Einführung
Wireshark ist ein Open-Source-Tool zur Analyse von Netzwerkprotokollen, das für die Systemadministration und -sicherheit unverzichtbar ist. Es zeigt Daten, die im Netzwerk übertragen werden, an und zeigt sie an. Mit Wireshark können Sie entweder Live-Netzwerkpakete erfassen oder für die Offline-Analyse speichern.
Eine der Funktionen von Wireshark, die Sie gerne kennenlernen werden, ist der Anzeigefilter, mit dem Sie nur den Datenverkehr untersuchen können, an dem Sie wirklich interessiert sind. Wireshark ist für verschiedene Plattformen verfügbar, darunter Windows, Linux, MacOS, FreeBSD und einige andere. P>
Einige der Aufgaben, die man mit Wireshark erledigen kann, sind
- Erfassen und Finden von Datenverkehr, der durch Ihr Netzwerk fließt
- Prüfung hunderter verschiedener Protokolle
- Live-Erfassung des Datenverkehrs/Offline-Analyse
- Fehlerbehebung bei verlorenen Paketen und Latenzproblemen
- Untersuchung von Angriffsversuchen oder böswilligen Aktivitäten
In diesem Artikel erklären wir, wie man Wireshark auf dem Ubuntu-System installiert. Die Installationsprozeduren wurden auf Ubuntu 20.04 LTS und Ubuntu 21.04 getestet.
Installieren von Wireshark
Für die Installation von Wireshark müssen Sie also das Repository „Universe“ hinzufügen. Geben Sie dazu den folgenden Befehl im Terminal ein:
$ sudo add-apt-repository universe
Führen Sie nun den folgenden Befehl im Terminal aus, um Wireshark auf Ihrem System zu installieren:
$ sudo apt install Wireshark
Nachdem Sie den obigen Befehl ausgeführt haben, werden Sie möglicherweise zur Bestätigung aufgefordert, drücken Sie y und dann die Eingabetaste, woraufhin die Installation von Wireshark in Ihrem System gestartet wird.
Während der Installation von Wireshark erscheint das folgende Fenster, in dem Sie gefragt werden, ob Sie zulassen möchten, dass Nicht-Superuser Pakete erfassen. Das Aktivieren kann ein Sicherheitsrisiko darstellen, daher ist es besser, es deaktiviert zu lassen und Enter zu drücken .
Sobald die Installation von Wireshark abgeschlossen ist, können Sie sie mit dem folgenden Befehl im Terminal überprüfen:
$ wireshark --version
Wenn also Wireshark erfolgreich installiert wurde, erhalten Sie eine ähnliche Ausgabe, die die installierte Version von Wireshark anzeigt.
Wireshark starten
Jetzt können Sie Wireshark auf Ihrem Ubuntu-Rechner starten und verwenden. Um Wireshark zu starten, geben Sie im Terminal den folgenden Befehl ein:
$ sudo wireshark
Wenn Sie als Root-Benutzer angemeldet sind, können Sie Wireshark auch über die GUI starten. Drücken Sie die Super-Taste und geben Sie wireshark ein in der Suchleiste. Wenn das Symbol für Wireshark erscheint, klicken Sie darauf, um es zu starten.
Denken Sie daran, dass Sie den Netzwerkverkehr nicht erfassen können, wenn Sie Wireshark ohne Root- oder Sudo-Berechtigung starten.
Wenn Wireshark geöffnet wird, sehen Sie die folgende Standardansicht:
Wireshark verwenden
Wireshark ist ein leistungsstarkes Tool mit vielen Funktionen. Hier werden wir nur die Grundlagen der beiden wichtigen Funktionen durchgehen, nämlich:Paketerfassung und Anzeigefilter.
Paketerfassung
Um Pakete mit Wireshark zu erfassen, befolgen Sie die folgenden einfachen Schritte:
1. Wählen Sie aus der Liste der verfügbaren Netzwerkschnittstellen im Wireshark-Fenster die Schnittstelle aus, auf der Sie Pakete erfassen möchten.
2. Klicken Sie in der Symbolleiste oben auf die Schaltfläche Start, um mit der Erfassung der Pakete auf der ausgewählten Schnittstelle zu beginnen, wie im folgenden Screenshot gezeigt.
Wenn derzeit kein Datenverkehr vorhanden ist, können Sie Datenverkehr generieren, indem Sie eine beliebige Website besuchen oder auf eine im Netzwerk freigegebene Datei zugreifen. Danach sehen Sie die erfassten Pakete in Echtzeit.
3. Um die Erfassung der Pakete zu beenden, klicken Sie auf die Stopp-Schaltfläche, wie im folgenden Screenshot gezeigt.
Im obigen Screenshot sehen Sie, dass Wireshark in drei Bereiche unterteilt ist:
1. Der oberste Diskussionsteilnehmer alle von Wireshark erfassten Pakete.
2. Der mittlere Bereich zeigt Paket-Header-Details für jedes ausgewählte Paket.
3. Das dritte Fenster zeigt die Rohdaten jedes ausgewählten Pakets.
Anzeigefilter
Wie Sie in den obigen Screenshots gesehen haben, zeigt Wireshark eine große Anzahl von Paketen für einzelne Netzwerkaktivitäten an. In einem normalen Netzwerk reisen Tausende von Paketen in Ihrem Netzwerk hin und her. Es ist sehr schwierig, ein bestimmtes Paket aus Tausenden von erfassten Paketen zu finden. Hier kommt die Anzeigefilterfunktion von Wireshark.
Mit Wireshark-Anzeigefiltern können Sie nur die Pakettypen anzeigen, nach denen Sie suchen. Auf diese Weise grenzt es die Ergebnisse ein und macht es Ihnen leicht, das zu finden, wonach Sie suchen. Sie können die Ergebnisse basierend auf Protokollen, Quell- und Ziel-IP-Adressen, Portnummer und einigen anderen filtern.
Wireshark hat viele vordefinierte Filter, die Sie verwenden können. Wenn Sie mit der Eingabe des Filternamens beginnen, hilft Ihnen Wireshark bei der automatischen Vervollständigung, indem es Namen vorschlägt. Um nur die Pakete anzuzeigen, die ein bestimmtes Protokoll enthalten, geben Sie den Protokollnamen in das Feld „Anzeigefilter anwenden“ unter der Symbolleiste ein.
Beispiel:
Um nur das STP anzuzeigen Pakete aus allen erfassten Paketen, geben Sie stp ein Wie nachfolgend dargestellt. Nach Eingabe des Filternamens sehen Sie nur den stp Pakete.
Schlussfolgerung
So können Sie Wireshark auf einem Ubuntu 21.04-System installieren und verwenden. Wir haben gerade die Grundlagen des Wireshark-Tools besprochen. Um Wireshark gut zu verstehen, müssen Sie alle Funktionen durchgehen und damit experimentieren.