Wireshark

Aus Foxwiki

Wireshark ist eine freie Software zur Analyse und grafischen Aufbereitung von Datenprotokollen, die 2006 als Fork des Programms Ethereal (Anspielung auf Ethernet) entstanden ist.

Vergangenheit und Zukunft

  • Vorläufer von Ethereal und Wireshark waren Netzwerk-Analyse-Produkte kommerzieller Hersteller.
  • In Erscheinungsform und Wirkungsweise erinnert manches an diese Vorläufer.
  • Einige sind inzwischen durch das erfolgreiche Open-Source-Projekt Ethereal/Wireshark vom Markt verdrängt und infolgedessen eingestellt worden.
  • Wireshark ist ein paket- und nicht datenorientierter Sniffer.
  • Schwerpunkt ist die Analyse punktueller Probleme.

Einleitung

  • Solche Datenprotokolle verwenden Computer auf verschiedensten Kommunikationsmedien wie dem lokalen Netzwerk, Bluetooth oder USB.
  • Hilft bei der Suche nach Netzwerkproblemen, der Ermittlung von Botnet-Verbindungen oder beim Netzwerk-Management.
  • Wireshark zeigt bei einer Aufnahme sowohl den Protokoll-Kopf als auch den übertragenen Inhalt an.
  • Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie pcap oder usbpcap.
  • Der Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium wird mitgeschnitten.

Ping und ICMP

Netzwerkverkehr aufzeichnen, filtern und auswerten.

Capture Interfaces
Capture Interfaces
  • Schaltfläche Capture startet die Aufzeichnung der Datenübertragung.
  • Die Aufzeichnung läuft und Wireshark zeigt in einem Statusfenster die Anzahl der aufgezeichneten Frames (Captured Packets) an.

Technische Details

  • Wireshark stellt entweder während oder nach der Aufzeichnung von Datenverkehr einer Netzwerk-Schnittstelle die Daten in Form einzelner Pakete dar.
  • Dabei werden die Daten übersichtlich mit entsprechend auf die jeweiligen Protokolle angepassten Filter aufbereitet.
  • So kann der Inhalt der mitgeschnittenen Pakete betrachtet oder nach diesem gefiltert werden.
  • Wireshark kann auch Statistiken zum Datenfluss erstellen.
  • Über spezielle Filter können gezielt binäre Inhalte wie Bilder u. a. extrahiert werden.
  • Als Netzwerkschnittstellen, deren Datenverkehr analysiert werden kann, sind primär Ethernet mit den verschiedenen Internetprotokollfamilien wie TCP/IP zu nennen.
  • Auch kann Wireshark drahtlosen Datenverkehr im Wireless Local Area Network (WLAN) und Bluetooth-Verbindungen aufzeichnen und analysieren.
  • Über entsprechende Module lassen sich weitere übliche Schnittstellen wie USB in Wireshark integrieren.
  • Unter Windows zeichnet Wireshark den Datenverkehr ab Version 3.0 transparent mit Hilfe von Npcap auf.
  • Bis zur Version 3.0 wurde WinPcap verwendet.
  • Voraussetzung dafür ist immer, dass der jeweilige Rechner, auf dem Wireshark betrieben wird, über die entsprechenden physischen Schnittstellen verfügt und der Benutzer entsprechende Zugriffsberechtigungen auf diese Schnittstellen hat.
  • Neben der grafischen Wireshark-Version gibt es das auf demselben Netzwerkcode basierende Tshark.
  • Tshark wird über Kommandozeilen-Optionen gesteuert.
  • Für beide Versionen wurde das Aufzeichnungsformat der Messdaten von tcpdump entlehnt bzw. übernommen.
  • Wireshark kann zusätzlich die Formate anderer LAN-Analyzer einlesen.

Besondere Leistungsmerkmale

  • Wireshark fügt bei verschiedenen Protokollen Metainformationen zu Paketen hinzu.
  • Diese ergeben sich nur aus dem Kontext des Datenflusses.
  • So wird zu SMB-Paketen, die aus Operationen in Windows-Dateifreigaben stammen, der Datei- bzw. Verzeichnisname hinzugefügt. * Nur, wenn das Öffnen der Datei mit aufgezeichnet wurde.
  • Diese speziellen Filter und Protokollmodule kann der Benutzer auch selber erstellen.
  • Zum Beispiel um selbst entworfene Übertragungsprotokolle mittels Wireshark effizient untersuchen zu können.

Links

extern