Wireshark: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Zeile 4: Zeile 4:
[[Datei:Wireshark Logo.svg|mini|300px|Wireshark Logo]]
[[Datei:Wireshark Logo.svg|mini|300px|Wireshark Logo]]


'''Wireshark''' (Kabelhai) ist eine [[freie Software]] zur Analyse und grafischen Aufbereitung von Datenprotokollen ([[Sniffer]]), die 2006 als [[Abspaltung (Softwareentwicklung)|Fork]] des Programms '''Ethereal''' entstanden ist.
'''Wireshark''' (Kabelhai) ist eine [[freie Software]] zur Analyse und grafischen Aufbereitung von Datenprotokollen ([[Sniffer]]), die 2006 als [[Abspaltung (Softwareentwicklung)|Fork]] des Programms '''Ethereal''' entstanden ist
* [[Netzwerkprotokoll|Datenprotokolle]] verwenden Computer auf verschiedensten Kommunikationsmedien wie dem lokalen Netzwerk, [[Bluetooth]] oder [[USB]].
* [[Netzwerkprotokoll|Datenprotokolle]] verwenden Computer auf verschiedensten Kommunikationsmedien wie dem lokalen Netzwerk, [[Bluetooth]] oder [[USB]]
* Das Netzwerk-Analyse-Tool kann Administratoren, Netzwerk-Experten und Sicherheits-Experten bei der Suche nach Netzwerkproblemen, der Ermittlung von Botnet-Verbindungen oder beim Netzwerk-Management behilflich sein.
* Das Netzwerk-Analyse-Tool kann Administratoren, Netzwerk-Experten und Sicherheits-Experten bei der Suche nach Netzwerkproblemen, der Ermittlung von Botnet-Verbindungen oder beim Netzwerk-Management behilflich sein
*freie Software
*freie Software


; Wireshark zeigt bei einer Aufnahme sowohl den Protokoll-[[Header|Kopf]] als auch den übertragenen Inhalt an
; Wireshark zeigt bei einer Aufnahme sowohl den Protokoll-[[Header|Kopf]] als auch den übertragenen Inhalt an
* Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie [[pcap]] oder usbpcap, um den Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium mitzuschneiden.
* Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie [[pcap]] oder usbpcap, um den Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium mitzuschneiden


* Datenprotokolle verwenden Computer auf verschiedensten Kommunikationsmedien wie dem lokalen Netzwerk, Bluetooth oder USB.
* Datenprotokolle verwenden Computer auf verschiedensten Kommunikationsmedien wie dem lokalen Netzwerk, Bluetooth oder USB
* Hilft bei der Suche nach Netzwerkproblemen, der Ermittlung von Botnet-Verbindungen oder beim Netzwerk-Management.
* Hilft bei der Suche nach Netzwerkproblemen, der Ermittlung von Botnet-Verbindungen oder beim Netzwerk-Management
* Wireshark zeigt bei einer Aufnahme sowohl den Protokoll-Kopf als auch den übertragenen Inhalt an.
* Wireshark zeigt bei einer Aufnahme sowohl den Protokoll-Kopf als auch den übertragenen Inhalt an
* Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie '''pcap''' oder '''usbpcap'''.
* Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie '''pcap''' oder '''usbpcap'''
* Der Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium wird mitgeschnitten.
* Der Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium wird mitgeschnitten
* Hersteller: Wireshark-Community
* Hersteller: Wireshark-Community
* Betriebssystem: [[Unix]], [[Linux]], [[Solaris (Betriebssystem)|Solaris]], [[macOS|Mac]], [[Microsoft Windows|Windows]] und diversen [[Berkeley Software Distribution|BSD]]-Versionen
* Betriebssystem: [[Unix]], [[Linux]], [[Solaris (Betriebssystem)|Solaris]], [[macOS|Mac]], [[Microsoft Windows|Windows]] und diversen [[Berkeley Software Distribution|BSD]]-Versionen
Zeile 23: Zeile 23:


; Besondere Leistungsmerkmale
; Besondere Leistungsmerkmale
Wireshark fügt bei verschiedenen Protokollen Metainformationen zu Paketen hinzu, die sich nur aus dem Kontext des Datenflusses ergeben.
Wireshark fügt bei verschiedenen Protokollen Metainformationen zu Paketen hinzu, die sich nur aus dem Kontext des Datenflusses ergeben
* So wird zu [[Server Message Block|SMB]]-Paketen, die aus Operationen in Windows-Dateifreigaben stammen, der [[Datei]]- bzw. [[Verzeichnisstruktur|Verzeichnisname]] hinzugefügt, wenn das Öffnen der Datei mit aufgezeichnet wurde.
* So wird zu [[Server Message Block|SMB]]-Paketen, die aus Operationen in Windows-Dateifreigaben stammen, der [[Datei]]- bzw. [[Verzeichnisstruktur|Verzeichnisname]] hinzugefügt, wenn das Öffnen der Datei mit aufgezeichnet wurde
* Diese speziellen Filter und Protokollmodule kann der Benutzer auch selber erstellen, um zum Beispiel selbst entworfene Übertragungsprotokolle mittels Wireshark effizient untersuchen zu können.
* Diese speziellen Filter und Protokollmodule kann der Benutzer auch selber erstellen, um zum Beispiel selbst entworfene Übertragungsprotokolle mittels Wireshark effizient untersuchen zu können


== Installation ==
== Installation ==
Zeile 32: Zeile 32:
== Wireshark ausführen ==
== Wireshark ausführen ==
; Mit User-Rechten hat Wireshark keinen Zugriff auf Netzwerkschnittstellen
; Mit User-Rechten hat Wireshark keinen Zugriff auf Netzwerkschnittstellen
* Erfordert standardmäßig Root-Rechte  
* Erfordert standardmäßig Root-Rechte
; Starten mit Root-Rechten
; Starten mit Root-Rechten
  WIRESHARK ENTHÄLT ÜBER EINE MILLION ZEILEN QUELLCODE. FÜHREN SIE IHN NICHT ALS ROOT AUS!
  WIRESHARK ENTHÄLT ÜBER EINE MILLION ZEILEN QUELLCODE. FÜHREN SIE IHN NICHT ALS ROOT AUS!


; Wireshark ist anfällig für manipulierten Datenverkehr  
; Wireshark ist anfällig für manipulierten Datenverkehr
Aufgrund seiner Komplexität und der großen Anzahl an Protokoll-Dissektoren
Aufgrund seiner Komplexität und der großen Anzahl an Protokoll-Dissektoren
* Denial-of-Service
* Denial-of-Service
Zeile 47: Zeile 47:
; Unprivilegierte Prozesse (Effektive UID ungleich Null)
; Unprivilegierte Prozesse (Effektive UID ungleich Null)
* Unprivilegierte Prozesse unterliegen einer vollständigen Berechtigungsprüfung
* Unprivilegierte Prozesse unterliegen einer vollständigen Berechtigungsprüfung
* Basierend auf den Anmeldedaten des Prozesses (normalerweise: effektive UID, effektive GID und zusätzliche Gruppenliste).
* Basierend auf den Anmeldedaten des Prozesses (normalerweise: effektive UID, effektive GID und zusätzliche Gruppenliste)


; Unterteillung von Privilegien
; Unterteillung von Privilegien
Zeile 53: Zeile 53:
* Können unabhängig voneinander aktiviert und deaktiviert werden
* Können unabhängig voneinander aktiviert und deaktiviert werden
* Capabilities sind ein Attribut pro Thread
* Capabilities sind ein Attribut pro Thread
* Das Handbuch listet mehr als zwei Dutzend verschiedene POSIX-Fähigkeiten auf, die einzelnen ausführbaren Programmen gewährt werden können.
* Das Handbuch listet mehr als zwei Dutzend verschiedene POSIX-Fähigkeiten auf, die einzelnen ausführbaren Programmen gewährt werden können


; Relevant für Wireshark
; Relevant für Wireshark
Zeile 60: Zeile 60:
! Option !! Beschreibung
! Option !! Beschreibung
|-
|-
| CAP_NET_ADMIN || Erlaubt verschiedene netzwerkbezogene Operationen (z.B. Setzen von privilegierten Socket-Optionen, Aktivieren von Multicasting, Schnittstellenkonfiguration, Ändern von Routing-Tabellen).
| CAP_NET_ADMIN || Erlaubt verschiedene netzwerkbezogene Operationen (z.B. Setzen von privilegierten Socket-Optionen, Aktivieren von Multicasting, Schnittstellenkonfiguration, Ändern von Routing-Tabellen)
|-
|-
| CAP_NET_RAW || Erlaubt die Verwendung von RAW- und PACKET-Sockets.
| CAP_NET_RAW || Erlaubt die Verwendung von RAW- und PACKET-Sockets
|}
|}


* CAP_NET_ADMIN ermöglicht es uns, eine Schnittstelle in den Promiscuous-Modus zu versetzen, und  
* CAP_NET_ADMIN ermöglicht es uns, eine Schnittstelle in den Promiscuous-Modus zu versetzen, und
* CAP_NET_RAW erlaubt den Raw-Zugriff auf eine Schnittstelle, um direkt über die Leitung zu erfassen.
* CAP_NET_RAW erlaubt den Raw-Zugriff auf eine Schnittstelle, um direkt über die Leitung zu erfassen


Diese Fähigkeiten werden mit dem Dienstprogramm ''[[setcap]]'' zugewiesen.
Diese Fähigkeiten werden mit dem Dienstprogramm ''[[setcap]]'' zugewiesen


=== Aktivieren von Non-root Capture ===
=== Aktivieren von Non-root Capture ===
==== ''setcap'' installieren  ====
==== ''setcap'' installieren  ====
Damit können granulare Fähigkeiten für Wiresharks dumpcap-Executable festgelegt werden.
Damit können granulare Fähigkeiten für Wiresharks dumpcap-Executable festgelegt werden
* setcap ist Teil des Pakets libcap2-bin
* setcap ist Teil des Pakets libcap2-bin
  # apt install libcap2-bin
  # apt install libcap2-bin


==== Wireshark-Gruppe ====
==== Wireshark-Gruppe ====
Da die Anwendung, der wir erweiterte Fähigkeiten zugestehen, standardmäßig von allen Benutzern ausgeführt werden kann, möchten Sie vielleicht eine spezielle Gruppe für die Wireshark-Familie von Dienstprogrammen (und ähnliche Anwendungen) hinzufügen und ihre Ausführung auf Benutzer innerhalb dieser Gruppe beschränken.
Da die Anwendung, der wir erweiterte Fähigkeiten zugestehen, standardmäßig von allen Benutzern ausgeführt werden kann, möchten Sie vielleicht eine spezielle Gruppe für die Wireshark-Familie von Dienstprogrammen (und ähnliche Anwendungen) hinzufügen und ihre Ausführung auf Benutzer innerhalb dieser Gruppe beschränken
  # groupadd wireshark
  # groupadd wireshark
  # usermod -a -G wireshark user
  # usermod -a -G wireshark user


Nachdem Sie sich selbst zur Gruppe hinzugefügt haben, muss sich Ihr normaler Benutzer möglicherweise ab- und wieder anmelden.
Nachdem Sie sich selbst zur Gruppe hinzugefügt haben, muss sich Ihr normaler Benutzer möglicherweise ab- und wieder anmelden
* Sie können auch newgrp ausführen, um die neue Gruppe zu erzwingen (Sie müssen Wireshark in Schritt 3 aus derselben Terminalumgebung starten):
* Sie können auch newgrp ausführen, um die neue Gruppe zu erzwingen (Sie müssen Wireshark in Schritt 3 aus derselben Terminalumgebung starten):
  $ newgrp wireshark
  $ newgrp wireshark


Wir weisen dieser Gruppe die ausführbare Datei dumpcap anstelle von Wireshark selbst zu, da dumpcap für die gesamte Low-Level-Erfassung zuständig ist.
Wir weisen dieser Gruppe die ausführbare Datei dumpcap anstelle von Wireshark selbst zu, da dumpcap für die gesamte Low-Level-Erfassung zuständig ist
* Durch Ändern des Modus auf 750 wird sichergestellt, dass nur Benutzer, die zu dieser Gruppe gehören, die Datei ausführen können.
* Durch Ändern des Modus auf 750 wird sichergestellt, dass nur Benutzer, die zu dieser Gruppe gehören, die Datei ausführen können
  # chgrp wireshark /usr/bin/dumpcap
  # chgrp wireshark /usr/bin/dumpcap
  # chmod 750 /usr/bin/dumpcap
  # chmod 750 /usr/bin/dumpcap
Zeile 99: Zeile 99:


=== Wireshark starten ===
=== Wireshark starten ===
Führen Sie nun Wireshark als den Benutzer aus, den oben zur Wireshark-Gruppe hinzugefügt haben.
Führen Sie nun Wireshark als den Benutzer aus, den oben zur Wireshark-Gruppe hinzugefügt haben
  $ '''wireshark &'''
  $ '''wireshark &'''


; Vollständige Liste der Adapter
; Vollständige Liste der Adapter
Andernfalls
Andernfalls
* Prüfen, ob die Wireshark-Gruppe in der Ausgabe der Gruppen aufgeführt ist.
* Prüfen, ob die Wireshark-Gruppe in der Ausgabe der Gruppen aufgeführt ist
* Möglicherweise müssen Sie sich ab- und wieder anmelden, damit die Gruppenzuweisung wirksam wird.
* Möglicherweise müssen Sie sich ab- und wieder anmelden, damit die Gruppenzuweisung wirksam wird


== Anwendung ==
== Anwendung ==
Zeile 112: Zeile 112:
* Paketliste (engl. packet list pane)
* Paketliste (engl. packet list pane)
* Paketdetails (engl. packet details pane) und
* Paketdetails (engl. packet details pane) und
* Hexadezimale Paketanzeige (engl. packet bytes pane).
* Hexadezimale Paketanzeige (engl. packet bytes pane)


==== Menü-Übersicht ====
==== Menü-Übersicht ====
* Im Menü ''Ansicht'' können einige Eigenschaften der Anzeige verändert werden.
* Im Menü ''Ansicht'' können einige Eigenschaften der Anzeige verändert werden
* So kann die Anzahl und Art der Paketfenster bestimmt werden
* So kann die Anzahl und Art der Paketfenster bestimmt werden
* Nützlich ist die Umschaltung des Formates der Zeitanzeige: ''Ansicht/Format der Zeitanzeige''.
* Nützlich ist die Umschaltung des Formates der Zeitanzeige: ''Ansicht/Format der Zeitanzeige''
* Über ''Ansicht/Paketliste einfärben'' kann das Einfärben der Frames aktiviert/deaktiviert werden.
* Über ''Ansicht/Paketliste einfärben'' kann das Einfärben der Frames aktiviert/deaktiviert werden


====Paketliste====
====Paketliste====
Zeile 136: Zeile 136:
|}
|}


Spalten der Paketliste können über die Menüauswahl ''Ansicht'' ausgewählt werden.
Spalten der Paketliste können über die Menüauswahl ''Ansicht'' ausgewählt werden


====Paketdetails====
====Paketdetails====
Im mittleren Teil des Bildschirms werden die Details zum ausgewählten Frame angezeigt.
Im mittleren Teil des Bildschirms werden die Details zum ausgewählten Frame angezeigt
* Zuerst ein ICMP Echo Request in der Paketliste auswählen.
* Zuerst ein ICMP Echo Request in der Paketliste auswählen
* In den Paketdetails werden die Layer (Schichten) des Datenframes angezeigt.
* In den Paketdetails werden die Layer (Schichten) des Datenframes angezeigt
* Durch Anklicken des Plus-Symbols kann der gewählte Layer erweitert werden.
* Durch Anklicken des Plus-Symbols kann der gewählte Layer erweitert werden
* Ganz oben in den Paketdetails findet man Informationen von Wireshark zum betreffenden Frame:
* Ganz oben in den Paketdetails findet man Informationen von Wireshark zum betreffenden Frame:
# Größe des Frames,
# Größe des Frames
# Aufgezeichnete Größe (Slicing),
# Aufgezeichnete Größe (Slicing)
# Zeit und Zeitdifferenz zum vorhergehenden Frame.
# Zeit und Zeitdifferenz zum vorhergehenden Frame
  Frame 6086 (74 bytes on wire, 74 bytes captured)
  Frame 6086 (74 bytes on wire, 74 bytes captured)
     Arrival Time: Feb 23, 2006 15:18:20.081749000
     Arrival Time: Feb 23, 2006 15:18:20.081749000
Zeile 155: Zeile 155:
     Capture Length: 74 bytes
     Capture Length: 74 bytes
     Protocols in frame: eth:ip:icmp:data
     Protocols in frame: eth:ip:icmp:data
* Die nächste Zeile liefert Informationen zum OSI-02 (Ethernet).
* Die nächste Zeile liefert Informationen zum OSI-02 (Ethernet)
* Dort sind die MAC-Adressen von Absender und Empfänger.
* Dort sind die MAC-Adressen von Absender und Empfänger
** Die MAC-Adresse des Empfängers wird im Normalfall die MAC-Adresse des Default Routers sein.
** Die MAC-Adresse des Empfängers wird im Normalfall die MAC-Adresse des Default Routers sein
  Ethernet II, Src: 192.168.2.157 (00:30:f1:ee:90:7b), Dst: 192.168.2.1 (00:30:f1:f5:0e:5b)
  Ethernet II, Src: 192.168.2.157 (00:30:f1:ee:90:7b), Dst: 192.168.2.1 (00:30:f1:f5:0e:5b)
     Destination: 192.168.2.1 (00:30:f1:f5:0e:5b)
     Destination: 192.168.2.1 (00:30:f1:f5:0e:5b)
     Source: 192.168.2.157 (00:30:f1:ee:90:7b)
     Source: 192.168.2.157 (00:30:f1:ee:90:7b)
     Type: IP (0x0800)
     Type: IP (0x0800)
* 03: Internet Protocol (IP).
* 03: Internet Protocol (IP)
* Dort sind Angaben wie IP-Flags, die Time to live (TTL), das Protokoll und Absender- und Empfänger-IP-Adressen.
* Dort sind Angaben wie IP-Flags, die Time to live (TTL), das Protokoll und Absender- und Empfänger-IP-Adressen
  Internet Protocol, Src: 192.168.2.157 (192.168.2.157), Dst: 66.249.93.104 (66.249.93.104)
  Internet Protocol, Src: 192.168.2.157 (192.168.2.157), Dst: 66.249.93.104 (66.249.93.104)
     Version: 4
     Version: 4
Zeile 185: Zeile 185:
     Source: 192.168.2.157 (192.168.2.157)
     Source: 192.168.2.157 (192.168.2.157)
     Destination: 66.249.93.104 (66.249.93.104)
     Destination: 66.249.93.104 (66.249.93.104)
* In der letzten Zeile in den Paketdetails wird das Internet Control Message Protocol (ICMP) dekodiert.
* In der letzten Zeile in den Paketdetails wird das Internet Control Message Protocol (ICMP) dekodiert
* ICMP nutzt eine Codierung, bestehend aus Type und Code.
* ICMP nutzt eine Codierung, bestehend aus Type und Code
**  Type 8, Code 0 ist ein ICMP Echo Request.
**  Type 8, Code 0 ist ein ICMP Echo Request
  Internet Control Message Protocol
  Internet Control Message Protocol
     Type: 8 (Echo (ping) request)
     Type: 8 (Echo (ping) request)
Zeile 195: Zeile 195:
     Sequence number: 0x0300
     Sequence number: 0x0300
     Data (32 bytes)
     Data (32 bytes)
* Im Hexdump des Frames ist zu erkennen, dass Windows beim Ping das Alphabet als Nutzlast (Payload) benutzt.
* Im Hexdump des Frames ist zu erkennen, dass Windows beim Ping das Alphabet als Nutzlast (Payload) benutzt
  0000  00 30 f1 f5 0e 5b 00 30 f1 ee 90 7b 08 00 45 00  .0...[.0...{..E.
  0000  00 30 f1 f5 0e 5b 00 30 f1 ee 90 7b 08 00 45 00  .0...[.0...{..E
  0010  00 3c 0f d3 00 00 80 01 c7 47 c0 a8 02 9d 42 f9  .........G....B.
  0010  00 3c 0f d3 00 00 80 01 c7 47 c0 a8 02 9d 42 f9  .........G....B
  0020  5d 68 08 00 47 5c 03 00 03 00 61 62 63 64 65 66  ]h..G\....abcdef
  0020  5d 68 08 00 47 5c 03 00 03 00 61 62 63 64 65 66  ]h..G\....abcdef
  0030  67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76  ghijklmnopqrstuv
  0030  67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76  ghijklmnopqrstuv
Zeile 204: Zeile 204:
====Display-Filter====
====Display-Filter====
[[Datei:start_ws.png|mini|400px]]
[[Datei:start_ws.png|mini|400px]]
Netzwerkverkehr aufzeichnen, filtern und auswerten.
Netzwerkverkehr aufzeichnen, filtern und auswerten
* Zeigt nur STMP (Port 25) und ICMP-Traffic
* Zeigt nur STMP (Port 25) und ICMP-Traffic
* Schaltfläche ''...mit diesem Filter:'' wird der Filter eingegeben, mit dem gesucht werden soll.
* Schaltfläche ''...mit diesem Filter:'' wird der Filter eingegeben, mit dem gesucht werden soll
* Anschließend die gewünschte (aktive) Verbindung auswählen.
* Anschließend die gewünschte (aktive) Verbindung auswählen
* Die Aufzeichnung der Datenübertragung starten.
* Die Aufzeichnung der Datenübertragung starten
* Die Aufzeichnung läuft und Wireshark zeigt in einem Statusfenster die Anzahl der aufgezeichneten Frames (Captured Packets) an.
* Die Aufzeichnung läuft und Wireshark zeigt in einem Statusfenster die Anzahl der aufgezeichneten Frames (Captured Packets) an


[[Datei:stopp_ws.png|mini|400px]]
[[Datei:stopp_ws.png|mini|400px]]


* Datenübertragung stoppen.
Datenübertragung stoppen


===Filter===
===Filter===
[[Datei:ip_adr_ws.png|mini|500px|Filtern]]
[[Datei:ip_adr_ws.png|mini|500px|Filtern]]
Das wichtigste Instrument zum Auswerten von Traces sind Filter.
Das wichtigste Instrument zum Auswerten von Traces sind Filter
* Mit Filtern wird die Anzeige auf die interessanten Frames eingeschränkt.
* Mit Filtern wird die Anzeige auf die interessanten Frames eingeschränkt
* Um nur noch Traffic von und zu unserer eigenen IP-Adresse zu sehen, geben wir im Eingabefeld Filter von Wireshark folgenden Ausdruck ein:
* Um nur noch Traffic von und zu unserer eigenen IP-Adresse zu sehen, geben wir im Eingabefeld Filter von Wireshark folgenden Ausdruck ein:
  ip.addr == 192.168.1.2
  ip.addr == 192.168.1.2


* Als IP-Adresse setzen wir die IP-Adresse des Sniffers ein, also unsere eigene.
* Als IP-Adresse setzen wir die IP-Adresse des Sniffers ein, also unsere eigene
* Wireshark zeigt nun nur noch Frames an, die diese Filterbedingung erfüllen.
* Wireshark zeigt nun nur noch Frames an, die diese Filterbedingung erfüllen
* Mit der Schaltfläche ''Clear'' kann die Filterbedingung gelöscht werden.
* Mit der Schaltfläche ''Clear'' kann die Filterbedingung gelöscht werden


====Filter erweitern====
====Filter erweitern====
[[Datei:icmp_ws.png|mini|600px|ICMP-Pakete]]
[[Datei:icmp_ws.png|mini|600px|ICMP-Pakete]]
Anzeige weiter einschränken:
Anzeige weiter einschränken:
* Nur der Traffic des Ping-Kommandos ist interessant. Ping nutzt ein Protokoll namens ICMP.
* Nur der Traffic des Ping-Kommandos ist interessant. Ping nutzt ein Protokoll namens ICMP


Filterbedingung entsprechend erweitern:
Filterbedingung entsprechend erweitern:
  ip.addr == 192.168.1.2 && icmp
  ip.addr == 192.168.1.2 && icmp


Mit dem Operator '''&&''' werden die einzelnen Filterbedingungen UND-verknüpft.
Mit dem Operator '''&&''' werden die einzelnen Filterbedingungen UND-verknüpft
* '''icmp''' schränkt die Anzeige auf das Protokoll ICMP ein
* '''icmp''' schränkt die Anzeige auf das Protokoll ICMP ein
* In der Anzeige sind jetzt nur noch ICMP-Pakete unserer eigenen IP-Adresse zu sehen.
* In der Anzeige sind jetzt nur noch ICMP-Pakete unserer eigenen IP-Adresse zu sehen


===Testdaten erzeugen===
===Testdaten erzeugen===
; Beispiel
; Beispiel
* Ping auf den Host www.google.de
* Ping auf den Host www.google.de
* In einer Shell oder Eingabeaufforderung das Kommando ping www.google.de eingeben.
* In einer Shell oder Eingabeaufforderung das Kommando ping www.google.de eingeben
  $ ping www.google.de
  $ ping www.google.de
  Ping www.google.de [66.249.93.104] mit 32 Bytes Daten:
  Ping www.google.de [66.249.93.104] mit 32 Bytes Daten:
Zeile 249: Zeile 249:
  Antwort von 66.249.93.104: Bytes=32 Zeit=75ms TTL=243
  Antwort von 66.249.93.104: Bytes=32 Zeit=75ms TTL=243
  Ping-Statistik für 66.249.93.104:
  Ping-Statistik für 66.249.93.104:
     Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
     Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust)
  Ca. Zeitangaben in Millisek.:
  Ca. Zeitangaben in Millisek.:
     Minimum = 75ms, Maximum = 77ms, Mittelwert = 75ms
     Minimum = 75ms, Maximum = 77ms, Mittelwert = 75ms
* Jetzt halten wir die Datenaufzeichnung im Wireshark mit der Schaltfläche ''Stop'' an.
* Jetzt halten wir die Datenaufzeichnung im Wireshark mit der Schaltfläche ''Stop'' an
* Wireshark bereitet die aufgezeichneten Frames nun auf und zeigt sie an.
* Wireshark bereitet die aufgezeichneten Frames nun auf und zeigt sie an
* Da beim Aufzeichnen keinen Filter gesetzt wurde, ist sämtlicher Netzwerkverkehr mitgeschnitten worden.
* Da beim Aufzeichnen keinen Filter gesetzt wurde, ist sämtlicher Netzwerkverkehr mitgeschnitten worden


<noinclude>
<noinclude>


== Technische Details ==
== Technische Details ==
; ''Wireshark'' stellt entweder während oder nach der Aufzeichnung von Datenverkehr einer Netzwerk-Schnittstelle die Daten in Form einzelner [[Datenpaket|Pakete]] dar.
; ''Wireshark'' stellt entweder während oder nach der Aufzeichnung von Datenverkehr einer Netzwerk-Schnittstelle die Daten in Form einzelner [[Datenpaket|Pakete]] dar
* Dabei werden die Daten übersichtlich mit entsprechend auf die jeweiligen Protokolle angepassten Filtern aufbereitet.
* Dabei werden die Daten übersichtlich mit entsprechend auf die jeweiligen Protokolle angepassten Filtern aufbereitet
* So kann der Inhalt der mitgeschnittenen Pakete betrachtet oder nach diesem gefiltert werden.
* So kann der Inhalt der mitgeschnittenen Pakete betrachtet oder nach diesem gefiltert werden
* Wireshark kann auch Statistiken zum Datenfluss erstellen oder über spezielle Filter gezielt binäre Inhalte wie Bilder u. a. extrahieren.
* Wireshark kann auch Statistiken zum Datenfluss erstellen oder über spezielle Filter gezielt binäre Inhalte wie Bilder u. a. extrahieren


; Als Netzwerkschnittstellen, deren Datenverkehr analysiert werden kann, sind primär [[Ethernet]] mit den verschiedenen [[Internetprotokolle]]n wie TCP/IP zu nennen.
; Als Netzwerkschnittstellen, deren Datenverkehr analysiert werden kann, sind primär [[Ethernet]] mit den verschiedenen [[Internetprotokolle]]n wie TCP/IP zu nennen
* Ferner kann Wireshark auch drahtlosen Datenverkehr im [[Wireless Local Area Network]] (WLAN) und [[Bluetooth]]-Verbindungen aufzeichnen und analysieren. Über entsprechende Module lassen sich weitere übliche Schnittstellen wie [[USB]] in Wireshark integrieren.<ref name="wireusb">{{Internetquelle |url=https://wiki.wireshark.org/CaptureSetup/USB |titel=USB capture setup |abruf=2018-06-17}}</ref> Unter [[Microsoft Windows|Windows]] zeichnet ''Wireshark'' den Datenverkehr ab Version 3.0 [[Transparenz (Computersystem)|transparent]] mithilfe von Npcap<ref>{{Internetquelle |url=https://www.wireshark.org/news/20190228.html |titel=Wireshark · Wireshark 3.0.0 Released |abruf=2019-05-15}}</ref> auf.
* Ferner kann Wireshark auch drahtlosen Datenverkehr im [[Wireless Local Area Network]] (WLAN) und [[Bluetooth]]-Verbindungen aufzeichnen und analysieren. Über entsprechende Module lassen sich weitere übliche Schnittstellen wie [[USB]] in Wireshark integrieren.<ref name="wireusb">{{Internetquelle |url=https://wiki.wireshark.org/CaptureSetup/USB |titel=USB capture setup |abruf=2018-06-17}}</ref> Unter [[Microsoft Windows|Windows]] zeichnet ''Wireshark'' den Datenverkehr ab Version 3.0 [[Transparenz (Computersystem)|transparent]] mithilfe von Npcap<ref>{{Internetquelle |url=https://www.wireshark.org/news/20190228.html |titel=Wireshark · Wireshark 3.0.0 Released |abruf=2019-05-15}}</ref> auf
* Bis zur Version 3.0 wurde ''[[WinPcap]]'' verwendet.
* Bis zur Version 3.0 wurde ''[[WinPcap]]'' verwendet
* Voraussetzung dafür ist immer, dass der jeweilige Rechner, auf dem Wireshark betrieben wird, über die entsprechenden physischen Schnittstellen verfügt und der Benutzer entsprechende Zugriffsberechtigungen auf diese Schnittstellen hat.
* Voraussetzung dafür ist immer, dass der jeweilige Rechner, auf dem Wireshark betrieben wird, über die entsprechenden physischen Schnittstellen verfügt und der Benutzer entsprechende Zugriffsberechtigungen auf diese Schnittstellen hat


; Neben der grafischen Wireshark-Version gibt es das auf demselben Netzwerkcode basierende '''''Tshark''''', das über Kommandozeilen-Optionen gesteuert wird.
; Neben der grafischen Wireshark-Version gibt es das auf demselben Netzwerkcode basierende '''''Tshark''''', das über Kommandozeilen-Optionen gesteuert wird
* Für beide Versionen wurde das Aufzeichnungsformat der Messdaten von [[tcpdump]] entlehnt bzw. übernommen.
* Für beide Versionen wurde das Aufzeichnungsformat der Messdaten von [[tcpdump]] entlehnt bzw. übernommen
* Gleichwohl kann Wireshark zusätzlich die Formate anderer LAN-Analyzer einlesen.
* Gleichwohl kann Wireshark zusätzlich die Formate anderer LAN-Analyzer einlesen


== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Sicherheit ====
==== Sicherheit ====
==== Dokumentation ====
==== Dokumentation ====
Zeile 287: Zeile 288:
===== Weblinks =====
===== Weblinks =====
# https://de.wikipedia.org/wiki/Wireshark
# https://de.wikipedia.org/wiki/Wireshark
# http://www.nwlab.net/tutorials/wireshark
# [//www.admin-magazin.de/Das-Heft/2011/05/Netzwerkanalyse-mit-Wireshark Netzwerkanalyse mit Wireshark] – ''[[Admin-Magazin]]'', aus der Ausgabe 05/2011
# [https://www.butschek.de/oldblog/fachartikel/tcpdump-wireshark/ Analyse mit tcpdump/wireshark] – ''Butschek.de'', am 24. April 2009
# [//www.computerwoche.de/produkte_technik/open_source/582469/ Wireshark – günstige Sniffer-Alternative] – ''[[Computerwoche]]'', am 11. Oktober 2006
# [http://www.easy-network.de/ethereal.html Ethereal (Wireshark) Tutorial] – Seite bei ''Easy-Network''
# [http://www.nwlab.net/tutorials/wireshark/ Wireshark Tutorial Teil 1] – Seite bei ''Network Lab''
# [https://www.wireshark.org Wireshark-Homepage]
# [http://sourceforge.net/projects/packetyzer/ Packetyzer] – alternative Oberfläche für Ethereal (Windows)


[[Kategorie:Sniffing]]
[[Kategorie:Sniffing]]

Version vom 20. Januar 2024, 11:22 Uhr

Wireshark - Analyse und grafischen Aufbereitung von Datenprotokollen

Beschreibung

Wireshark Logo

Wireshark (Kabelhai) ist eine freie Software zur Analyse und grafischen Aufbereitung von Datenprotokollen (Sniffer), die 2006 als Fork des Programms Ethereal entstanden ist

  • Datenprotokolle verwenden Computer auf verschiedensten Kommunikationsmedien wie dem lokalen Netzwerk, Bluetooth oder USB
  • Das Netzwerk-Analyse-Tool kann Administratoren, Netzwerk-Experten und Sicherheits-Experten bei der Suche nach Netzwerkproblemen, der Ermittlung von Botnet-Verbindungen oder beim Netzwerk-Management behilflich sein
  • freie Software
Wireshark zeigt bei einer Aufnahme sowohl den Protokoll-Kopf als auch den übertragenen Inhalt an
  • Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie pcap oder usbpcap, um den Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium mitzuschneiden
  • Datenprotokolle verwenden Computer auf verschiedensten Kommunikationsmedien wie dem lokalen Netzwerk, Bluetooth oder USB
  • Hilft bei der Suche nach Netzwerkproblemen, der Ermittlung von Botnet-Verbindungen oder beim Netzwerk-Management
  • Wireshark zeigt bei einer Aufnahme sowohl den Protokoll-Kopf als auch den übertragenen Inhalt an
  • Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie pcap oder usbpcap
  • Der Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium wird mitgeschnitten
  • Hersteller: Wireshark-Community
  • Betriebssystem: Unix, Linux, Solaris, Mac, Windows und diversen BSD-Versionen
  • Programmiersprache: C
  • Lizenz: GPL (freie Software)
Besondere Leistungsmerkmale

Wireshark fügt bei verschiedenen Protokollen Metainformationen zu Paketen hinzu, die sich nur aus dem Kontext des Datenflusses ergeben

  • So wird zu SMB-Paketen, die aus Operationen in Windows-Dateifreigaben stammen, der Datei- bzw. Verzeichnisname hinzugefügt, wenn das Öffnen der Datei mit aufgezeichnet wurde
  • Diese speziellen Filter und Protokollmodule kann der Benutzer auch selber erstellen, um zum Beispiel selbst entworfene Übertragungsprotokolle mittels Wireshark effizient untersuchen zu können

Installation

# apt install wireshark

Wireshark ausführen

Mit User-Rechten hat Wireshark keinen Zugriff auf Netzwerkschnittstellen
  • Erfordert standardmäßig Root-Rechte
Starten mit Root-Rechten
WIRESHARK ENTHÄLT ÜBER EINE MILLION ZEILEN QUELLCODE. FÜHREN SIE IHN NICHT ALS ROOT AUS!
Wireshark ist anfällig für manipulierten Datenverkehr

Aufgrund seiner Komplexität und der großen Anzahl an Protokoll-Dissektoren

  • Denial-of-Service
  • Ausführung von beliebigem Code

Capabilities

Privilegierte Prozesse (Effektive Benutzer-ID 0)
  • Privilegierte Prozesse umgehen alle Berechtigungsprüfungen des Kernels
Unprivilegierte Prozesse (Effektive UID ungleich Null)
  • Unprivilegierte Prozesse unterliegen einer vollständigen Berechtigungsprüfung
  • Basierend auf den Anmeldedaten des Prozesses (normalerweise: effektive UID, effektive GID und zusätzliche Gruppenliste)
Unterteillung von Privilegien
  • Einheiten (Capabilities) von Privilegien, die andernfalls Root vorbehalten sind
  • Können unabhängig voneinander aktiviert und deaktiviert werden
  • Capabilities sind ein Attribut pro Thread
  • Das Handbuch listet mehr als zwei Dutzend verschiedene POSIX-Fähigkeiten auf, die einzelnen ausführbaren Programmen gewährt werden können
Relevant für Wireshark
Option Beschreibung
CAP_NET_ADMIN Erlaubt verschiedene netzwerkbezogene Operationen (z.B. Setzen von privilegierten Socket-Optionen, Aktivieren von Multicasting, Schnittstellenkonfiguration, Ändern von Routing-Tabellen)
CAP_NET_RAW Erlaubt die Verwendung von RAW- und PACKET-Sockets
  • CAP_NET_ADMIN ermöglicht es uns, eine Schnittstelle in den Promiscuous-Modus zu versetzen, und
  • CAP_NET_RAW erlaubt den Raw-Zugriff auf eine Schnittstelle, um direkt über die Leitung zu erfassen

Diese Fähigkeiten werden mit dem Dienstprogramm setcap zugewiesen

Aktivieren von Non-root Capture

setcap installieren

Damit können granulare Fähigkeiten für Wiresharks dumpcap-Executable festgelegt werden

  • setcap ist Teil des Pakets libcap2-bin
# apt install libcap2-bin

Wireshark-Gruppe

Da die Anwendung, der wir erweiterte Fähigkeiten zugestehen, standardmäßig von allen Benutzern ausgeführt werden kann, möchten Sie vielleicht eine spezielle Gruppe für die Wireshark-Familie von Dienstprogrammen (und ähnliche Anwendungen) hinzufügen und ihre Ausführung auf Benutzer innerhalb dieser Gruppe beschränken 

# groupadd wireshark
# usermod -a -G wireshark user

Nachdem Sie sich selbst zur Gruppe hinzugefügt haben, muss sich Ihr normaler Benutzer möglicherweise ab- und wieder anmelden

  • Sie können auch newgrp ausführen, um die neue Gruppe zu erzwingen (Sie müssen Wireshark in Schritt 3 aus derselben Terminalumgebung starten):
$ newgrp wireshark

Wir weisen dieser Gruppe die ausführbare Datei dumpcap anstelle von Wireshark selbst zu, da dumpcap für die gesamte Low-Level-Erfassung zuständig ist

  • Durch Ändern des Modus auf 750 wird sichergestellt, dass nur Benutzer, die zu dieser Gruppe gehören, die Datei ausführen können
# chgrp wireshark /usr/bin/dumpcap
# chmod 750 /usr/bin/dumpcap

Zugriffsrechte

Gewähren von Fähigkeiten mit setcap
# setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
Änderung prüfen
# getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

Wireshark starten

Führen Sie nun Wireshark als den Benutzer aus, den oben zur Wireshark-Gruppe hinzugefügt haben 

$ wireshark &
Vollständige Liste der Adapter

Andernfalls

  • Prüfen, ob die Wireshark-Gruppe in der Ausgabe der Gruppen aufgeführt ist
  • Möglicherweise müssen Sie sich ab- und wieder anmelden, damit die Gruppenzuweisung wirksam wird

Anwendung

Oberfläche

Hauptfenster von Wireshark

  • Paketliste (engl. packet list pane)
  • Paketdetails (engl. packet details pane) und
  • Hexadezimale Paketanzeige (engl. packet bytes pane)

Menü-Übersicht

  • Im Menü Ansicht können einige Eigenschaften der Anzeige verändert werden
  • So kann die Anzahl und Art der Paketfenster bestimmt werden
  • Nützlich ist die Umschaltung des Formates der Zeitanzeige: Ansicht/Format der Zeitanzeige
  • Über Ansicht/Paketliste einfärben kann das Einfärben der Frames aktiviert/deaktiviert werden

Paketliste

Spalte Beschreibung
No Nummer des Frames
Source Absender eine Frames
Destination der Empfänger des Frames
Protocol Protokoll im Frame
Info zusätzliche Informationen zum Frame

Spalten der Paketliste können über die Menüauswahl Ansicht ausgewählt werden

Paketdetails

Im mittleren Teil des Bildschirms werden die Details zum ausgewählten Frame angezeigt

  • Zuerst ein ICMP Echo Request in der Paketliste auswählen
  • In den Paketdetails werden die Layer (Schichten) des Datenframes angezeigt
  • Durch Anklicken des Plus-Symbols kann der gewählte Layer erweitert werden
  • Ganz oben in den Paketdetails findet man Informationen von Wireshark zum betreffenden Frame:
  1. Größe des Frames
  2. Aufgezeichnete Größe (Slicing)
  3. Zeit und Zeitdifferenz zum vorhergehenden Frame
Frame 6086 (74 bytes on wire, 74 bytes captured)
   Arrival Time: Feb 23, 2006 15:18:20.081749000
   Time delta from previous packet: 3211.323936000 seconds
   Time since reference or first frame: 3211.323936000 seconds
   Frame Number: 6086
   Packet Length: 74 bytes
   Capture Length: 74 bytes
   Protocols in frame: eth:ip:icmp:data
  • Die nächste Zeile liefert Informationen zum OSI-02 (Ethernet)
  • Dort sind die MAC-Adressen von Absender und Empfänger
    • Die MAC-Adresse des Empfängers wird im Normalfall die MAC-Adresse des Default Routers sein
Ethernet II, Src: 192.168.2.157 (00:30:f1:ee:90:7b), Dst: 192.168.2.1 (00:30:f1:f5:0e:5b)
   Destination: 192.168.2.1 (00:30:f1:f5:0e:5b)
   Source: 192.168.2.157 (00:30:f1:ee:90:7b)
   Type: IP (0x0800)
  • 03: Internet Protocol (IP)
  • Dort sind Angaben wie IP-Flags, die Time to live (TTL), das Protokoll und Absender- und Empfänger-IP-Adressen
Internet Protocol, Src: 192.168.2.157 (192.168.2.157), Dst: 66.249.93.104 (66.249.93.104)
   Version: 4
   Header length: 20 bytes
   Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
       0000 00.. = Differentiated Services Codepoint: Default (0x00)
       .... ..0. = ECN-Capable Transport (ECT): 0
       .... ...0 = ECN-CE: 0
   Total Length: 60
   Identification: 0x0fd3 (4051)
   Flags: 0x00
       0... = Reserved bit: Not set
       .0.. = Don't fragment: Not set
       ..0. = More fragments: Not set
   Fragment offset: 0
   Time to live: 128
   Protocol: ICMP (0x01)
   Header checksum: 0xc747 [correct]
       Good: True
       Bad : False
   Source: 192.168.2.157 (192.168.2.157)
   Destination: 66.249.93.104 (66.249.93.104)
  • In der letzten Zeile in den Paketdetails wird das Internet Control Message Protocol (ICMP) dekodiert
  • ICMP nutzt eine Codierung, bestehend aus Type und Code
    • Type 8, Code 0 ist ein ICMP Echo Request
Internet Control Message Protocol
   Type: 8 (Echo (ping) request)
   Code: 0
   Checksum: 0x475c [correct]
   Identifier: 0x0300
   Sequence number: 0x0300
   Data (32 bytes)
  • Im Hexdump des Frames ist zu erkennen, dass Windows beim Ping das Alphabet als Nutzlast (Payload) benutzt
0000  00 30 f1 f5 0e 5b 00 30 f1 ee 90 7b 08 00 45 00   .0...[.0...{..E
0010  00 3c 0f d3 00 00 80 01 c7 47 c0 a8 02 9d 42 f9   .........G....B
0020  5d 68 08 00 47 5c 03 00 03 00 61 62 63 64 65 66   ]h..G\....abcdef
0030  67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76   ghijklmnopqrstuv
0040  77 61 62 63 64 65 66 67 68 69                                wabcdefghi

Display-Filter

Netzwerkverkehr aufzeichnen, filtern und auswerten

  • Zeigt nur STMP (Port 25) und ICMP-Traffic
  • Schaltfläche ...mit diesem Filter: wird der Filter eingegeben, mit dem gesucht werden soll
  • Anschließend die gewünschte (aktive) Verbindung auswählen
  • Die Aufzeichnung der Datenübertragung starten
  • Die Aufzeichnung läuft und Wireshark zeigt in einem Statusfenster die Anzahl der aufgezeichneten Frames (Captured Packets) an

Datenübertragung stoppen

Filter

Filtern

Das wichtigste Instrument zum Auswerten von Traces sind Filter

  • Mit Filtern wird die Anzeige auf die interessanten Frames eingeschränkt
  • Um nur noch Traffic von und zu unserer eigenen IP-Adresse zu sehen, geben wir im Eingabefeld Filter von Wireshark folgenden Ausdruck ein:
ip.addr == 192.168.1.2
  • Als IP-Adresse setzen wir die IP-Adresse des Sniffers ein, also unsere eigene
  • Wireshark zeigt nun nur noch Frames an, die diese Filterbedingung erfüllen
  • Mit der Schaltfläche Clear kann die Filterbedingung gelöscht werden

Filter erweitern

ICMP-Pakete

Anzeige weiter einschränken:

  • Nur der Traffic des Ping-Kommandos ist interessant. Ping nutzt ein Protokoll namens ICMP

Filterbedingung entsprechend erweitern: 

ip.addr == 192.168.1.2 && icmp

Mit dem Operator && werden die einzelnen Filterbedingungen UND-verknüpft

  • icmp schränkt die Anzeige auf das Protokoll ICMP ein
  • In der Anzeige sind jetzt nur noch ICMP-Pakete unserer eigenen IP-Adresse zu sehen

Testdaten erzeugen

Beispiel
  • Ping auf den Host www.google.de
  • In einer Shell oder Eingabeaufforderung das Kommando ping www.google.de eingeben
$ ping www.google.de
Ping www.google.de [66.249.93.104] mit 32 Bytes Daten:
Antwort von 66.249.93.104: Bytes=32 Zeit=76ms TTL=243
Antwort von 66.249.93.104: Bytes=32 Zeit=77ms TTL=243
Antwort von 66.249.93.104: Bytes=32 Zeit=75ms TTL=244
Antwort von 66.249.93.104: Bytes=32 Zeit=75ms TTL=243
Ping-Statistik für 66.249.93.104:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust)
Ca. Zeitangaben in Millisek.:
    Minimum = 75ms, Maximum = 77ms, Mittelwert = 75ms
  • Jetzt halten wir die Datenaufzeichnung im Wireshark mit der Schaltfläche Stop an
  • Wireshark bereitet die aufgezeichneten Frames nun auf und zeigt sie an
  • Da beim Aufzeichnen keinen Filter gesetzt wurde, ist sämtlicher Netzwerkverkehr mitgeschnitten worden


Technische Details

Wireshark stellt entweder während oder nach der Aufzeichnung von Datenverkehr einer Netzwerk-Schnittstelle die Daten in Form einzelner Pakete dar
  • Dabei werden die Daten übersichtlich mit entsprechend auf die jeweiligen Protokolle angepassten Filtern aufbereitet
  • So kann der Inhalt der mitgeschnittenen Pakete betrachtet oder nach diesem gefiltert werden
  • Wireshark kann auch Statistiken zum Datenfluss erstellen oder über spezielle Filter gezielt binäre Inhalte wie Bilder u. a. extrahieren
Als Netzwerkschnittstellen, deren Datenverkehr analysiert werden kann, sind primär Ethernet mit den verschiedenen Internetprotokollen wie TCP/IP zu nennen
  • Ferner kann Wireshark auch drahtlosen Datenverkehr im Wireless Local Area Network (WLAN) und Bluetooth-Verbindungen aufzeichnen und analysieren. Über entsprechende Module lassen sich weitere übliche Schnittstellen wie USB in Wireshark integrieren.[1] Unter Windows zeichnet Wireshark den Datenverkehr ab Version 3.0 transparent mithilfe von Npcap[2] auf
  • Bis zur Version 3.0 wurde WinPcap verwendet
  • Voraussetzung dafür ist immer, dass der jeweilige Rechner, auf dem Wireshark betrieben wird, über die entsprechenden physischen Schnittstellen verfügt und der Benutzer entsprechende Zugriffsberechtigungen auf diese Schnittstellen hat
Neben der grafischen Wireshark-Version gibt es das auf demselben Netzwerkcode basierende Tshark, das über Kommandozeilen-Optionen gesteuert wird
  • Für beide Versionen wurde das Aufzeichnungsformat der Messdaten von tcpdump entlehnt bzw. übernommen
  • Gleichwohl kann Wireshark zusätzlich die Formate anderer LAN-Analyzer einlesen

Anhang

Siehe auch

Sicherheit

Dokumentation

Man-Pages

Links

Projekt
  1. https://www.wireshark.org
Weblinks
  1. https://de.wikipedia.org/wiki/Wireshark


Abgerufen von „https://wiki.foxtom.de/index.php?title=Wireshark&oldid=91242