbolleiste auf “Ansicht” klicken und dann “Farbregeln” auswählen.

Wireshark-Farben

Die Paketfärbung kann deaktiviert werden, indem Sie auf “Ansicht” klicken und die Option “Paketliste einfärben” im Dropdown-Menü umschalten.

Wireshark-Farben2

Anzeigen von Netzwerkstatistiken in Wireshark

Wireshark bietet eine Vielzahl von Daten und Metriken zu Ihrem Netzwerk, auf die Sie über das Dropdown-Menü “Statistik” in der Symbolleiste zugreifen können. Die Metriken umfassen aufgelöste Adressen, IPv4-Statistiken, IPv6-Statistiken und andere Diagramme und Grafiken. Dort können Sie auch Anzeigefilter verwenden. Statistiken können auch in verschiedenen Dateiformaten wie .txt, .csv und .xml exportiert werden.

Wireshark-Statistik

Abschließende Gedanken

Wireshark ist ein einfacher, aber vielseitiger Netzwerkanalysator und vor allem kostenlos. Während dieses Handbuch Ihnen die Grundlagen zeigen soll, haben wir erst begonnen, die Oberfläche dessen zu kratzen, was Wireshark kann. Wenn Sie Wireshark beherrschen und Ihre eigenen Protokolldissektoren codieren möchten, ist das offizielle Wireshark-Benutzerhandbuch die maßgebliche Referenz.

Das Wireshark-Wiki ist neben dem Programm eine weitere großartige Ressource, da es Tutorials, Beispielaufnahmen sowie Tools und Plugins enthält.

Weitere Software finden Sie in unseren besten Virenschutzprogrammen, den besten Passwort-Managern und der besten Buchhaltungssoftware. Ansonsten danke fürs Lesen und lass uns in einem Kommentar oder Tweet wissen, ob du Tipps oder Tricks von Wireshark hast.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me