Wireshark ist ein kostenloser und bekannter Analysator für Netzwerkkommunikationsverbindungen, früher bekannt als Ethereal. Es präsentiert erfasste Paketdaten so detailliert wie möglich. Sie können einen Netzwerk-Paketanalysator als ein Messinstrument betrachten, um zu prüfen, was in einem Netzwerkkabel passiert, genau wie ein Elektriker ein Voltmeter verwendet, um zu überprüfen, was sich in einem Elektrokabel befindet.
Vor einiger Zeit waren Wireshark und ähnliche Tools entweder teuer, proprietär oder beides. Nichtsdestotrotz hat sich der Beginn von Wireshark so stark verändert, dass es jetzt kostenlos und quelloffen verfügbar ist und sich als einer der besten Paketanalysatoren erwiesen hat, die heute auf dem Markt erhältlich sind.
Wireshark-Funktionen
- Wireshark ist für Unix und Windows verfügbar.
- Erfasst Live-Paketdaten von einer Netzwerkschnittstelle.
- Filtert Pakete nach vielen Kriterien
- Erzeugt verschiedene Statistiken.
- Öffnet Dateien mit Paketdaten, die mit tcpdump/WinDump erfasst wurden.
- Wireshark und andere Paketerfassungsprogramme.
- Speichert erfasste Datenpakete.
- Verwendet eine Netzwerkschnittstelle, um Live-Paketdaten zu erfassen.
- Importiert Pakete aus Textdateien, die Hex-Dumps von Paketdaten enthalten.
- Exportiert einige oder alle Pakete in mehrere Capture-Dateiformate.
Nachdem wir uns diese wichtige Information angesehen haben, wollen wir uns nun auf den Kernteil des Artikels konzentrieren, der erklärt, wie man Wireshark unter Debian 11 installiert, und sich auch ansehen, wie man mit diesem bewährten Paketanalysator loslegt für verschiedene Funktionalitäten nützlich sein, einschließlich Sniffing, Fehlerbehebung bei Netzwerkproblemen und vieles mehr.
Falls Sie Debian nicht auf Ihrem Computer installiert haben, empfehlen wir Ihnen, einen Blick auf unseren anderen Artikel zur Installation von Debian 11 zu werfen, bevor Sie mit dem Artikel fortfahren.
So installieren Sie Wireshark unter Debian 11
Wir werden die folgenden Befehle auf unserem Debian 11-Rechner ausführen, um Wireshark zu installieren. Wie üblich beginnen wir jedoch damit, die Versionsinformationen unserer Debian 11-Pakete mit dem folgenden Befehl zu aktualisieren:
sudo apt update
Danach benachrichtigt Sie das Terminal über die Anzahl der Pakete, die ein Upgrade erfordern. Wenn es, wie in unserem Fall, 32 Pakete gibt, führen Sie den folgenden Befehl aus, um die „32 Pakete“ zu aktualisieren:
sudo apt upgrade
Hinweis: Beim Ausführen des Befehls werden Sie aufgefordert, Ihre Entscheidung zu bestätigen, mit der Installation fortzufahren. Hier geben Sie "y/Y" ein oder drücken Sie "Eingabe" und der Prozess wird fortgesetzt.
Falls alle Ihre Pakete auf dem neuesten Stand sind, überspringen Sie den Upgrade-Prozess und gehen Sie direkt zur Installation von Wireshark, die wir mit apt durchführen, einer Befehlszeilen-Dienstprogramm-Software, die zum Installieren, Entfernen, Aktualisieren, Aktualisieren und anderweitigen Verwalten verwendet wird deb-Pakete auf Debian, Ubuntu und ähnlichen Linux-Distributionen wie unten gezeigt:
sudo apt install wireshark -y
Während der Installation der Software werden Sie gefragt, ob Sie Nicht-Superuser das Erfassen von Paketen erlauben möchten oder nicht; Hier wählen Sie „Ja“ aus Verwenden Sie die Pfeiltasten auf der Tastatur und drücken Sie "Eingabe" damit der Vorgang abgeschlossen werden kann.
Nach der Installation von Wireshark können Sie den folgenden Befehl ausführen, um die installierte Version zu bestätigen:
apt policy wireshark
Wireshark starten
Gehen Sie dazu auf die „Aktivitäten“ Menü auf der linken Seite des Debian 11-Desktops und suchen Sie in Ihrem Anwendungsmenü oder in der Anwendungssuche nach Wireshark. Sie sollten die installierte Software finden, wie im Screenshot unten gezeigt:
Um Wireshark zu starten, wählen Sie die Software per Doppelklick aus:
Dort wird ein Begrüßungsbildschirm angezeigt. Wählen Sie dann Ihr Netzwerkgerät aus, um Pakete zu erfassen, und drücken Sie das Haifischflossensymbol, wie im folgenden Schnappschuss angezeigt, um die Erfassung des Netzwerkverkehrs zu starten.
Nachdem wir uns den Installationsprozess dieser bemerkenswerten Software angesehen haben, werfen wir nun einen Blick auf die ersten Schritte mit der Software.
Erste Schritte mit Wireshark
Sie können die Software von der grafischen Benutzeroberfläche über das Anwendungsmenü oder den Anwendungsfinder starten, wie zuvor in diesem Artikel erläutert.
In Fällen, in denen Sie die Netzwerkschnittstelle, die Sie zur Überwachung des Netzwerks verwenden werden, bereits kennen, können Sie die Software starten, indem Sie den folgenden Befehl ausführen, wobei
sudo wireshark -i <Device> -k
Hinweis: Unter diesem Link finden Sie weitere Startoptionen.
Die grafische Benutzeroberfläche (GUI) von Wireshark
Um einen besseren Einblick in Wireshark zu erhalten, teilen wir den Bildschirm in sechs Abschnitte auf:Menü, Symbolleiste, Filtersymbolleiste, Paketlistenbereich, Paketdetailsbereich und Paketbytebereich. Der folgende Schnappschuss zeigt die Position jedes der sechs benannten Abschnitte.
Wobei jeder Abschnitt Folgendes enthält:
Menü: Der Menüabschnitt umfasst Elemente zum Verwalten von Erfassungsdateien, zum Speichern des Exports und zum Ausdrucken von Teilen oder aller Erfassungen. Auf der Registerkarte Bearbeiten neben Datei erscheinen Optionen zum Suchen von Paketen, Verwalten von Konfigurationsprofilen und einige Einstellungen. Schließlich ermöglicht die Ansichtsregisterkarte auf der Rückseite die Verwaltung von Anzeigeoptionen wie spezifische Paketkolorierung, zusätzliche Fenster, Schriftarten und mehr.
Auf der Registerkarte Go können Sie eine Inspektion bestimmter Pakete durchführen. Auf der Registerkarte „Erfassung“ können Sie mit der Erfassung von Dateien beginnen und anhalten und Filter bearbeiten. Neben weiteren Optionen können Sie auf der Registerkarte „Analysieren“ die Filter für die Protokollanalyse deaktivieren oder aktivieren.
Auf der Registerkarte Telefonie können Sie Telefoniestatistiken anzeigen. Die Registerkarte „Drahtlos“ zeigt Bluetooth- und IEE 802.11-Statistiken an. Die Registerkarte "Tools" enthält verfügbare Tools für Wireshark, während das Menü "Hilfe" Handbuch- und Hilfeseiten enthält.
Symbolleiste: Die Hauptsymbolleiste enthält Schaltflächen zum Starten, Neustarten und Stoppen der Paketerfassung. Sie können Aufnahmedateien über die Symbolleiste speichern, schließen und neu laden. Über dieses Menü können Sie auch auf zusätzliche Erfassungsoptionen zugreifen oder bestimmte Pakete finden. Sie können auch zum nächsten Paket übergehen oder zum vorherigen zurückkehren. Die Symbolleiste enthält unter anderem Anzeigeoptionen zum Einfärben von Paketen zum Vergrößern und Verkleinern.
Filtersymbolleiste: Diese Symbolleiste ist entscheidend für die Angabe des Pakettyps, den Sie erfassen möchten, und ermöglicht die Flexibilität bei der Angabe des Pakettyps, den Sie verwerfen möchten. Um beispielsweise alle Pakete zu erfassen, deren Quellport 36 ist, können Sie „tcp src port 36.“ eingeben Ebenso können Sie, um alle Arp-Pakete zu beseitigen, „not arp.“ eingeben
Paketliste: Die Paketlistenkategorie zeigt Pakete in der Erfassungsdatei. Die verfügbaren Spalten zeigen die Menge oder die Anzahl der Pakete in der Datei, Zieladressen, den Zeitstempel des Pakets, die Quelle, die Paketlänge und das Protokoll an. Die Informationsspalte zeigt angehängte Informationen. Wenn Sie in diesem Abschnitt ein Paket auswählen, werden weitere Details zu dem jeweiligen Paket in den „Paketdetails“ angezeigt und "Paketbytes" Fenster.
Paketdetails: Der Bereich „Paketdetails“ zeigt zusätzliche Informationen zu Protokoll, TCP-Analyse, Reaktionszeit, IP-Geolokalisierung und Prüfsumme an. Dieser Bereich zeigt auch mögliche Links oder eine Beziehung zwischen verschiedenen Paketen.
Paket-Bytes: Dieser Bereich hier zeigt einen Hex-Dump von Paketen an, der Daten-Offset, sechzehn hexadezimale Bytes, sechzehn ASCII-Bytes enthält.
Nachdem wir uns diese wichtigen Informationen angesehen haben, konzentrieren wir uns auf das Erfassen von Paketen mit Wireshark.
Erfassen von Paketen mit Wireshark
Das folgende Beispiel zeigt, wie einfach Pakete erfasst werden, die zur Kommunikation zwischen zwei bestimmten Geräten gehören. Wie im folgenden Schnappschuss zu sehen, enthält die Filtersymbolleiste den Filter „ip.src==192.168.62.138 und ip.dst==162.159.200.1“, der Wireshark anweist, Dateien zu erfassen, deren Quelle die IP-Adresse 192.168.62.138 und deren Ziel ist ist die IP 162.159.200.1.
Sobald Sie mit dem Erfassen von Paketen fertig sind, klicken Sie auf das im folgenden Schnappschuss gezeigte Symbol zum Beenden der Erfassung, um den Erfassungsprozess anzuhalten.
Nachdem Sie den Erfassungsprozess von Paketen gestoppt haben, können Sie fortfahren und Ihre erfasste Datei speichern, indem Sie auf Datei>Speichern klicken oder Datei>Speichern unter Speichern Sie dann unter Ihrem bevorzugten Namen, wie im folgenden Schnappschuss gezeigt:
Und bumm! Du bist startklar. Das ist wahrscheinlich alles, was Sie brauchen, um mit dem Studium der Verwendung von Wireshark zu beginnen.
Abschließende Gedanken
Wie in der obigen Anleitung zu sehen ist, ist die Installation der Wireshark-Software auf Debian 11 so einfach wie das Ausführen eines apt-Befehls mit nur einem einzigen Befehl. Es ist wahr zu sagen, dass jeder Linux-Level-Benutzer es installieren kann, sei es ein Neuling, ein Vermittler oder ein Guru. Gleichzeitig müssen Systemadministratoren dieses oder ähnliche Tools kennen, um vereinfachte Netzwerkanalysen durchzuführen. Wireshark hat sich als sehr flexibles Tool erwiesen, das es Benutzern aller Art ermöglicht, Pakete schnell zu erfassen und zu analysieren. In realen Szenarien ist Wireshark nützlich, um Anomalien im Netzwerkverkehr zu erkennen. Es kann auch angepasst werden, um Verkehr zu schnüffeln; Hacker und Systemadministratoren, die nach schlechtem Datenverkehr suchen, müssen wissen, wie sie dieses Tool implementieren.
In diesem Sinne vielen Dank, dass Sie diesen Leitfaden gelesen haben. Wir hoffen, es war informativ genug.