Wireshark (ehemals Ethereal) ist eine FOSS (freie und Open-Source-Software) für Netzwerkprotokollanalysatoren. Man kann damit Netzwerkprobleme beheben, Kommunikationsprotokolle wie TCP, DNS, HTTP usw. analysieren. Es gibt viele Funktionen, die Wireshark von vielen seiner Gegenstücke abheben:
- Echtzeit-Paketerfassung und Offline-Analyse.
- Paketdetails in einem für Menschen lesbaren Format.
- Farbregeln für Pakete.
Was werden wir abdecken?
In dieser Anleitung erfahren wir, „Wie man Wireshark zum Erfassen und Analysieren von Paketen verwendet“. Wir verwenden Kali Linux als Basisbetriebssystem für dieses Handbuch. Fangen wir jetzt an.
Pakete mit Wireshark erfassen
Nach dem Start von Wireshark sehen Sie eine Liste mit Geräten, von denen Sie Pakete erfassen können.
Wählen Sie ein Gerät aus, um mit der Paketerfassung zu beginnen, indem Sie auf seinen Namen doppelklicken. Wählen wir in unserem Fall die Schnittstelle „eth01“. Wie Sie nach der Auswahl des Geräts sehen können, erscheinen einige Pakete auf dem Bildschirm.
Im Promiscuous-Modus zeigt Wireshark auch andere Pakete als die an unsere Netzwerkschnittstelle adressierten. Dieser Modus ist standardmäßig aktiviert, ansonsten können Sie zu ' gehen Aufnahme> Optionen' und markieren Sie „Promiscuous-Modus auf allen Schnittstellen aktivieren“ Kontrollkästchen (unten im Fenster).
Um die Erfassung des Datenverkehrs zu beenden, klicken Sie auf das rote quadratische Symbol oben links im Fenster . Wenn Sie Ihre Aufnahmen später überprüfen möchten, können Sie sie einfach speichern, indem Sie auf ' klicken Datei> Speichern'. Ebenso können Sie Erfassungsdateien herunterladen und zur Überprüfung öffnen, indem Sie auf ‘Datei> Öffnen’ klicken . Suchen Sie Ihre Datei und öffnen Sie sie.
Farbcodierung von Wireshark
Wireshark verwendet unterschiedliche Farbschemata, um unterschiedliche Arten von Datenverkehr zu kennzeichnen. Für z.B. hellblaue Farbe wird für UDP verwendet, lila für TCP und schwarz für fehlerhafte Pakete. Um die Bedeutung zu sehen und diese Farben zu ändern, gehen Sie zu ' Ansicht> Färberegeln ' .
Paketfilterung mit Wireshark
Wireshark verfügt über eine Filterfunktion, um Datenverkehr herauszufiltern, der für Ihr Interesse spezifisch ist. Der einfachste Weg, diese Funktion zu verwenden, ist die Verwendung der Suchleiste am Kopf der Paketliste oder der Tabelle mit der Verkehrsübersicht, wie unten gezeigt. Für z.B. Wenn Sie den „TCP“-Verkehr filtern möchten, geben Sie TCP in die Suchleiste ein. Wir werden diesen Prozess später in diesem Tutorial sehen.
Wireshark enthält auch Standardfilter im Abschnitt 'Analysieren> Anzeigefilter'. Sie können hier einen auswählen und Ihre benutzerdefinierten Filter hier auch für die Zukunft speichern.
Neben dem Filtern des Datenverkehrs können Sie auch die vollständigen TCP-Gespräche zwischen dem Client und dem Server anzeigen . Klicken Sie dazu mit der rechten Maustaste auf ein Paket und klicken Sie auf ‘Follow> TCP Stream’ Möglichkeit. Wenn Sie dieses Fenster schließen, erscheint automatisch ein Filter in der Filtersuchleiste.
Paketinspektion mit Wireshark
Klicken Sie in der Tabelle mit der Verkehrsübersicht auf ein Paket, um die verschiedenen Details anzuzeigen. Hier ist eine weitere Möglichkeit, einen benutzerdefinierten Filter zu erstellen. Wenn Sie mit der rechten Maustaste auf beliebige Details klicken, sehen Sie die Option „Als Filter anwenden“ und ihr Untermenü. Wählen Sie ein beliebiges Untermenü aus, um diesen Filter zu erstellen:
Wireshark-Testversion
Nehmen wir nun ein praktisches Beispiel zur Erfassung und Untersuchung des Datenverkehrs auf einer Netzwerkschnittstelle mit Wireshark. In unserem Fall haben wir Wireshark auf Kali Linux installiert und interagieren mit der Ethernet-Schnittstelle „eth0“. Führen Sie nun die folgenden Schritte aus:
1. Wählen Sie nach dem Start von Wireshark die Schnittstelle aus der Geräteliste auf der Startseite aus. Klicken Sie auf das blaue Symbol in der oberen linken Leiste oder doppelklicken Sie auf den Schnittstellennamen, um die Erfassung zu starten.
2. Starten Sie nun einen Webbrowser und öffnen Sie eine Webseite wie ‘www.howtoforge.com’ . Sobald die Seite geladen ist, stoppen Sie die Aufnahme, indem Sie auf das rote Symbol neben der Startschaltfläche klicken.
3. Das Erfassungsfenster enthält nun alle Pakete, die von und zu Ihrem System übertragen wurden. Verschiedene Verkehrsarten werden in verschiedenen Farbcodes wie blau, schwarz, hellgelb usw. angezeigt.
4. Wenn Sie nach Paketen eines bestimmten Protokolls wie TCP suchen, verwenden Sie die Filterleiste, um diese Verbindungen zu filtern. Auf einem System, das den Netzwerkzugang nutzt, laufen viele Hintergrundprozesse und tauschen somit Pakete mit einem fremden Netzwerk aus. Wir können Pakete filtern, die für unser System bestimmt sind, indem wir die Filterfunktion von Wireshark verwenden. Für z.B. Um die für unser System bestimmten TCP-Pakete zu filtern, verwenden Sie den Filter:
ip.dst ==‘your_system_ip’ &&tcp
Ersetzen Sie die Bezeichnung „your_system_ip“ durch Ihre System-IP. In unserem Fall ist es 192.168.18.161. Sehen wir uns nun den Inhalt dieser Pakete an, klicken Sie mit der rechten Maustaste auf ein beliebiges Paket und gehen Sie in der Optionsliste zu: „Folgen -> TCP-Stream folgen“ . Ein neues Fenster sollte ähnlich wie das unten gezeigte Fenster aussehen:
Wenn Sie Wireshark nicht für eine Echtzeit-Netzwerkverbindung verwenden können, können Sie auch verwenden eine heruntergeladene Paketverfolgungsdatei.
Schlussfolgerung
Wireshark ist ein sehr wichtiges Tool zur Analyse dessen, was in Ihrem Netzwerk vor sich geht. Es hat eine breite Akzeptanz in verschiedenen IT-Sektoren wie Regierungsbehörden, kommerziellen Organisationen und Bildungseinrichtungen gefunden. Bei der Behebung von Netzwerkproblemen ist die Paketprüfung ein sehr wichtiger Schritt, und Wireshark spielt hier eine wichtige Rolle. Es ist zu einem Industriestandard für die Analyse des Netzwerkverkehrs geworden.