In diesem Wireshark-Tutorial erfahren Sie alles, was Sie über die Verwendung von Wireshark wissen müssen, um das Beste aus Ihrem Netzwerk herauszuholen. Ich werde diese Software von Anfang bis Ende behandeln, vom Herunterladen der Anwendung bis hin zum Zugriff auf erweiterte Funktionen. Sie werden lernen, wie man Pakete analysiert, Filter einsetzt und die erhaltenen Informationen in verwertbare Daten umwandelt. Während des gesamten Tutorials werde ich einige häufig gestellte Fragen und Abkürzungen einbauen, um die Navigation in dieser Software zum Kinderspiel zu machen.
Am Ende des Tutorials verrate ich Ihnen das Geheimnis, wie Sie eine bessere Datenanalyse mit Wireshark erhalten. Tipp: Das Geheimnis, um alle Erkenntnisse aus Wireshark zu gewinnen, besteht darin, es zusammen mit einem kompatiblen Netzwerkanalysetool, wie meinem Favoriten Network Performance Monitor, zu verwenden.
Was ist Wireshark?
Wie funktioniert Wireshark?
Wireshark Download und Installation
Wie man Wireshark zum Erfassen von Paketen verwendet
Fehlersuche mit Packet Capture
Wie man Wireshark liest und die mit Wireshark erfassten Pakete analysiert
Wie man Wireshark zum Überwachen des Netzwerkverkehrs verwendet
Wie man Filter in Wireshark verwendet
Wie man Farb-.Code in Wireshark
Anzeigen von Netzwerkstatistiken mit Wireshark
Erweiterte Wireshark-Funktionen
Das Beste aus Wireshark herausholen
Abschließende Überlegungen zu Wireshark
- Was ist Wireshark?
- Wie funktioniert Wireshark?
- Wireshark Download und Installation
- Wie man Wireshark zum Erfassen von Paketen verwendet
- Fehlersuche mit Packet Capture
- Wie man Wireshark liest und die von Wireshark aufgezeichneten Pakete analysiert
- Wie verwendet man Wireshark zur Überwachung des Netzwerkverkehrs
- Verwendung von Filtern in Wireshark
- Wie man in Wireshark farblich kodiert
- Wie Sie Wireshark zur Anzeige von Netzwerkstatistiken verwenden
- Erweiterte Wireshark-Funktionen
- Das Beste aus Wireshark herausholen
- SolarWinds Network Performance Monitor
- Kostenloser Response Time Viewer für Wireshark
- Abschließende Gedanken zu Wireshark
Was ist Wireshark?
Wireshark, früher unter dem Namen Ethereal bekannt, ist ein beliebtes Tool zur Netzwerkanalyse, mit dem sich Netzwerkpakete aufzeichnen und auf einer detaillierten Ebene anzeigen lassen. Sobald diese Pakete aufgeschlüsselt sind, können Sie sie für Echtzeit- oder Offline-Analysen verwenden. Dies ist ideal für Benutzer, die auf der Grundlage dieser Daten Statistiken erstellen oder sie in ein praktisches Diagramm umwandeln möchten. Die Benutzeroberfläche ist benutzerfreundlich und einfach zu bedienen, sobald Sie die Grundlagen der Paketaufzeichnung kennen.
Wireshark ist einzigartig, weil es völlig kostenlos und quelloffen ist, was es nicht nur zu einem der besten Paketanalysatoren auf dem Markt macht, sondern auch zu einem der zugänglichsten. Die kostenlose Version, die Sie von Wireshark herunterladen, ist die Vollversion – hier gibt es keine Demoversionen mit eingeschränkter Funktionalität.
Wofür wird Wireshark verwendet? Wireshark ist für alle gedacht, die ihre Netzwerkaktivitäten überwachen müssen, vom Heimanwender bis zum IT-Team eines Unternehmens. Viele Überwachungsprogramme sind nicht skalierbar, aber die Leute von Wireshark haben es geschafft, ein Programm zu entwickeln, das ohne eine ganze Reihe von Zusatzprogrammen auskommt, um ein Minimum an Funktionalität zu erhalten. Im Gegensatz dazu machen die zusätzlichen Tools, die ich im Folgenden empfehle, eine gute Sache noch besser.
Was Wireshark einzigartig macht, ist auch das, was es irgendwie problematisch macht. Da Wireshark komplett Open Source ist, gibt es keine solide Supportstruktur. Das bedeutet, dass es keinen technischen Support gibt, keine 1-800-Nummer, die Sie anrufen können, keinen Vertreter, mit dem Sie für sofortige Hilfe sprechen können. Stattdessen müssen Sie in den Foren, Q&As, Tutorials, FAQs und anderen Online-Ressourcen nach Hilfe suchen. Für den fleißigen Heimanwender, der seine Probleme lieber selbst lösen möchte, mag das kein Problem sein, aber die Mitarbeiter eines großen IT-Unternehmens haben nicht unbedingt die Zeit, sich auf eine Erkundungsmission zu begeben. Für viele Unternehmen kann die Verwendung von Open-Source-Software auch rechtliche Probleme mit sich bringen.
Die Benutzer sollten sich darüber im Klaren sein, dass die große Freiheit, die Open-Source-Software bietet, auch eine große Verantwortung mit sich bringt. Dennoch ist dies kein ausreichender Grund, Wireshark komplett abzuschreiben. Es ist wichtig zu prüfen, ob dieses Tool Ihrem Netzwerk einige Vorteile bieten kann.
Zurück zum Anfang
Wie funktioniert Wireshark?
Stellen Sie sich die Netzwerkanalyse wie einen Blick in das Innenleben der Netzwerkinfrastruktur vor. Ein Netzwerkanalysator verfügt über Geräte, die messen, was in einem System vor sich geht. Informationen, die Sie sehen und visuell darstellen können, sind Informationen, die Sie verwenden können.
Wireshark hat viele Einsatzmöglichkeiten, je nachdem, warum Sie an der Überwachung von Paketen interessiert sind. Die meisten Leute verwenden Wireshark, um Probleme in ihrem Netzwerk zu erkennen und auf dieser Grundlage Fehler zu beheben, aber Entwickler können es zum Beispiel auch zum Debuggen von Programmen verwenden. Netzwerksicherheitsingenieure können Sicherheitsprobleme untersuchen, QA-Ingenieure können Netzwerkanwendungen überprüfen, und technisch versierte Personen können Wireshark verwenden, um sich mit den Interna von Netzwerkprotokollen vertraut zu machen.
Wireshark zu verwenden, um den Netzwerkverkehr zu beobachten, ist großartig, aber Wireshark kann nicht für die Erkennung von Eindringlingen verwendet werden. Es wird Sie nicht warnen, wenn etwas Seltsames vor sich geht oder wenn jemand in Ihrem Netzwerk herumhantiert, wo er nicht sein sollte. Es zeigt Ihnen jedoch einige Schlüsseldaten an und hilft Ihnen, im Nachhinein herauszufinden, was vor sich geht.
Da Wireshark ein Messwerkzeug ist, wird es auch keine Veränderungen in Ihrem Netzwerk vornehmen. Es sendet keine Pakete über das Netzwerk oder verändert das Netzwerk. Als Überwachungssoftware ist Wireshark nur für die Analyse und Anzeige von Metriken konzipiert. Zu den wichtigsten Fähigkeiten gehören die folgenden paketbezogenen Funktionen:
- Erfassen, Suchen, Speichern, Exportieren, Importieren und Einfärben von Live-Datenpaketen
- Anzeigen von Paketen mit detaillierten Informationen
- Öffnen von Dateien mit Paketdaten darin, sowohl solche, die in Wireshark erfasst wurden, als auch solche von anderen ähnlichen Programmen
- Filtern Sie Pakete nach einer Vielzahl von Kriterien
- Erstellen Sie Statistiken
Zurück zum Anfang
Wireshark Download und Installation
Zunächst müssen Sie Wireshark herunterladen. Sie können es kostenlos von der Website des Unternehmens herunterladen; Sie sollten die neueste Version für Ihre Plattform aus dem Abschnitt „Stable Release“ auswählen. Windows, Mac und Unix sind die drei wichtigsten unterstützten Plattformen. Hinweis: Wenn der Arbeitsspeicher von Wireshark erschöpft ist, stürzt das Programm ab. Vergewissern Sie sich daher vor der Installation, dass das System, auf dem Sie es installieren, über viel Arbeitsspeicher und Festplattenplatz verfügt.
Installation unter Windows: Nach dem Herunterladen können Sie mit der Einrichtung beginnen. Installieren Sie WinPcap, wenn Sie dazu aufgefordert werden, denn ohne WinPcap können Sie keinen Live-Paketverkehr erfassen. Klicken Sie zur Installation auf das Feld WinPcap installieren, und schon können Sie loslegen.
Installation auf dem Mac: Bereiten Sie sich auf einige leichte Programmierarbeiten vor. Sie benötigen ein Installationsprogramm wie exquartz, um Wireshark für Mac herunterzuladen. Danach öffnen Sie das Terminal und geben den folgenden Befehl ein:
<%/Applications/Wireshark.app/Contents/Mac0S/Wireshark>.
Warten Sie anschließend, bis Wireshark startet.
Installation unter Unix: Die Installation unter Unix ist aufwändiger als auf den anderen beiden Plattformen, also stellen Sie sich auf etwas mehr Programmierarbeit ein. Bevor Sie beginnen, benötigen Sie GTK+, das GIMP-Toolkit und Glib. Das letzte Tool, das Sie benötigen, ist libpcap. Sobald Sie die gesamte unterstützende Software sowie Wireshark heruntergeladen und installiert haben, rufen Sie diese aus der tar-Datei ab. Wechseln Sie dann in das Wireshark-Verzeichnis und geben Sie den folgenden Befehl ein, um die Installation abzuschließen:
./configure
make
make install
Wenn Ihr Computer TShark, aber nicht Wireshark installiert hat, liegt das daran, dass es mehrere Distributionen mit separaten Wireshark-Paketen für GUI- und Nicht-GUI-Komponenten gibt. Dies könnte bei Ihrem System der Fall sein. Versuchen Sie, nach einem separaten Paket mit dem Namen „wireshark-qt“ zu suchen und es zu installieren.
Zurück zum Anfang
Wie man Wireshark zum Erfassen von Paketen verwendet
Das Erlernen der Verwendung von Wireshark zum Erfassen von Paketen kann für Leute, die es noch nie gemacht haben, schwierig sein, und es gibt drei wichtige vorbereitende Schritte.
- Stellen Sie sicher, dass Sie die richtigen administrativen Rechte haben, um eine Live-Erfassung für Ihr Netzwerk durchzuführen
- Wählen Sie die richtige Netzwerkschnittstelle für die Erfassung von Paketdaten
- Erfassen Sie Paketdaten von der richtigen Stelle in Ihrem Netzwerk
Wenn Sie diese Kästchen abgehakt haben, können Sie mit der Erfassung von Paketen beginnen. Es gibt zwei Wireshark-Aufzeichnungsmodi: Promiscuous und Monitor. Am häufigsten werden Sie den Promiscuous-Modus verwenden. Er stellt Ihre Netzwerkschnittstelle so ein, dass sie alle Pakete in dem ihr zugewiesenen Netzwerksegment erfasst und jedes Paket, das sie sieht, detailliert aufzeichnet. Der Monitor-Modus ist nur für Unix/Linux-Systeme verfügbar und stellt die drahtlose Schnittstelle so ein, dass sie den gesamten Datenverkehr erfasst, den sie empfangen kann. Für die Zwecke dieses Wireshark-Tutorials werde ich mich auf den Promiscuous-Modus und den allgemeinen Prozess der Paketaufzeichnung beschränken.
Wenn Sie Wireshark zum ersten Mal starten, sehen Sie einen Willkommensbildschirm mit einer Liste der verfügbaren Netzwerkverbindungen für Ihr Gerät, wie Bluetooth, Wi-Fi und Ethernet. Auf der rechten Seite jeder dieser Netzwerkoptionen befindet sich eine kleine EKG-Linie, die den Live-Verkehr im Netzwerk darstellt.
Um mit der Erfassung von Paketen zu beginnen, klicken Sie einfach auf das Netzwerk, das Sie überwachen möchten, und drücken Sie START. Sie können auch mehrere Netzwerke gleichzeitig überwachen.
Einige praktische Tastenkombinationen
- Tastatur: Drücken Sie CTRL + E
- Symbolleiste: Klicken Sie auf die blaue Haifischflossen-Schaltfläche auf der linken Seite der Wireshark-Symbolleiste
- Codierung: Geben Sie die folgende Befehlszeile ein: <¢ wireshark -i eth0 -k>
Sie sind fertig! Haben Sie sich schon gefragt, wie man Wireshark-Capture-Pakete lesen kann? Da Wireshark die Pakete in ein lesbares Format zerlegt, können Sie eine Menge anderer lustiger Dinge mit ihnen machen, wie Filter anwenden und sie farblich codieren. Dazu später mehr. Um die Aufzeichnung zu beenden, drücken Sie erneut STRG + E auf der Tastatur oder klicken Sie auf die Schaltfläche STOPP neben der Haifischflosse in der Symbolleiste.
Wenn Sie die Paketübertragung in Ihrem Netzwerk aus der Vogelperspektive betrachten möchten, müssen Sie in den Promiscuous-Modus wechseln. Wenn sich Ihr Netzwerk nicht in diesem Modus befindet, erhalten Sie nur einen kleinen Schnappschuss Ihres Netzwerks, was eine Qualitätsanalyse erschwert.
Um den Promiscuous-Modus zu aktivieren, klicken Sie auf das Dialogfeld CAPTURE OPTIONS und wählen Sie ihn aus den Optionen aus. Wenn alles nach Plan läuft, sehen Sie jetzt den gesamten Netzwerkverkehr in Ihrem Netzwerk. Viele Netzwerkschnittstellen sind jedoch für den Promiscuous-Modus nicht empfänglich, seien Sie also nicht beunruhigt, wenn er bei Ihnen nicht funktioniert. Auf der Wireshark-Website finden Sie weitere Informationen zur Softwarekompatibilität.
Wenn Sie Wireshark unter Windows verwenden, haben Sie Glück, denn Sie können mit dem Gerätemanager ganz einfach feststellen, ob Ihre Einstellungen so konfiguriert sind, dass der Promiscuous-Modus abgelehnt wird. Klicken Sie auf das Netzwerk und vergewissern Sie sich, dass die Einstellungen für den Promiscuous-Modus auf ALLES ERLAUBEN eingestellt sind. Der Promiscuous-Modus ermöglicht viele Funktionen von Wireshark, daher sollten Sie alles tun, um sicherzustellen, dass Ihre Schnittstelle ihn verwenden kann, wenn möglich.
Wenn Sie die Erfassung des Netzwerkverkehrs mit Wireshark üben möchten, können Sie „Beispiel-Captures“ verwenden, die Ihnen die Paketdaten eines anderen Netzwerks zeigen. Sie können Beispiel-Captures von der Wireshark-Wiki-Website herunterladen.
Zurück zum Anfang
Fehlersuche mit Packet Capture
Natürlich haben Benutzer Fragen dazu, wie sie den Netzwerkverkehr mit Wireshark aufzeichnen und wie sie die mit Wireshark aufgezeichneten Pakete lesen können, da dies der Hauptzweck des Produkts ist. Aus Zeit- und Platzgründen werde ich nicht auf jede einzelne häufig gestellte Frage eingehen, aber ich werde versuchen, ein paar häufige Probleme mit der Paketaufzeichnung für Mac, Windows und Unix zu behandeln. Wenn Sie alles und jedes wissen wollen, besuchen Sie den FAQ-Bereich der Wireshark-Website.
Hilfe, ich sehe keinen Datenverkehr, wenn ich versuche, Datenverkehr zu erfassen!
Die Wireshark-Experten empfehlen, sich diese Fragen zu stellen: „Sendet der Rechner, auf dem Wireshark läuft, irgendeinen Verkehr auf der Netzwerkschnittstelle, auf der Sie erfassen, oder empfängt er irgendeinen Verkehr auf dem Netzwerk, oder gibt es irgendeinen Broadcast-Verkehr auf dem Netzwerk oder Multicast-Verkehr zu einer Multicast-Gruppe, zu der der Rechner, auf dem Wireshark läuft, gehört?“
Wenn die Antwort auf all diese Fragen nein lautet, läuft Ihr System möglicherweise nicht im Promiscuous Mode. Vergewissern Sie sich, dass er aktiviert ist, wenn Ihr Netzwerk dies zulässt.
Hilfe, ich sehe nur Pakete, die zu meinem System gehen und von ihm kommen, anstatt den gesamten Verkehr!
Es könnte daran liegen, dass die Schnittstelle, auf der Sie die Daten aufzeichnen, eine Ethernet- oder Token-Ring-Switch-Verbindung verwendet, was bedeutet, dass nur Broadcast- und Multicast-Datenverkehr aufgezeichnet wird. Wenn dies nicht der Fall ist, könnte es wiederum daran liegen, dass sich Ihr System nicht im Promiscuous-Modus befindet.
Hilfe, ich führe Wireshark unter Windows aus, aber ich sehe den vom Rechner gesendeten Verkehr nicht!
Wenn Sie eine VPN-Client-Software verwenden, könnte dies der Grund dafür sein. Viele Wireshark-Benutzer haben dieses Problem gemeldet, wenn sie Check Point VPN-Software auf ihrem System haben. Wenn Sie diese entfernen, sollte das Problem behoben sein.
Hilfe, Wireshark meldet, dass keine Schnittstelle gefunden wurde!
Dies ist ein großes Problem. Wenn Wireshark keine Netzwerke finden kann, die an den Computer angeschlossen sind, von dem aus es läuft, erhalten Sie die Fehlermeldung „keine Schnittstelle gefunden“. Das ist natürlich ein großes Problem, weil man ohne Netzwerk keine Pakete aufzeichnen kann. Der Schnittstellenfehler könnte auf restriktive Zugriffsrechte, Firewall-Fehler oder Netzwerkkartenfehler zurückzuführen sein.
Wireshark benötigt Zugriff auf das gesamte Netzwerk, nicht nur auf Administratorrechte unter Windows, so dass ein Problem mit den Zugriffsrechten in WinPcap begründet ist. Vergewissern Sie sich, dass Sie dies während der Installation ordnungsgemäß installiert haben. Auf einem Linux-System führt Wireshark Programme mit Superuser-Rechten aus und muss mit dem sudo-Befehl ausgeführt werden.
Unter Linux muss Wireshark nicht als root ausgeführt werden, dumpcap jedoch schon, und dies könnte die Ursache des Problems sein. Beginnen Sie damit, den folgenden Befehl auszuführen, um dieses Modul zu untersuchen und es richtig zu konfigurieren. Nicht jedes Linux-System ist gleich aufgebaut, also lassen Sie sich nicht entmutigen, wenn dumpcap bei Ihnen nicht als root läuft.
dumpcap setuid root
Nicht funktioniert? Versuchen Sie diesen Backup-Befehl:
setcap ‚CAP_NET_RAW+eip CAP_NET_ADMIN+eip‘ /usr/sbin/dumpcap
Wie sieht es jetzt aus? Wenn Sie immer noch Probleme haben, kann es sein, dass sich der Wireshark-Code im bin-Verzeichnis befindet, obwohl er in sbin sein sollte. Versuchen Sie dies, wenn Sie eine Fehlermeldung erhalten:
setcap ‚CAP_NET_RAW+eip CAP_NET_ADMIN+eip‘ /usr/bin/dumpcap
Von dort aus, versuchen Sie:
chown root /usr/sbin/dumpcap
chmod u+s /usr/sbin/dumpcap
Wenn Wireshark immer noch in bin statt sbin ist, wechseln Sie in der Codestruktur von „/usr/sbin/“ zu „/usr/bin/“. Diese Fehlerbehebungssequenz ist lang, aber sie deckt alle Bereiche ab. Wenn Sie immer noch Probleme haben, ist es vielleicht an der Zeit, in den Blogs nachzuschauen, welche Abhilfemaßnahmen andere Leute ausprobiert und getestet haben.
Theoretisch sollte Ihre Firewall die Aktivität von Wireshark nicht blockieren, aber es ist nicht ausgeschlossen. Um das zu testen, schalten Sie Wireshark aus, schalten Sie Ihre Firewall aus und schalten Sie Wireshark wieder ein, um zu sehen, ob es Ihr Netzwerk jetzt finden kann. Wenn sich herausstellt, dass Ihre Firewall das Problem war, setzen Sie Wireshark als Ausnahme in Ihre Firewall-Regeln.
Wenn alles andere fehlschlägt, müssen Sie schließlich Ihre Netzwerkkarte überprüfen. Das ist ein bisschen weit hergeholt, denn wenn es ein Problem mit Ihrem Netzwerk gibt und Wireshark nicht durchkommt, dann sollte auch nichts durchkommen. Überprüfen Sie es trotzdem, nur für den Fall.
Zurück zum Anfang
Wie man Wireshark liest und die von Wireshark aufgezeichneten Pakete analysiert
Wenn Sie die Aufzeichnung von Paketen beendet haben, ist es an der Zeit, sie zu betrachten. Wireshark unterteilt die Ansicht in drei Bereiche: Paketliste, Paketdetails und Paketbytes.
Der Bereich Paketliste im oberen Teil des Fensters listet alle Pakete aus der Erfassungsdatei auf. Sie können durch jeden der folgenden Datenpunkte blättern:
- Zeit: Zeitstempel für den genauen Zeitpunkt, zu dem das Paket erfasst wurde
- Quelle: die IP-Adresse, von der das Paket stammt
- Ziel: die Adresse, an die das Paket gerichtet ist
- Protokoll: Name des Protokolls des Pakets
- Länge: Länge des Pakets in Bytes
- Info: zusätzliche Details
Der Abschnitt Paketdetails enthält die Protokolle und Protokollfelder des ausgewählten Pakets in zusammenklappbarer Form. Paketbytes, unten auf der Seite, zeigt die internen Daten für das ausgewählte Paket an. Standardmäßig werden diese Informationen im Hexadezimalformat angezeigt, aber wenn Sie sie in das Bitformat ändern möchten, können Sie mit der rechten Maustaste auf das Fenster klicken und diese Option aus dem Menü auswählen.
Für die visuellen Lernenden unter Ihnen können Sie Wireshark verwenden, um den Netzwerkverkehr in einem IO-Diagramm anzuzeigen. Klicken Sie einfach auf das Menü STATISTIK und wählen Sie IO GRAPHS. Sie können das Diagramm je nach den anzuzeigenden Daten mit den gewünschten Einstellungen einrichten. Es ist nur ein Diagramm automatisch aktiviert. Wenn Sie weitere Diagramme erstellen möchten, müssen Sie diese manuell anklicken. Um dem Diagramm einen Anzeigefilter hinzuzufügen, klicken Sie auf das Filtersymbol in dem Diagramm, mit dem Sie arbeiten möchten. Schließlich verwenden Sie die Stilspalte, um die Art des Diagramms zu ändern, das Sie zur Anzeige Ihrer Paketdaten verwenden – Linie, FBar, Punkt oder Impuls.
Zurück zum Anfang
Wie verwendet man Wireshark zur Überwachung des Netzwerkverkehrs
Nun wissen Sie, wie man Pakete erfasst und analysiert, aber wie verwendet man Wireshark zur Überwachung des Netzwerkverkehrs? Im Großen und Ganzen wollen Sie die mit Wireshark erfassten Pakete in verschiedene Formen zerlegen. Sobald Sie diese Formen haben, werden Sie in der Lage sein, zu sehen, was in Ihrem Netzwerk vor sich geht.
Stellen Sie sich den Netzwerküberwachungsprozess wie das Ausmalen eines Bildes nach Zahlen vor. Die Umrisse des großen Bildes sind bereits vorhanden, und Sie haben eine grobe Vorstellung davon, wie das Bild aussehen wird, wenn es fertig ist. Um es zum Leben zu erwecken, müssen Sie Stück für Stück mit dem Ausmalen beginnen; erst dann wird die Vision klar. Mit anderen Worten: Es ist einfacher, sich eine große Datenmenge vorzustellen, wenn man sie anhand bestimmter Faktoren aufschlüsselt und dann wieder zusammensetzt.
Damit die Benutzer die eingehenden Daten schnell und einfach verstehen können, verwendet Wireshark Filter, Farbkodierung und Netzwerkstatistiken, um eine Bestandsaufnahme der Netzwerkdaten zu erstellen. Bevor Sie mit einer dieser Optionen beginnen, sollten Sie sicherstellen, dass der aktive Datenverkehr auf ein Minimum reduziert ist. Schließen Sie alle aktiven Anwendungen, die in Ihrem Netzwerk laufen; dies erleichtert den Überblick über Ihr Netzwerk. Da Sie jedoch nicht buchstäblich alles abschalten können, müssen Sie damit rechnen, dass eine angemessene Menge an Paketen hin- und hergeschickt wird.
Zurück zum Anfang
Verwendung von Filtern in Wireshark
Filter sind besonders wichtig bei der Analyse großer Dateien. Wenn Ihre Verbindung in Betrieb ist, werden jede Sekunde Tausende von Paketen durch Ihr Netzwerk geschickt. Das Herausfiltern aller Informationen, die Sie zu einem bestimmten Zeitpunkt nicht benötigen, ist der erste Schritt, um sich ein klares Bild von Ihrem Netzwerk zu machen.
In Wireshark stehen viele eingebettete Funktionen zur Verfügung, aber am häufigsten werden Sie Capture und Display verwenden. Erfassungsfilter filtern Pakete, indem sie die Größe der eingehenden Paketerfassung reduzieren und im Wesentlichen einige ausblenden, während sie andere aufnehmen. Denken Sie daran, dass Erfassungsfilter nicht mehr geändert werden können, sobald die Erfassung begonnen hat, und dass sie auf Pakete angewendet werden, sobald Sie mit der Überwachung des Netzwerkverkehrs beginnen.
Anzeigefilter hingegen können verwendet werden, um bereits aufgezeichnete Daten zu filtern. Anzeigefilter bestimmen die Daten, die Sie sehen, wenn Sie zuvor aufgezeichnete Faktoren durchsehen.
Um einen der vorhandenen Filter durchzusehen, suchen Sie seinen Namen im Feld ANWENDEN EINES ANZEIGEFILTERS unterhalb der Wireshark-Symbolleiste oder im Feld EINGEBEN EINES AUFNAHMEFILTERS in der Mitte des Willkommensbildschirms. Sie können auch einen Filter auswählen, indem Sie auf das Lesezeichensymbol links neben dem Eingabefeld klicken. Es wird ein Menü mit einer Liste der am häufigsten verwendeten Filter angezeigt, aus der Sie wählen können, sowie eine Option zur Verwaltung der Aufnahme- und Anzeigefunktionen. Sie können durch die zuvor verwendeten Funktionen blättern, indem Sie auf den Abwärtspfeil auf der rechten Seite des Eingabefeldes drücken und ein Dropdown-Menü anzeigen lassen.
Zurück zum Anfang
Wie man in Wireshark farblich kodiert
Neben der Filterung können Sie auch verschiedene Farben verwenden, um unterschiedliche Pakettypen zu identifizieren. Zum Beispiel ist TCP RST dunkelrot und ICMP ist hellrosa. Pakete mit Fehlern werden der Einfachheit halber automatisch schwarz kodiert.
Die Standardeinstellungen von Wireshark enthalten etwa 20 Farben, aus denen Sie wählen können, und Sie können Ihr System nach Belieben einfärben. Sie können diese nach Belieben bearbeiten, löschen und deaktivieren. Wenn Sie die Farbcodierung ganz ausschalten möchten, klicken Sie auf das Menü ANSICHT und dann auf PAKETLISTE FARBEN. Wenn Sie mehr über die Farbkodierung in Wireshark im Allgemeinen erfahren möchten, wählen Sie ANSICHT>FARBREGELN.
Wie Sie Wireshark zur Anzeige von Netzwerkstatistiken verwenden
Die Statistikfunktion am oberen Rand des Bildschirms ist hervorragend geeignet, um mehr Informationen über Ihr Netzwerk zu erhalten. Wireshark bietet Ihnen eine Vielzahl von Metriken, um Paketinformationen aufzuschlüsseln. Hier sind einige der wichtigsten Optionen aus dem Menü:
- Protokollhierarchie: öffnet ein Fenster mit einer Tabelle aller erfassten Pakete
- Konversationen: zeigt die Netzwerkkonversation zwischen zwei Endpunkten an, z. B. eine IP-Adresse zu einer anderen
- Endpunkte: Zeigt eine Liste von Endpunkten
- TcpPduTime: Zeigt eine Aufzeichnung der Zeit, die benötigt wurde, um Daten von einer Data Protocol Unit abzurufen
- VoIP-Anrufe: Listet VoIP-Anrufe aus Live-Paketaufzeichnungen auf
- Multicast-Stream: Ermittelt Multicast-Streams und misst die Geschwindigkeit einer Reihe anderer Komponenten
- IO-Graphen: Zeigt alle Graphen, die Sie in Wireshark erstellen
- RTP-Statistiken: Speichert den Inhalt eines RPT-Audiostreams direkt in eine separate Datei
- Service-Antwortzeit: Zeigt an, wie lange das Netzwerk braucht, um auf eine Anfrage zu antworten
Zurück zum Anfang
Erweiterte Wireshark-Funktionen
Wenn Sie Wireshark bereits beherrschen und die Überwachung der Netzwerkleistung auf die nächste Stufe heben wollen, finden Sie in der Software eine Reihe von erweiterten Funktionen, mit denen Sie spielen können. Unter anderem können Sie Entschlüsselungssoftware verwenden, um verschlüsselte Pakete zu bearbeiten, und Ihre eigenen Protokoll-Dissektoren in Lua entwickeln. Macht Spaß, nicht wahr?
Das Beste aus Wireshark herausholen
Sobald Sie die Grundlagen der Verwendung von Wireshark kennen, ist es an der Zeit, sie zu vertiefen. Es ist großartig, aber zusätzliche Software macht es noch besser. Es gibt auch Netzwerküberwachungs-Tools, die mit Wireshark kompatibel sind, und ich habe mir diese angesehen, um Ihnen meine Top-Tipps zu präsentieren.
SolarWinds Network Performance Monitor
SolarWinds® Network Performance Monitor (NPM) ist eines der besten und umfassendsten Netzwerküberwachungs-Tools auf dem Markt und bietet eine Netzwerküberwachung, die weit über die Möglichkeiten von Wireshark hinausgeht. Schließlich kann man nie genug Analysen haben.
Network Performance Monitor ist ein herstellerübergreifendes Netzwerküberwachungssystem, das speziell für Skalierbarkeit und die Sicherheit Ihres Netzwerks entwickelt wurde. Wenn es um Netzwerksicherheit geht, können Sie nicht schützen, was Sie nicht sehen können, und mit NPM können Sie alles sehen. Die LUCID-Benutzeroberfläche (logisch, benutzerfreundlich, anpassbar, interaktiv, Drill-Down) gibt Ihnen einen vollständigen Überblick über alle Netzwerkoperationen, so dass Sie Ihr gesamtes System sehen können, ohne zwischen verschiedenen Ansichten und Bildschirmen hin- und herwechseln zu müssen. Ein Live-Performance-Analyse-Dashboard zeigt Ihre Infrastruktur in Echtzeit an.
Network Performance Monitor bietet eine breite Palette von Tools zur Überwachung und Analyse der Netzwerkleistung, einschließlich einer Reihe von Funktionen für die Paketanalyse, erweiterte Warnmeldungen, Berichte und Problemdiagnosen. Es ist vollständig anpassbar, so dass Sie zwischen Webressourcen, Karten und Ansichten wechseln können, je nachdem, was für Ihr System am besten geeignet ist.
Die Verwendung von Wi-Fi-Heatmaps zur Identifizierung von toten Netzwerkzonen und Bereichen mit schwachen Signalen im Netzwerk ist wahrscheinlich meine Lieblingsfunktion. Es ist nicht mehr schwer herauszufinden, in welchen Bereichen Ihres Netzwerks die größte Verzögerung auftritt. Liegt es an einer App? Liegt es an meinem gesamten Netzwerk? Kein Rätselraten mehr. Die Funktionen NetPath, PerfStack und Intelligent Map in NPM sind eine große Hilfe bei der Fehlersuche.
Ich verwende Network Performance Monitor für die kontinuierliche Überwachung und Analyse meines gesamten Netzwerks. Wenn Sie Wireshark neben dieser Analyse verwenden möchten, können Sie das tun, aber ich bin mir nicht sicher, ob Sie es brauchen! Network Performance Monitor ist eine bessere Lösung für Unternehmen, vor allem für diejenigen, die sich nicht mit dem Aufwand von Open-Source-Software herumschlagen wollen. Stellen Sie einfach sicher, dass Sie NPM auf Windows Server 2016 oder höher ausführen.
Kostenloser Response Time Viewer für Wireshark
Sind Sie sich nicht sicher, ob Sie bereit sind, sich voll und ganz zu engagieren? Das kostenlose Tool „Response Time Viewer for Wireshark“ von SolarWinds ist wie ein Probelauf von Network Performance Monitor. Ich empfehle es, wenn Sie noch nicht bereit sind, in ein größeres System zu investieren.
Mit dem Response Time Viewer können Sie schnell Wireshark-Paketaufzeichnungsdateien durchlaufen, sie analysieren und anhand der Ergebnisse Probleme mit der Netzwerkleistung beheben. Er kann die Netzwerk-Antwortzeit in über 1.200 Anwendungen berechnen und das Daten-/Transaktionsvolumen detailliert anzeigen. So können Sie leichter erkennen, wo Ihr Netzwerk vielleicht etwas langsam ist, und entsprechende Verbesserungen planen. Es zeigt Ihnen, wie Sie auf den Möglichkeiten von Wireshark aufbauen können und welche neuen Tools und Funktionen Ihren Netzwerküberwachungsprozess verbessern könnten.
Abschließende Gedanken zu Wireshark
Damit sind wir am Ende unseres Wireshark-Tutorials angelangt. Ich denke, Sie werden feststellen, dass Wireshark ein vielseitiges Tool ist, das einfach zu bedienen ist und eine willkommene Ergänzung Ihres Software-Repertoires darstellt. Wenn Sie sich entschließen, Wireshark für Ihr System zu verwenden, empfehle ich Ihnen, eine kostenlose Testversion von SolarWinds Network Performance Monitor herunterzuladen, um weitere Einblicke zu erhalten.