So verwenden Sie Wireshark: Ein vollständiges Tutorial

Inhaltsverzeichnis:

So verwenden Sie Wireshark: Ein vollständiges Tutorial
So verwenden Sie Wireshark: Ein vollständiges Tutorial
Anonim

Was man wissen sollte

  • Wireshark ist eine Open-Source-Anwendung, die Daten erfasst und anzeigt, die in einem Netzwerk hin und her übertragen werden.
  • Da es den Inh alt jedes Pakets aufschlüsseln und lesen kann, wird es verwendet, um Netzwerkprobleme zu beheben und Software zu testen.

Die Anweisungen in diesem Artikel gelten für Wireshark 3.0.3 für Windows und Mac.

Bottom Line

Wireshark, ursprünglich bekannt als Ethereal, zeigt Daten von Hunderten verschiedener Protokolle auf allen wichtigen Netzwerktypen an. Datenpakete können in Echtzeit eingesehen oder offline analysiert werden. Wireshark unterstützt Dutzende von Capture/Trace-Dateiformaten, einschließlich CAP und ERF. Integrierte Entschlüsselungstools zeigen die verschlüsselten Pakete für mehrere gängige Protokolle an, darunter WEP und WPA/WPA2.

Wie man Wireshark herunterlädt und installiert

Wireshark kann sowohl für macOS als auch für Windows kostenlos von der Website der Wireshark Foundation heruntergeladen werden. Sie sehen die neueste stabile Version und die aktuelle Entwicklungsversion. Laden Sie die stabile Version herunter, es sei denn, Sie sind ein fortgeschrittener Benutzer.

Image
Image

Wählen Sie während des Windows-Setup-Prozesses die Installation von WinPcap oder Npcap, wenn Sie dazu aufgefordert werden, da diese Bibliotheken enth alten, die für die Live-Datenerfassung erforderlich sind.

Image
Image

Sie müssen als Administrator am Gerät angemeldet sein, um Wireshark verwenden zu können. Suchen Sie unter Windows 10 nach Wireshark und wählen Sie Als Administrator ausführen Klicken Sie unter macOS mit der rechten Maustaste auf das App-Symbol und wählen Sie Get InfoGeben Sie in den Einstellungen Freigabe & Berechtigungen dem Administrator Lesen & Schreiben Berechtigungen.

Image
Image

Die Anwendung ist auch für Linux und andere UNIX-ähnliche Plattformen verfügbar, einschließlich Red Hat, Solaris und FreeBSD. Die für diese Betriebssysteme erforderlichen Binärdateien finden Sie weiter unten auf der Wireshark-Downloadseite im Abschnitt Pakete von Drittanbietern. Sie können den Quellcode von Wireshark auch von dieser Seite herunterladen.

Datenpakete mit Wireshark erfassen

Wenn Sie Wireshark starten, listet ein Begrüßungsbildschirm die verfügbaren Netzwerkverbindungen auf Ihrem aktuellen Gerät auf. Rechts von jedem wird ein Liniendiagramm im EKG-Stil angezeigt, das den Live-Verkehr in diesem Netzwerk darstellt.

Um mit der Erfassung von Paketen mit Wireshark zu beginnen:

  1. Wählen Sie eines oder mehrere Netzwerke aus, gehen Sie zur Menüleiste und wählen Sie dann Capture.

    Um mehrere Netzwerke auszuwählen, h alten Sie die Umsch alttaste gedrückt, während Sie Ihre Auswahl treffen.

    Image
    Image
  2. Im Fenster Wireshark Capture Interfaces wählen Sie Start.

    Es gibt andere Möglichkeiten, die Paketerfassung zu initiieren. Wählen Sie Haifischflosse auf der linken Seite der Wireshark-Symbolleiste, drücken Sie Strg+E oder doppelklicken Sie auf das Netzwerk.

    Image
    Image
  3. Wählen Sie Datei > Speichern unter oder wählen Sie eine Exportieren Option, um die Aufnahme aufzuzeichnen.

    Image
    Image
  4. Um die Aufnahme zu beenden, drücken Sie Strg+E. Oder gehen Sie zur Wireshark-Symbolleiste und wählen Sie die rote Sch altfläche Stop, die sich neben der Haifischflosse befindet.

    Image
    Image

Ansehen und Analysieren von Paketinh alten

Die Schnittstelle für erfasste Daten enthält drei Hauptabschnitte:

  • Das Paketlistenfeld (der obere Abschnitt)
  • Das Feld mit den Paketdetails (der mittlere Bereich)
  • Das Feld für Paketbytes (der untere Abschnitt)
Image
Image

Paketliste

Der Paketlistenbereich oben im Fenster zeigt alle Pakete, die in der aktiven Capture-Datei gefunden wurden. Jedes Paket hat seine eigene Zeile und die ihm zugeordnete Nummer, zusammen mit jedem dieser Datenpunkte:

  • No: Dieses Feld gibt an, welche Pakete Teil derselben Konversation sind. Es bleibt leer, bis Sie ein Paket auswählen.
  • Time: In dieser Sp alte wird der Zeitstempel angezeigt, wann das Paket erfasst wurde. Das Standardformat ist die Anzahl der Sekunden oder Sekundenbruchteile seit der ersten Erstellung dieser bestimmten Aufnahmedatei.
  • Quelle: Diese Sp alte enthält die Adresse (IP oder andere), von der das Paket stammt.
  • Destination: Diese Sp alte enthält die Adresse, an die das Paket gesendet wird.
  • Protocol: Der Protokollname des Pakets, zB TCP, kann in dieser Sp alte gefunden werden.
  • Länge: In dieser Sp alte wird die Paketlänge in Bytes angezeigt.
  • Info: Zusätzliche Details über das Paket werden hier angezeigt. Der Inh alt dieser Sp alte kann je nach Paketinh alt stark variieren.

Um das Zeitformat in ein sinnvolleres Format zu ändern (z. B. die tatsächliche Uhrzeit), wählen Sie Anzeigen > Zeitanzeigeformat.

Image
Image

Wenn ein Paket im oberen Bereich ausgewählt ist, werden Sie möglicherweise bemerken, dass ein oder mehrere Symbole in der Sp alte Nr. erscheinen. Offene oder geschlossene Klammern und eine gerade horizontale Linie zeigen an, ob ein Paket oder eine Gruppe von Paketen Teil derselben Hin- und Her-Konversation im Netzwerk ist. Eine unterbrochene horizontale Linie bedeutet, dass ein Paket nicht Teil der Konversation ist.

Image
Image

Paketdetails

Der Detailbereich in der Mitte zeigt die Protokolle und Protokollfelder des ausgewählten Pakets in einem zusammenklappbaren Format. Sie können nicht nur jede Auswahl erweitern, sondern auch einzelne Wireshark-Filter basierend auf bestimmten Details anwenden und Datenströme basierend auf dem Protokolltyp verfolgen, indem Sie mit der rechten Maustaste auf das gewünschte Element klicken.

Image
Image

Paketbytes

Unten befindet sich der Paket-Bytes-Bereich, der die Rohdaten des ausgewählten Pakets in einer hexadezimalen Ansicht anzeigt. Dieser Hex-Dump enthält 16 hexadezimale Bytes und 16 ASCII-Bytes neben dem Daten-Offset.

Wenn Sie einen bestimmten Teil dieser Daten auswählen, wird automatisch der entsprechende Abschnitt im Paketdetailbereich hervorgehoben und umgekehrt. Nicht druckbare Bytes werden durch einen Punkt dargestellt.

Image
Image

Um diese Daten im Bitformat statt im Hexadezimalformat anzuzeigen, klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im Bereich und wählen Sie as bits.

Image
Image

Verwendung von Wireshark-Filtern

Erfassungsfilter weisen Wireshark an, nur Pakete aufzuzeichnen, die bestimmte Kriterien erfüllen. Filter können auch auf eine erstellte Capture-Datei angewendet werden, sodass nur bestimmte Pakete angezeigt werden. Diese werden als Anzeigefilter bezeichnet.

Wireshark bietet standardmäßig eine große Anzahl vordefinierter Filter. Um einen dieser vorhandenen Filter zu verwenden, geben Sie seinen Namen in das Eingabefeld Anzeigefilter anwenden unterhalb der Wireshark-Symbolleiste oder in das Feld Erfassungsfilter eingeben einFeld in der Mitte des Willkommensbildschirms.

Wenn Sie beispielsweise TCP-Pakete anzeigen möchten, geben Sie tcp ein. Die Funktion zur automatischen Vervollständigung von Wireshark zeigt Namensvorschläge an, während Sie mit der Eingabe beginnen, wodurch es einfacher wird, den richtigen Moniker für den gesuchten Filter zu finden.

Image
Image

Eine andere Möglichkeit, einen Filter auszuwählen, ist die Auswahl des Lesezeichens auf der linken Seite des Eingabefelds. Wählen Sie Filterausdrücke verw alten oder Anzeigefilter verw alten, um Filter hinzuzufügen, zu entfernen oder zu bearbeiten.

Image
Image

Sie können auch auf zuvor verwendete Filter zugreifen, indem Sie den Abwärtspfeil auf der rechten Seite des Eingabefelds auswählen, um eine Verlaufs-Dropdown-Liste anzuzeigen.

Image
Image

Erfassungsfilter werden angewendet, sobald Sie mit der Aufzeichnung des Netzwerkverkehrs beginnen. Um einen Anzeigefilter anzuwenden, wählen Sie den Rechtspfeil auf der rechten Seite des Eingabefelds.

Wireshark-Farbregeln

Während die Erfassungs- und Anzeigefilter von Wireshark einschränken, welche Pakete aufgezeichnet oder auf dem Bildschirm angezeigt werden, geht die Farbfunktion noch einen Schritt weiter: Sie kann verschiedene Pakettypen anhand ihres individuellen Farbtons unterscheiden. Dadurch werden bestimmte Pakete innerhalb eines gespeicherten Satzes anhand ihrer Zeilenfarbe im Paketlistenbereich schnell lokalisiert.

Image
Image

Wireshark enthält etwa 20 Standard-Farbregeln, die alle bearbeitet, deaktiviert oder gelöscht werden können. Wählen Sie View > Coloring Rules für eine Übersicht über die Bedeutung der einzelnen Farben. Sie können auch Ihre eigenen farbbasierten Filter hinzufügen.

Image
Image

Wählen Sie Anzeigen > Paketliste einfärben um die Paketeinfärbung ein- und auszusch alten.

Statistiken in Wireshark

Weitere nützliche Messwerte sind über das Drop-down-Menü Statistiken verfügbar. Dazu gehören Größen- und Timing-Informationen über die Erfassungsdatei sowie Dutzende von Diagrammen und Grafiken, die thematisch von Aufschlüsselungen der Paketkonversation bis zur Lastverteilung von HTTP-Anforderungen reichen.

Image
Image

Auf viele dieser Statistiken können über ihre Schnittstellen Anzeigefilter angewendet werden, und die Ergebnisse können in gängige Dateiformate exportiert werden, einschließlich CSV, XML und TXT.

Erweiterte Funktionen von Wireshark

Wireshark unterstützt auch erweiterte Funktionen, einschließlich der Fähigkeit, Protokoll-Dissektoren in der Programmiersprache Lua zu schreiben.

Empfohlen: