Wenn Sie bei der Fehlersuche im Netzwerk auf Probleme stoßen und einzelne Pakete inspizieren müssen, müssen Sie Wireshark verwenden. Wireshark ist in der Praxis die gängigste Anwendung zur Erfassung und Untersuchung des Netzwerkverkehrs, mit der Sie unbedingt umgehen können sollten. Da Wireshark das Allround-Tool für solche Aufgaben ist, werfen wir nun einen Blick auf die Grundlagen – z. B. wo Sie es herunterladen können, wie Sie Netzwerkpakete abfangen, wie Sie die Wireshark-Filter verwenden und vieles mehr.
Wireshark ist eine Open-Source-Software zur Analyse von Netzwerkprotokollen, die 1998 von Gerald Combs entwickelt wurde. Eine globale Organisation von Netzwerkspezialisten und Softwareentwicklern unterstützt Wireshark und nimmt fortlaufend Aktualisierungen für neue Netzwerktechnologien und Verschlüsselungsmethoden vor. Die Verwendung von Wireshark ist absolut sicher. Regierungsbehörden, Unternehmen, gemeinnützige Organisationen sowie Bildungseinrichtungen nutzen Wireshark zur Fehlerbehebung und zu Lehrzwecken. Es gibt kaum eine bessere Möglichkeit, etwas über Netzwerke zu lernen, als den Verkehr darin durch das Wireshark-Mikroskop zu betrachten. Die Legalität von Wireshark wird oft infrage gestellt, da es ein leistungsfähiger Packet Sniffer ist. Die helle Seite der Macht besagt, dass man Wireshark nur in Netzwerken verwenden sollte, in denen man die Erlaubnis hat, Netzwerkpakete zu untersuchen. Die Verwendung von Wireshark zum unerlaubten Lesen von Paketen ist der Weg zur dunklen Seite.
Wireshark ist ein Packet Sniffer und ein Analysewerkzeug. Es erfasst den Netzwerkverkehr im lokalen Netzwerk und speichert diese Daten zur Offline-Analyse. Die Anwendung erfasst den Netzwerkverkehr über Ethernet, Bluetooth, Wireless (IEEE.802.11), Token Ring, Frame-Relay-Verbindungen und mehr. Anm. der Redaktion: Ein „Paket“ ist eine einzelne Nachricht aus einem beliebigen Netzwerkprotokoll (d. h. TCP, DNS usw.) Anm. der Redaktion 2: LAN-Verkehr ist im Broadcast-Modus, d. h. ein einzelner Computer mit Wireshark kann den Verkehr zwischen zwei anderen Computern sehen. Wenn Sie den Verkehr zu einer externen Site sehen möchten, müssen Sie die Pakete auf dem lokalen Computer abfangen. Mit Wireshark können Sie das Protokoll entweder vor Beginn des Abfangprozesses oder während der Analyse filtern. So können Sie das, wonach Sie im Netzwerk-Trace suchen, eingrenzen und ausfindig machen. Sie können zum Beispiel einen Filter benutzen, um den TCP-Verkehr zwischen zwei IP-Adressen zu sehen. Sie können ihn so einstellen, dass er Ihnen nur die von einem einzigen Computer gesendeten Pakete anzeigt. Die Filter in Wireshark sind einer der Hauptgründe dafür, dass es zum Standardwerkzeug für die Paketanalyse avanciert ist.
Wireshark lässt sich einfach herunterladen und installieren. Zuerst müssen Sie auf der offiziellen Wireshark-Download-Seite den Download für Ihr jeweiliges Beriebssystem finden. Die Basisversion von Wireshark ist kostenlos.
Wireshark ist in zwei Varianten für Windows erhältlich, 32 Bit und 64 Bit. Wählen Sie die richtige Version für Ihr Betriebssystem. Das aktuelle Release ist 3.0.3 zum Zeitpunkt der Veröffentlichung. Die Installation ist einfach und sollte keine Probleme verursachen.
Wireshark ist für Mac als Homebrew-Installation verfügbar. Um Homebrew zu installieren, müssen Sie diesen Befehl im Terminal ausführen: /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)” Sobald Sie das Homebrew-System eingerichtet haben, können Sie auf mehrere Open-Source-Projekte für Ihren Mac zugreifen. Um Wireshark zu installieren, führen Sie diesen Befehl im Terminal aus: brew install wireshark Homebrew wird Wireshark und alle zugehörigen Dateien herunterladen und installieren, damit es korrekt ausgeführt werden kann.
Die Installation von Wireshark unter Linux unterscheidet sich je nach Linux-Distribution. Wenn Sie nicht eine der folgenden Distributionen verwenden, überprüfen Sie bitte die Befehle nochmals. Ubuntu: Führen Sie diese Befehle im Terminal aus:
sudo apt-get install wiresharksudo dpkg-reconfigure wireshark-commonsudo adduser $USER wiresharkDiese Befehle laden das Paket herunter, aktualisieren das Paket und fügen Benutzerrechte zur Ausführung von Wireshark hinzu. Red Hat Fedora: Führen Sie diese Befehle im Terminal aus:
sudo dnf install wireshark-qtsudo usermod -a -G wireshark usernameDer erste Befehl installiert die GUI- und CLI-Version von Wireshark, und der zweite Befehl fügt Berechtigungen zur Verwendung von Wireshark hinzu. Kali Linux: Wireshark ist wahrscheinlich bereits installiert! Es ist Teil des Basispakets. Überprüfen Sie das durch einen Blick auf Ihr Menü. Es befindet sich unter dem Menüpunkt „Sniffing und Spoofing“.
Nun, da wir Wireshark installiert haben, lassen Sie uns besprechen, wie wir den Wireshark-Packet-Sniffer aktivieren und dann den Netzwerkverkehr analysieren können.
Wenn Sie Wireshark öffnen, sehen Sie einen Bildschirm, der Ihnen eine Liste aller Netzwerkverbindungen anzeigt, die Sie überwachen können. Sie haben auch ein Filterfeld für die Abfangung, so dass Sie nur den Netzwerkverkehr abfangen, den Sie sehen möchten.
Wireshark zeigt Ihnen drei verschiedene Bereiche zur Inspektion von Paketdaten. Die „Packet List“, der obere Bereich, ist eine Liste aller Pakete, die abgefangen wurden. Wenn Sie auf ein Paket klicken, zeigen die anderen beiden Bereiche Ihnen die Details zu dem ausgewählten Paket an. Sie können auch sehen, ob das Paket Teil einer Konversation ist. Hier finden Sie einige Details zu jeder Spalte im oberen Fensterbereich:
„Packet Details“, der mittlere Bereich, zeigt Ihnen so viele lesbare Informationen wie möglich über das Paket, je nachdem, um welche Art von Paket es sich handelt. Sie können mit der rechten Maustaste klicken und Filter basierend auf dem markierten Text in diesem Feld erstellen. Der untere Bereich, „Packet Bytes“, zeigt das Paket hexadezimal an – genau so, wie es erfasst wurde. Wenn Sie sich ein Paket ansehen, das Teil einer Konversation ist, können Sie mit der rechten Maustaste auf das Paket klicken und „Follow“ auswählen, um nur die Pakete zu sehen, die Teil dieser Konversation sind.
Eine der besten Funktionen von Wireshark sind die Wireshark-Abfangfilter und die Wireshark-Anzeigefilter. Mit Hilfe von Filtern können Sie die abgefangenen Pakete so anzeigen, wie Sie es brauchen, um die anstehenden Probleme zu beheben. Hier finden Sie verschiedene Filter, die Ihnen den Einstieg erleichtern.
Abfangfilter begrenzen die durch den Filter abgefangenen Pakete. Das heißt, wenn die Pakete nicht mit dem Filter übereinstimmen, werden sie von Wireshark nicht gespeichert. Hier sind einige Beispiele für Abfangfilter: host IP-address: Dieser Filter beschränkt das Abfangen auf den Datenverkehr zu und von der IP-Adresse. net 192.168.0.0/24: Dieser Filter erfasst den gesamten Datenverkehr im Subnetz. dst host IP-address : Es werden die Pakete abgefangen, die an den angegebenen Host gesendet werden. port 53: Abfangen des Verkehrs nur auf Port 53. port not 53 and not arp: Erfassung des gesamten Datenverkehrs außer DNS- und ARP-Verkehr
Wireshark-Anzeigefilter ändern die Anzeige der Abfangung während der Analyse. Nachdem Sie das Abfangen der Pakete gestoppt haben, verwenden Sie Anzeigefilter, um die Pakete in der Paketliste einzugrenzen, damit Sie Ihr Problem beheben können. Der (meiner Erfahrung nach) nützlichste Anzeigefilter ist: ip.src==IP-address and ip.dst==IP-address Dieser Filter zeigt Ihnen Pakete von einem Computer (ip.src) zu einem anderen (ip.dst) an. Sie können auch ip.addr verwenden, um sich Pakete zu und von dieser IP anzeigen zu lassen. Hier sind einige andere: tcp.port eq 25: Dieser Filter zeigt Ihnen den gesamten Verkehr auf Port 25 an, in der Regel SMTP-Verkehr. icmp: Dieser Filter zeigt Ihnen nur den abgefangenen ICMP-Verkehr an, höchstwahrscheinlich Pings. ip.addr != IP_address: Dieser Filter zeigt Ihnen den gesamten Verkehr mit Ausnahme des Verkehrs zu oder von dem angegebenen Computer an. Analysten erstellen sogar Filter, um bestimmte Angriffe zu erkennen, beispielsweise diesen Filter zur Erkennung des Sasser-Wurms: ls_ads.opnum==0x09
Abgesehen vom Erfassen und Filtern gibt es in Wireshark verschiedene andere Funktionen, die Ihnen das Leben leichter machen.
Sie können Wireshark so einrichten, dass es Ihre Pakete in der Paketliste entsprechend dem Anzeigefilter einfärbt. So können Sie bestimmte Pakete gezielt hervorheben. Schauen Sie sich hier einige Beispiele an.
Standardmäßig erfasst Wireshark nur Pakete, die zu und von dem Computer gesendet werden, auf dem es läuft. Durch Aktivieren des Kontrollkästchens für den „Promiscuous“-Modus in den Abfangeinstellungen können Sie den Großteil des Datenverkehrs im LAN erfassen.
Wireshark bietet eine Befehlszeile (Command Line Interface, CLI), wenn Sie ein System ohne grafische Benutzeroberfläche benutzen. Es hat sich bewährt, die Befehlszeile zum Abfangen und Speichern eines Logs zu verwenden, um den Log dann in der grafischen Benutzeroberfläche zu überprüfen.
Unter dem Menüpunkt „Statistics“ finden Sie eine Fülle von Optionen, um Details zu Ihrem Abfangprozess anzuzeigen.
Es gibt zahlreiche Tutorials und Videos im Netz, die Ihnen zeigen, wie Sie Wireshark für bestimmte Zwecke einsetzen können. Sie sollten auf der offiziellen Website von Wireshark anfangen und sich von dort aus voranarbeiten. Die offizielle Dokumentation und das Wiki befinden sich auf dieser Website. Wireshark ist ein hervorragendes Tool zum Sniffen und Analysieren von Netzwerken – meiner Meinung nach ist es jedoch am besten, wenn man bereits weiß, wonach man sucht. Wireshark ist nicht das Mittel der Wahl, um ein neues Problem zu finden. Dafür ist das Netzwerk zu verrauscht. Sie brauchen ein Tool wie Varonis mit Edge, um Ihre Gesamtsituation zu verstehen und Hinweise auf Bedrohungen zu erhalten, die untersucht werden müssen. Anschließend können Sie mit Wireshark tiefer gehen, um genau zu verstehen, was in den gefährlichen Paketen enthalten ist. Als die Sicherheitsforscher von Varonis zum Beispiel den Norman-Cryptominer entdeckten, erhielten sie von Varonis einen Alarm, der auf verdächtige Netzwerk- und Dateiaktivitäten von mehreren Rechnern hinwies. Während der Analyse des Cryptominers verwendeten die Varonis-Forscher Wireshark, um die Netzwerkaktivitäten für bestimmte Geräte zu untersuchen, die verdächtige Aktivitäten aufwiesen. In Wireshark konnte das Team sehen, dass ein neuer Cyptominer – Norman – über DuckDNS aktiv mit Command-and-Control-Servern (C&C) kommunizierte. Das Varonis-Team konnte so alle IP-Adressen der C&C-Server sehen, die die Angreifer nutzten. Dadurch konnte das Unternehmen die Kommunikation unterbrechen und den Angriff stoppen. Um das Varonis-Team in Aktion zu sehen, melden Sie sich für eine Live-Demo zu Cyberangriffen an. Wählen sie einen Termin aus, der am besten für sie passt!