Farbmarkierungsregeln in Wireshark erstellen und anwenden

Einführung

In diesem Lab lernen Sie, wie Sie in Wireshark, einem leistungsstarken Netzwerkprotokoll-Analyzer, Farbregeln erstellen und anwenden. Diese Regeln ermöglichen es Ihnen, verschiedene Arten von Netzwerkverkehr visuell anhand spezifischer Kriterien zu unterscheiden, was die Identifizierung und Analyse der für Sie relevanten Netzwerkaktivitäten erleichtert.

Am Ende dieses Labs werden Sie ein besseres Verständnis dafür haben, wie Sie die Farbfunktionen von Wireshark nutzen können. Dies wird Ihre Fähigkeiten in der Netzwerkanalyse verbessern und Ihre Cybersicherheitsuntersuchungen unterstützen.

Skills Graph

Erkunden und Exportieren von Farbregeln

In diesem Schritt beginnen wir damit, die vorhandenen Farbregeln in Wireshark zu erkunden. Farbregeln in Wireshark werden verwendet, um verschiedene Arten von Netzwerkpaketen anhand spezifischer Kriterien hervorzuheben. Dies erleichtert die schnelle Identifizierung und Analyse wichtiger Informationen im aufgezeichneten Netzwerkverkehr. Sie werden auch lernen, wie Sie diese Regeln anzeigen und für die spätere Verwendung exportieren können.

1. Zunächst müssen Sie Wireshark auf Ihrem Linux-Rechner öffnen. Dazu öffnen Sie das Terminal und führen den folgenden Befehl aus. Dieser Befehl startet die Wireshark-Anwendung, mit der Sie die Farbregeln bearbeiten werden.

   wireshark

2. Sobald Wireshark geöffnet ist, müssen Sie auf die Farbregeln zugreifen. Gehen Sie zum Menü View (Ansicht) oben im Wireshark-Fenster und wählen Sie dann Coloring Rules... (Farbregeln...). Dadurch wird der Dialog Wireshark Coloring Rules Default (Wireshark-Standard-Farbregeln) geöffnet. In diesem Dialog können Sie alle Farbregeln in Wireshark verwalten.

   

3. Im Dialog Wireshark Coloring Rules Default sehen Sie eine Liste der vorhandenen Farbregeln. Jede Regel hat eine bestimmte Bedingung und eine entsprechende Farbe. Diese Regeln werden auf die aufgezeichneten Pakete in der Reihenfolge angewendet, in der sie in der Liste erscheinen. Nehmen Sie sich einen Moment Zeit, um die Regeln zu durchsehen und ihre Beschreibungen zu lesen. Das Verständnis dieser Regeln gibt Ihnen eine Vorstellung davon, wie Wireshark Ihnen bei der effektiveren Analyse des Netzwerkverkehrs helfen kann.

   

4. Möglicherweise möchten Sie eine bestimmte Regel vorübergehend ausschalten oder einschalten, ohne sie zu löschen. Sie können dies tun, indem Sie die Regel in der Liste auswählen und das Kontrollkästchen neben ihr anklicken. Wenn das Kontrollkästchen aktiviert ist, ist die Regel eingeschaltet; wenn es deaktiviert ist, ist die Regel ausgeschaltet. Dies ist nützlich, wenn Sie die Auswirkung einer bestimmten Regel auf die Paketfärbung testen möchten.

5. Angenommen, Sie möchten die aktuelle Gruppe von Farbregeln für die spätere Verwendung speichern oder mit anderen teilen. Um diese Regeln zu exportieren, klicken Sie auf die Schaltfläche Export... (Exportieren...) im Dialog Wireshark Coloring Rules Default.

6. Nach dem Klicken auf die Schaltfläche Export... erscheint ein Dateidialog. Sie müssen einen Speicherort für die Datei mit den Farbregeln auswählen. Navigieren Sie zum Verzeichnis /home/labex/project. Es ist eine gute Praxis, der Datei einen beschreibenden Namen zu geben, wie z. B. colorizing_rules.txt, damit Sie sie später leicht identifizieren können.

   

   

7. Sobald Sie den Speicherort ausgewählt und die Datei benannt haben, klicken Sie auf OK, um den Dialog Wireshark Coloring Rules Default zu schließen. Sie haben die Farbregeln nun erfolgreich exportiert.

Erstellen einer neuen Farbregel

In diesem Schritt lernen wir, wie man in Wireshark eine neue Farbregel erstellt. Farbregeln sind eine leistungsstarke Funktion, die es Ihnen ermöglicht, bestimmten Netzwerkverkehr hervorzuheben, wodurch es einfacher wird, wichtige Pakete zu erkennen und zu analysieren. Durch das Erstellen einer benutzerdefinierten Regel können Sie schnell die Arten von Netzwerkverkehr identifizieren, die für Sie am wichtigsten sind.

1. Öffnen Sie zunächst den Dialog Wireshark Coloring Rules Default (Wireshark-Standard-Farbregeln). In Wireshark gehen Sie zu View (Ansicht) > Coloring Rules... (Farbregeln...). In diesem Dialog können Sie alle Ihre Farbregeln verwalten, einschließlich dem Erstellen, Bearbeiten und Löschen von Regeln.

2. Um eine neue Farbregel zu erstellen, klicken Sie auf die Schaltfläche +. Diese Aktion fügt einen leeren Regel-Eintrag zur Liste der vorhandenen Regeln hinzu.

   

3. Nachdem Sie eine neue Regel hinzugefügt haben, erscheint ein neuer Eintrag namens New coloring rule (Neue Farbregel) oben im Dialogfeld für die Farbregeln. Doppelklicken Sie auf diesen Eintrag, um den Regelnamen zu bearbeiten. Wenn Sie beispielsweise HTTP-Verkehr hervorheben möchten, können Sie die Regel HTTP Traffic (HTTP-Verkehr) nennen. Im Feld Filter müssen Sie einen Filterausdruck eingeben. Dieser Ausdruck teilt Wireshark mit, welche Pakete von dieser Regel hervorgehoben werden sollen. Für HTTP-Verkehr würden Sie http eingeben.

   

4. Jetzt sprechen wir über die Farboptionen. Hier gibt es zwei wichtige Schaltflächen: die Schaltflächen foreground (Vordergrund) und background (Hintergrund).

   Die Schaltfläche foreground wird verwendet, um die Farbe auszuwählen, mit der der Text der Pakete hervorgehoben wird, die der Regel entsprechen. Wenn Sie beispielsweise möchten, dass der Text der HTTP-Pakete rot ist, können Sie mit dieser Schaltfläche rot auswählen.

   

   Die Schaltfläche background ermöglicht es Ihnen, die Hintergrundfarbe für die hervorgehobenen Pakete auszuwählen. Sie können dies nutzen, um die Pakete noch stärker hervorzuheben. Beispielsweise könnten Sie die Hintergrundfarbe auf gelb setzen.

   

5. Optional können Sie die Priorität der Regel anpassen. Regeln in Wireshark werden basierend auf ihrer Reihenfolge in der Liste angewendet. Regeln mit höherer Priorität haben Vorrang vor Regeln mit niedrigerer Priorität. Um die Priorität zu ändern, ziehen Sie die Regel einfach in der Liste nach oben oder unten (drag).

6. Nachdem Sie die Regel eingerichtet haben, müssen Sie sie aktivieren. Klicken Sie auf das Kontrollkästchen neben der Regel, um die neu erstellte Farbregel zu aktivieren. Klicken Sie dann auf OK, um die neue Farbregel zu speichern. Dadurch wird die Regel auf Ihre Paketaufzeichnungen angewendet.

   

7. Wenn Sie in Wireshark eine Aufzeichnungsdatei öffnen oder eine Live-Aufzeichnung starten, sollten Sie jetzt die Netzwerkpakete sehen, die dem Filterausdruck entsprechen, in den von Ihnen für die Regel ausgewählten Farben angezeigt werden. Dies erleichtert es erheblich, den spezifischen Verkehr, an dem Sie interessiert sind, zu identifizieren und zu analysieren.

PS: Wenn Sie etwas HTTP-Verkehr generieren möchten, um Ihre Regel zu testen, können Sie den Browser starten. Klicken Sie auf Run Program... (Programm ausführen...) über die Schaltfläche Applications (Anwendungen) in der linken unteren Ecke und geben Sie Firefox ein.

Modifizieren einer vorhandenen Farbregel

In diesem Schritt lernen Sie, wie Sie eine vorhandene Farbregel in Wireshark modifizieren können. Farbregeln in Wireshark werden verwendet, um Netzwerkpakete anhand spezifischer Kriterien hervorzuheben. Dies erleichtert es Ihnen, verschiedene Arten von Verkehr schnell zu identifizieren und zu analysieren. Durch die Modifikation dieser Regeln können Sie anpassen, wie Pakete angezeigt werden, was es einfacher macht, sich auf die Informationen zu konzentrieren, die Sie für die Cybersicherheitsanalyse benötigen.

1. Öffnen Sie zunächst Wireshark. In Wireshark gehen Sie zum Menü View (Ansicht) oben im Fenster. Wählen Sie dann Coloring Rules... (Farbregeln...) aus dem Dropdown-Menü. Diese Aktion öffnet den Dialog Wireshark Coloring Rules Default (Wireshark-Standard-Farbregeln). In diesem Dialog können Sie alle Farbregeln in Wireshark verwalten.

2. Im Dialog Wireshark Coloring Rules Default sehen Sie eine Liste der vorhandenen Farbregeln. Jede Regel hat einen Namen, einen Filterausdruck und eine zugehörige Farbe. Wählen Sie die Farbregel aus dieser Liste aus, die Sie modifizieren möchten. Sie können auf die Regel klicken, um sie hervorzuheben.

3. Nachdem Sie die Regel ausgewählt haben, die Sie modifizieren möchten, gibt es zwei Hauptmöglichkeiten, Änderungen vorzunehmen. Sie können die Regel doppelklicken. Wenn Sie dies tun, wird ein neues Fenster geöffnet, in dem Sie den Namen der Regel, den Filterausdruck, der bestimmt, auf welche Pakete die Regel angewendet wird, und die Farbe, die zum Hervorheben der übereinstimmenden Pakete verwendet wird, ändern können. Darüber hinaus können Sie die Priorität der Regel ändern. Die Priorität bestimmt, welche Regel Vorrang hat, wenn mehrere Regeln auf ein einzelnes Paket zutreffen. Sie können die Priorität ändern, indem Sie die Regel in der Liste nach oben oder unten ziehen. Regeln weiter oben in der Liste haben eine höhere Priorität.

4. Jetzt machen wir einige spezifische Änderungen an der Regel. Sie müssen den Namen der Regel und den Filterausdruck nach Bedarf ändern. Ändern Sie beispielsweise den Namen der Regel von HTTP Traffic (HTTP-Verkehr) in Web Traffic (Web-Verkehr). Dieser neue Name spiegelt genauer die Art des Verkehrs wider, an dem wir interessiert sind. Ändern Sie auch den Filterausdruck von http in http and tcp.port == 80. Der ursprüngliche Filter http würde gesamten HTTP-Verkehr hervorheben, aber indem wir tcp.port == 80 hinzufügen, suchen wir speziell nach HTTP-Verkehr auf Port 80, der der Standardport für unverschlüsselten Web-Verkehr ist.

   Regelname: HTTP Traffic -> Web Traffic
   Filterausdruck: http -> http and tcp.port == 80

   

5. Nachdem Sie alle gewünschten Änderungen an der Regel vorgenommen haben, klicken Sie auf die Schaltfläche OK im Dialog. Dadurch wird die modifizierte Regel gespeichert, und Wireshark beginnt, die neuen Einstellungen zum Hervorheben von Paketen zu verwenden.

6. Um die Auswirkungen der modifizierten Regel zu sehen, können Sie entweder eine vorhandene Aufzeichnungsdatei in Wireshark öffnen oder eine Live-Aufzeichnung starten. Sobald die Pakete angezeigt werden, sollten Sie jetzt die Netzwerkpakete sehen, die der modifizierten Regel entsprechen, in der aktualisierten Farbe oder gemäß dem neuen Filterausdruck angezeigt werden. Auf diese Weise können Sie leicht den spezifischen Web-Verkehr auf Port 80 erkennen, an dem Sie interessiert sind.

Importieren von Farbregeln

In diesem Schritt lernen wir, wie man Farbregeln in Wireshark importiert. Farbregeln in Wireshark sind eine leistungsstarke Funktion, die Ihnen hilft, verschiedene Arten von Netzwerkverkehr schnell zu identifizieren, indem ihnen unterschiedliche Farben zugewiesen werden. Dies erleichtert die Analyse und das Verständnis der von Ihnen aufgezeichneten Daten.

1. Öffnen Sie zunächst Wireshark. Sobald es geöffnet ist, müssen Sie auf die Einstellungen für die Farbregeln zugreifen. Gehen Sie hierzu zum Menü View (Ansicht) oben im Wireshark-Fenster. Wählen Sie aus dem Dropdown-Menü Coloring Rules... (Farbregeln...). Dadurch wird der Dialog Wireshark Coloring Rules Default (Wireshark-Standard-Farbregeln) geöffnet. In diesem Dialog können Sie alle Ihre Farbregeln in Wireshark verwalten.

2. Nun, da der Dialog Wireshark Coloring Rules Default geöffnet ist, sehen Sie mehrere Schaltflächen. Um Farbregeln zu importieren, suchen Sie die Schaltfläche Import... (Importieren...) und klicken Sie darauf. Mit dieser Schaltfläche können Sie vordefinierte Farbregeln aus einer externen Datei einfügen.

   

3. Nachdem Sie auf die Schaltfläche Import... geklickt haben, erscheint ein neuer Dialog namens Wireshark Import Coloring Rules (Wireshark - Farbregeln importieren). In diesem Dialog müssen Sie die Datei finden, die die Farbregeln enthält, die Sie importieren möchten. Navigieren Sie zum Verzeichnis /home/labex/project. Hier ist die Datei colorizing_rules.txt gespeichert, die Sie zuvor exportiert haben. Sobald Sie sich im richtigen Verzeichnis befinden, wählen Sie die Datei colorizing_rules.txt aus.

   

4. Nachdem Sie die Datei colorizing_rules.txt ausgewählt haben, klicken Sie auf die Schaltfläche Open (Öffnen). Diese Aktion importiert die Farbregeln aus der Datei in Wireshark.

5. Nach Abschluss des Imports scrollen Sie mit dem Mausrad im Dialogfeld für die Farbregeln nach unten. Sie sollten jetzt die neu importierte Farbregel am unteren Ende der Liste sehen. Dies zeigt an, dass der Import erfolgreich war, und Sie können diese Regeln nun verwenden, um Ihren Netzwerkverkehr in Wireshark farbkodiert anzuzeigen.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie in Wireshark Farbregeln erstellen, modifizieren, importieren und exportieren können. Mit diesen Regeln können Sie verschiedene Arten von Netzwerkverkehr visuell anhand spezifischer Kriterien unterscheiden, was die Identifizierung und Analyse von Netzwerkaktivitäten vereinfacht. Diese Fähigkeit ist in Cybersicherheitsuntersuchungen, bei der Netzwerkfehlersuche und bei der Protokollanalyse sehr nützlich.

Durch praktische Übungen haben Sie praktische Erfahrungen in der Verwaltung des Regelsatzes gesammelt. Das Beherrschen dieser Techniken kann Ihren Netzwerkanalyseworkflow verbessern und Ihre Fähigkeit, interessante Muster im Netzwerkverkehr schnell zu erkennen und zu priorisieren, steigern.