Erstellen und Anwenden von Einfärberegeln in Wireshark

Einführung

In diesem Lab lernen Sie, wie Sie in Wireshark, einem leistungsstarken Netzwerkprotokoll-Analysator, Einfärberegeln erstellen und anwenden. Diese Regeln ermöglichen es Ihnen, verschiedene Arten von Netzwerkverkehr anhand spezifischer Kriterien visuell zu unterscheiden, was die Identifizierung und Analyse der für Sie relevanten Netzwerkaktivitäten erheblich erleichtert.

Am Ende dieses Labs werden Sie ein besseres Verständnis für die Nutzung der Einfärbefunktionen von Wireshark haben. Dies wird Ihre Fähigkeiten in der Netzwerkanalyse verbessern und Sie bei Ihren Cybersicherheitsuntersuchungen unterstützen.

Einfärberegeln erkunden und exportieren

In diesem Schritt beginnen wir damit, die bestehenden Einfärberegeln in Wireshark zu erkunden. Einfärberegeln werden in Wireshark verwendet, um verschiedene Arten von Netzwerkpaketen basierend auf bestimmten Kriterien hervorzuheben. Dies hilft dabei, wichtige Informationen im erfassten Netzwerkverkehr schnell zu identifizieren und zu analysieren. Sie lernen außerdem, wie Sie diese Regeln einsehen und für die zukünftige Verwendung exportieren können.

1. Zuerst müssen Sie Wireshark auf Ihrem Linux-System öffnen. Öffnen Sie dazu das Terminal und führen Sie den folgenden Befehl aus. Dieser Befehl startet die Wireshark-Anwendung, mit der Sie die Einfärberegeln bearbeiten werden.

   wireshark
   

2. Sobald Wireshark geöffnet ist, müssen Sie auf die Einfärberegeln zugreifen. Gehen Sie im Menü oben im Wireshark-Fenster auf View und wählen Sie dann Coloring Rules.... Dadurch öffnet sich das Dialogfenster Wireshark Coloring Rules Default. In diesem Dialog können Sie alle Einfärberegeln in Wireshark verwalten.

   

3. Im Dialog Wireshark Coloring Rules Default sehen Sie eine Liste der vorhandenen Einfärberegeln. Jede Regel hat eine spezifische Bedingung und eine entsprechende Farbe. Diese Regeln werden in der Reihenfolge, in der sie in der Liste erscheinen, auf die erfassten Pakete angewendet. Nehmen Sie sich einen Moment Zeit, um die Regeln durchzusehen und ihre Beschreibungen zu lesen. Das Verständnis dieser Regeln gibt Ihnen eine Vorstellung davon, wie Wireshark Sie bei der effektiveren Analyse des Netzwerkverkehrs unterstützen kann.

   

4. Möglicherweise möchten Sie eine bestimmte Regel vorübergehend deaktivieren oder aktivieren, ohne sie zu löschen. Dies können Sie tun, indem Sie die Regel in der Liste auswählen und das checkbox daneben anklicken. Wenn das Kontrollkästchen aktiviert ist, ist die Regel aktiv; ist es deaktiviert, ist die Regel inaktiv. Dies ist nützlich, wenn Sie die Auswirkungen einer bestimmten Regel auf die Paketeinfärbung testen möchten.

5. Angenommen, Sie möchten den aktuellen Satz an Einfärberegeln für die spätere Verwendung speichern oder mit anderen teilen. Um diese Regeln zu exportieren, klicken Sie im Dialog Wireshark Coloring Rules Default auf die Schaltfläche Export....

6. Nach dem Klicken auf Export... erscheint ein Dateidialog. Sie müssen einen Speicherort für die Datei mit den Einfärberegeln wählen. Navigieren Sie zum Verzeichnis /home/labex/project. Es ist bewährte Praxis, der Datei einen aussagekräftigen Namen zu geben, wie z. B. colorizing_rules.txt, damit Sie sie später leicht wiederfinden können.

   

   

7. Sobald Sie den Speicherort ausgewählt und die Datei benannt haben, klicken Sie auf OK, um den Dialog Wireshark Coloring Rules Default zu schließen. Sie haben nun die Einfärberegeln erfolgreich exportiert.

Eine neue Einfärberegel erstellen

In diesem Schritt lernen wir, wie man eine neue Einfärberegel in Wireshark erstellt. Einfärberegeln sind eine leistungsstarke Funktion, mit der Sie spezifischen Netzwerkverkehr hervorheben können, was das Auffinden und Analysieren wichtiger Pakete erleichtert. Durch das Erstellen einer benutzerdefinierten Regel können Sie die Arten von Netzwerkverkehr, die für Sie am wichtigsten sind, schnell identifizieren.

1. Öffnen Sie zunächst den Dialog Wireshark Coloring Rules Default. Gehen Sie in Wireshark auf View > Coloring Rules.... In diesem Dialog können Sie alle Ihre Einfärberegeln verwalten, einschließlich Erstellen, Bearbeiten und Löschen.

2. Um eine neue Einfärberegel zu erstellen, klicken Sie auf die Schaltfläche +. Diese Aktion fügt der Liste der vorhandenen Regeln einen leeren Regeleintrag hinzu.

   

3. Sobald Sie eine neue Regel hinzugefügt haben, erscheint oben im Dialogfeld „Coloring Rules“ ein neuer Eintrag namens New coloring rule. Doppelklicken Sie auf diesen Eintrag, um den Regelnamen zu bearbeiten. Wenn Sie beispielsweise HTTP-Verkehr hervorheben möchten, können Sie die Regel HTTP Traffic nennen. Im Feld Filter müssen Sie einen Filterausdruck eingeben. Dieser Ausdruck teilt Wireshark mit, welche Pakete durch diese Regel hervorgehoben werden sollen. Für HTTP-Verkehr würden Sie http eingeben.

   

4. Lassen Sie uns nun über die Einfärbeoptionen sprechen. Hier gibt es zwei wichtige Schaltflächen: die Schaltflächen foreground und background.

   Die Schaltfläche foreground wird verwendet, um die Farbe auszuwählen, die für den Text der Pakete verwendet wird, die der Regel entsprechen. Wenn Sie beispielsweise möchten, dass der Text der HTTP-Pakete rot ist, können Sie mit dieser Schaltfläche Rot auswählen.

   

   Die Schaltfläche background ermöglicht es Ihnen, die Hintergrundfarbe für die hervorgehobenen Pakete auszuwählen. Sie können dies verwenden, um die Pakete noch stärker hervorzuheben. Sie könnten beispielsweise die Hintergrundfarbe auf Gelb setzen.

   

5. Optional können Sie die Priorität der Regel anpassen. Regeln in Wireshark werden basierend auf ihrer Reihenfolge in der Liste angewendet. Regeln mit höherer Priorität haben Vorrang vor Regeln mit niedrigerer Priorität. Um die Priorität zu ändern, ziehen Sie die Regel einfach in der Liste nach oben oder unten.

6. Nachdem Sie die Regel eingerichtet haben, müssen Sie sie aktivieren. Klicken Sie auf das checkbox neben der Regel, um die neu erstellte Einfärberegel zu aktivieren. Klicken Sie dann auf OK, um die neue Einfärberegel zu speichern. Dadurch wird die Regel auf Ihre Paketerfassungen angewendet.

   

7. Wenn Sie eine Erfassungsdatei öffnen oder eine Live-Erfassung in Wireshark starten, sollten Sie nun die Netzwerkpakete, die dem Filterausdruck entsprechen, mit den von Ihnen für die Regel ausgewählten Farben sehen. Dies macht es viel einfacher, den spezifischen Verkehr zu identifizieren und zu analysieren, an dem Sie interessiert sind.

PS: Wenn Sie etwas HTTP-Verkehr erzeugen möchten, um Ihre Regel zu testen, können Sie den Browser starten. Klicken Sie auf Run Program... über die Schaltfläche Applications in der unteren linken Ecke und geben Sie Firefox ein.

Eine bestehende Einfärberegel ändern

In diesem Schritt lernen Sie, wie Sie eine bestehende Einfärberegel in Wireshark ändern. Einfärberegeln in Wireshark werden verwendet, um Netzwerkpakete basierend auf spezifischen Kriterien hervorzuheben, was Ihnen hilft, verschiedene Arten von Verkehr schnell zu identifizieren und zu analysieren. Durch das Ändern dieser Regeln können Sie die Anzeige der Pakete anpassen und sich so leichter auf die Informationen konzentrieren, die Sie für die Cybersicherheitsanalyse benötigen.

1. Öffnen Sie zuerst Wireshark. Gehen Sie in Wireshark auf das Menü View oben im Fenster. Wählen Sie dann Coloring Rules... aus dem Dropdown-Menü. Diese Aktion öffnet den Dialog Wireshark Coloring Rules Default. In diesem Dialog können Sie alle Einfärberegeln in Wireshark verwalten.

2. Im Dialog Wireshark Coloring Rules Default sehen Sie eine Liste der vorhandenen Einfärberegeln. Jede Regel hat einen Namen, einen Filterausdruck und eine zugehörige Farbe. Wählen Sie die Einfärberegel aus, die Sie ändern möchten. Sie können auf die Regel klicken, um sie zu markieren.

3. Sobald Sie die Regel ausgewählt haben, die Sie ändern möchten, gibt es zwei Hauptmöglichkeiten, Änderungen vorzunehmen. Sie können auf die Regel doppelklicken. Wenn Sie dies tun, öffnet sich ein neues Fenster, in dem Sie den Namen der Regel, den Filterausdruck, der bestimmt, auf welche Pakete die Regel angewendet wird, und die Farbe zur Hervorhebung der passenden Pakete ändern können. Zusätzlich können Sie die Priorität der Regel ändern. Die Priorität bestimmt, welche Regel Vorrang hat, wenn mehrere Regeln auf ein einzelnes Paket zutreffen. Sie können die Priorität ändern, indem Sie die Regel in der Liste nach oben oder unten ziehen. Regeln, die weiter oben in der Liste stehen, haben eine höhere Priorität.

4. Lassen Sie uns nun einige spezifische Änderungen an der Regel vornehmen. Sie müssen den Namen der Regel und den Filterausdruck wie gewünscht anpassen. Ändern Sie beispielsweise den Namen der Regel von HTTP Traffic in Web Traffic. Dieser neue Name spiegelt die Art des Verkehrs, an dem wir interessiert sind, genauer wider. Ändern Sie außerdem den Filterausdruck von http in http and tcp.port == 80. Der ursprüngliche Filter http würde den gesamten HTTP-Verkehr hervorheben, aber durch das Hinzufügen von tcp.port == 80 suchen wir gezielt nach HTTP-Verkehr auf Port 80, dem Standardport für unverschlüsselten Webverkehr.

   Regelname: HTTP Traffic -> Web Traffic Filterausdruck: http -> http and tcp.port == 80

   

5. Nachdem Sie alle gewünschten Änderungen an der Regel vorgenommen haben, klicken Sie im Dialog auf die Schaltfläche OK. Dadurch wird die geänderte Regel gespeichert und Wireshark beginnt, die neuen Einstellungen für die Hervorhebung von Paketen zu verwenden.

6. Um die Auswirkungen der geänderten Regel zu sehen, können Sie entweder eine vorhandene Erfassungsdatei in Wireshark öffnen oder eine Live-Erfassung starten. Sobald die Pakete angezeigt werden, sollten Sie nun die Netzwerkpakete, die der geänderten Regel entsprechen, in der aktualisierten Farbe oder gemäß dem neuen Filterausdruck sehen. Auf diese Weise können Sie den spezifischen Webverkehr auf Port 80, der Sie interessiert, leicht erkennen.

Einfärberegeln importieren

In diesem Schritt lernen wir, wie man Einfärberegeln in Wireshark importiert. Einfärberegeln in Wireshark sind eine leistungsstarke Funktion, die Ihnen helfen kann, verschiedene Arten von Netzwerkverkehr schnell zu identifizieren, indem ihnen unterschiedliche Farben zugewiesen werden. Dies erleichtert die Analyse und das Verständnis der Daten, die Sie erfassen.

1. Öffnen Sie zuerst Wireshark. Sobald es geöffnet ist, müssen Sie auf die Einstellungen für die Einfärberegeln zugreifen. Gehen Sie dazu auf das Menü View oben im Wireshark-Fenster. Wählen Sie aus dem Dropdown-Menü Coloring Rules.... Dies öffnet den Dialog Wireshark Coloring Rules Default. In diesem Dialog können Sie alle Ihre Einfärberegeln in Wireshark verwalten.

2. Jetzt, da der Dialog Wireshark Coloring Rules Default geöffnet ist, sehen Sie mehrere Schaltflächen. Um Einfärberegeln zu importieren, suchen Sie nach der Schaltfläche Import... und klicken Sie darauf. Mit dieser Schaltfläche können Sie vordefinierte Einfärberegeln aus einer externen Datei laden.

   

3. Nach dem Klicken auf die Schaltfläche Import... erscheint ein neuer Dialog namens Wireshark Import Coloring Rules. In diesem Dialog müssen Sie die Datei finden, die die Einfärberegeln enthält, die Sie importieren möchten. Navigieren Sie zum Verzeichnis /home/labex/project. Dies ist der Ort, an dem die Datei colorizing_rules.txt, die Sie zuvor exportiert haben, gespeichert ist. Sobald Sie sich im richtigen Verzeichnis befinden, wählen Sie die Datei colorizing_rules.txt aus.

   

4. Sobald Sie die Datei colorizing_rules.txt ausgewählt haben, klicken Sie auf die Schaltfläche Open. Dies lädt die Einfärberegeln in den Dialog Wireshark Coloring Rules Default.

5. Bevor Sie den Dialog schließen, klicken Sie auf die Schaltfläche OK unten im Hauptfenster Wireshark Coloring Rules Default. Diese abschließende Bestätigung speichert die importierten Regeln in der Konfigurationsdatei von Wireshark, sodass die importierte ARP-Regel zur Überprüfung verfügbar bleibt.

6. Nachdem Sie auf OK geklickt haben, öffnen Sie View > Coloring Rules... erneut, wenn Sie den Import bestätigen möchten. Scrollen Sie zum Ende der Liste; dort sollten Sie die neu importierte Einfärberegel sehen. Dies zeigt an, dass der Import erfolgreich gespeichert wurde und Sie diese Regeln nun verwenden können, um Ihren Netzwerkverkehr in Wireshark farblich zu kennzeichnen.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie man Einfärberegeln in Wireshark erstellt, ändert, importiert und exportiert. Durch die Verwendung dieser Regeln können Sie verschiedene Arten von Netzwerkverkehr anhand spezifischer Kriterien visuell unterscheiden, was die Identifizierung und Analyse von Netzwerkaktivitäten vereinfacht. Diese Fähigkeit ist bei Cybersicherheitsuntersuchungen, der Fehlerbehebung in Netzwerken und der Protokollanalyse äußerst nützlich.

Durch praktische Übungen haben Sie praktische Erfahrung im Umgang mit dem Regelsatz gesammelt. Die Beherrschung dieser Techniken kann Ihren Netzwerkanalyse-Workflow verbessern und Ihre Fähigkeit stärken, interessante Muster im Netzwerkverkehr schnell zu erkennen und zu priorisieren.