LabEx
LoginBeitreten

Wireshark-Oberfläche erkunden und anpassen

WiresharkBeginner
Jetzt üben

Einführung

In diesem Lab lernen Sie die Wireshark-Oberfläche und ihre Komponenten kennen, die für die Analyse und Fehlerbehebung von Netzwerkverkehr von entscheidender Bedeutung sind. Sie werden die verschiedenen Teile der Wireshark GUI (Graphical User Interface, grafische Benutzeroberfläche) erkunden, ihre Funktionen verstehen und praktische Erfahrungen bei der Anpassung der Oberfläche sammeln.

Am Ende dieses Labs sind Sie mit dem grundlegenden Layout von Wireshark vertraut und gut darauf vorbereitet, mit der Analyse des Netzwerkverkehrs zu beginnen.

Wireshark starten

In diesem Schritt werden wir Wireshark starten und Sie mit der anfänglichen Benutzeroberfläche vertraut machen. Wireshark ist ein sehr nützliches Werkzeug im Bereich der Netzwerkanalyse. Es ist ein leistungsstarker Netzwerkprotokollanalysator (network protocol analyzer), was bedeutet, dass er den Datenverkehr, der durch Ihr Netzwerk fließt, erfassen und untersuchen kann. Dies ist entscheidend, um zu verstehen, wie verschiedene Geräte in Ihrem Netzwerk kommunizieren, potenzielle Sicherheitsbedrohungen zu erkennen und Netzwerkprobleme zu beheben.

Wireshark über das Terminal starten

Zuerst lernen wir, wie man Wireshark über das Terminal startet. Das Terminal ist eine textbasierte Schnittstelle, über die Sie mit Ihrem Computer interagieren können, indem Sie Befehle eingeben.

  1. Stellen Sie sicher, dass Sie sich in der Desktop-Umgebung Ihrer LabEx VM (Virtual Machine, virtuelle Maschine) befinden. Die Virtual Machine (VM) ist wie ein separater Computer, der in Ihrem eigentlichen Computer läuft, und die Desktop-Umgebung ist die grafische Oberfläche, auf der Sie Symbole und Fenster sehen können.
  2. Öffnen Sie ein Terminal. Sie können dies auf zwei Arten tun. Sie können auf das Terminal-Symbol in der Taskleiste klicken, die sich normalerweise am unteren oder oberen Rand Ihres Bildschirms befindet. Oder Sie verwenden eine Tastenkombination: Drücken Sie gleichzeitig Ctrl+Alt+T.
  3. Sobald das Terminal geöffnet ist, müssen Sie einen Befehl eingeben, um Wireshark zu starten. Geben Sie im Terminal den folgenden Befehl ein und drücken Sie dann die Eingabetaste:
wireshark

Dieser Befehl weist den Computer an, das Wireshark-Programm zu starten.

  1. Nachdem Sie die Eingabetaste gedrückt haben, müssen Sie einige Sekunden warten, bis Wireshark gestartet ist. Sobald es bereit ist, sollte das Hauptfenster von Wireshark auf Ihrem Bildschirm erscheinen, wie unten dargestellt:
Wireshark Main Window

Die anfängliche Anzeige verstehen

Wenn Wireshark zum ersten Mal geöffnet wird, gibt es mehrere wichtige Elemente auf dem Bildschirm, die Sie kennen sollten.

  • Es gibt einen Willkommensbildschirm, der einige grundlegende Informationen über Wireshark enthält. Dieser kann Ihnen einen Überblick darüber geben, was das Tool leisten kann.
  • Sie sehen eine Liste der verfügbaren Netzwerkschnittstellen (network interfaces). Netzwerkschnittstellen sind wie Türen, durch die sich Ihr Computer mit einem Netzwerk verbindet. Sie können eine dieser Schnittstellen auswählen, um den Datenverkehr zu erfassen, der in Ihren Computer ein- und ausgeht.
  • Möglicherweise gibt es eine Liste der zuletzt verwendeten Capture-Dateien. Wenn Sie Wireshark bereits verwendet und einige Capture-Dateien gespeichert haben, können Sie diese hier öffnen, um den zuvor erfassten Netzwerkverkehr zu überprüfen.
  • Es gibt auch Eingabefelder für Anzeigefilter (display filter) und Erfassungsfilter (capture filter). Filter werden verwendet, um sich auf bestimmte Arten von Netzwerkverkehr zu konzentrieren. Sie können beispielsweise einen Filter verwenden, um nur den Datenverkehr von einer bestimmten IP-Adresse anzuzeigen.

Nehmen Sie sich einen Moment Zeit, um sich diese anfängliche Anzeige anzusehen. Dies ist der Ausgangspunkt, an dem Sie normalerweise eine Netzwerkschnittstelle auswählen, um mit der Erfassung des Datenverkehrs zu beginnen, oder eine zuvor gespeicherte Capture-Datei öffnen.

Die Hauptbereiche der Benutzeroberfläche identifizieren

Schon bevor Sie mit der Erfassung des Netzwerkverkehrs beginnen, können Sie die Hauptbereiche der Wireshark-Oberfläche identifizieren. Diese Bereiche sind wichtig, da sie verschiedene Funktionen und Steuerelemente für die effektive Nutzung von Wireshark bieten.

  • Ganz oben im Fenster befindet sich die Menüleiste (Menu Bar). Sie enthält Optionen wie Datei (File), Bearbeiten (Edit), Ansicht (View) usw. Sie können diese Optionen verwenden, um verschiedene Aktionen auszuführen, z. B. eine Capture-Datei speichern, die Anzeigeeinstellungen ändern oder Voreinstellungen bearbeiten.
  • Unterhalb der Menüleiste befindet sich die Symbolleiste (Toolbar). Sie enthält Schaltflächen für häufige Aktionen. Zum Beispiel gibt es möglicherweise eine Schaltfläche zum Starten oder Stoppen einer Erfassung oder zum schnellen Speichern einer Datei.
  • Die Filterleiste (Filter Bar) ist der Ort, an dem Sie Anzeigefilter eingeben können. Wie bereits erwähnt, helfen Filter Ihnen, sich auf bestimmte Arten von Datenverkehr zu konzentrieren. Sie können hier einen Filterausdruck eingeben, um nur den Datenverkehr anzuzeigen, der Ihren Kriterien entspricht.
  • Der Hauptinhaltsbereich zeigt derzeit den Willkommensbildschirm an. Später, wenn Sie eine Erfassung starten, zeigt dieser Bereich den erfassten Netzwerkverkehr an.
Wireshark Main Window

Im nächsten Schritt werden wir diese Komponenten genauer untersuchen.

Die Wireshark-Oberfläche erkunden

In diesem Schritt werden wir uns die verschiedenen Teile der Wireshark-Oberfläche genauer ansehen. Wireshark ist ein leistungsstarkes Werkzeug für die Netzwerkanalyse, und das Verständnis seiner Komponenten ist unerlässlich, um Netzwerkdaten effektiv zu untersuchen. Indem Sie sich mit diesen Elementen vertraut machen, sind Sie besser gerüstet, um den Netzwerkverkehr zu analysieren und Probleme zu beheben.

Eine Beispielerfassung starten

Um die Erkundung der Wireshark-Oberfläche zu erleichtern, beginnen wir mit der Erfassung von Beispiel-Netzwerkverkehr. So geht's:

  1. Öffnen Sie das Wireshark-Hauptfenster. In diesem Fenster sehen Sie eine Liste der Netzwerkschnittstellen (network interfaces). Diese Schnittstellen sind wie Türen, durch die sich Ihr Computer mit verschiedenen Netzwerken verbindet. Zum Beispiel könnte eth0 Ihre Ethernet-Netzwerkverbindung sein und lo die Loopback-Schnittstelle. Die Loopback-Schnittstelle ist eine spezielle Netzwerkschnittstelle, die es einem Computer ermöglicht, mit sich selbst zu kommunizieren.
loopback interface

  1. Suchen Sie die Schnittstelle mit dem Namen lo in der Liste und klicken Sie darauf. Wenn Sie auf lo klicken, beginnt Wireshark, den gesamten Netzwerkverkehr zu erfassen, der über Ihre lokale Loopback-Schnittstelle läuft. Dies ist ein guter Anfang, da es sich um eine einfache und kontrollierte Umgebung handelt.

  2. Sehen Sie sich nach einigen Sekunden die Wireshark-Symbolleiste an. Sie sehen ein rotes Quadrat-Symbol, die Stopp-Taste. Klicken Sie darauf, um die Verkehrserfassung zu stoppen.

Sobald Sie die Erfassung gestoppt haben, sollten Sie eine Liste der erfassten Pakete im Wireshark-Fenster sehen. Diese Pakete helfen uns, die verschiedenen Komponenten der Wireshark-Oberfläche zu erkunden.

Hauptkomponenten der Benutzeroberfläche

Die Wireshark-Oberfläche ist in mehrere wichtige Bereiche unterteilt. Jeder Bereich hat eine bestimmte Funktion und liefert verschiedene Arten von Informationen über den erfassten Netzwerkverkehr.

1. Menüleiste

Ganz oben im Wireshark-Fenster befindet sich die Menüleiste (menu bar). Die Menüleiste enthält verschiedene Menüs mit jeweils einer Reihe verwandter Befehle. Hier ist, was jedes Menü bewirkt:

Menu Bar
  • Datei (File): Dieses Menü wird für grundlegende Dateivorgänge verwendet. Sie können es verwenden, um vorhandene Capture-Dateien zu öffnen, die aktuelle Erfassung zu speichern oder die erfassten Daten in verschiedenen Formaten zu exportieren.
  • Bearbeiten (Edit): Das Menü "Bearbeiten" enthält Befehle zum Kopieren von Daten aus den erfassten Paketen, zum Suchen nach bestimmten Informationen innerhalb der Pakete und zum Festlegen Ihrer persönlichen Einstellungen für das Verhalten von Wireshark.
  • Ansicht (View): Dieses Menü ermöglicht es Ihnen, zu steuern, wie die Pakete und Oberflächenelemente angezeigt werden. Sie können das Layout, die Schriftgröße und andere visuelle Aspekte des Wireshark-Fensters ändern.
  • Erfassung (Capture): Das Menü "Erfassung" bietet Optionen zum Starten, Stoppen und Konfigurieren des Verkehrserfassungsprozesses. Sie können Filter festlegen, auswählen, von welchen Netzwerkschnittstellen erfasst werden soll, und vieles mehr.
  • Analysieren (Analyze): Dieses Menü enthält Werkzeuge für die detaillierte Analyse der Paketdaten. Sie können diese Werkzeuge verwenden, um nach Mustern zu suchen, Anomalien zu erkennen und das Verhalten des Netzwerkverkehrs zu verstehen.
  • Statistik (Statistics): Das Menü "Statistik" bietet verschiedene statistische Werkzeuge. Diese Werkzeuge können Ihnen helfen, die Gesamtmerkmale des erfassten Datenverkehrs zu verstehen, wie z. B. die Anzahl der gesendeten und empfangenen Pakete, die Verteilung der Protokolle und mehr.
  • Telefonie (Telephony): Wenn Sie mit VoIP (Voice over Internet Protocol) oder anderem telefoniebezogenen Netzwerkverkehr arbeiten, enthält das Menü "Telefonie" Analysewerkzeuge, die speziell für diese Arten von Protokollen entwickelt wurden.
  • Wireless: Für die Analyse von drahtlosen Netzwerken bietet das Menü "Wireless" Werkzeuge, die auf die besonderen Eigenschaften von drahtlosen Netzwerken zugeschnitten sind, wie z. B. Signalstärke, Kanalnutzung und mehr.
  • Hilfe (Help): Das Menü "Hilfe" enthält Dokumentation und Hilferessourcen. Wenn Sie nicht weiterkommen oder weitere Informationen zur Verwendung einer bestimmten Funktion in Wireshark benötigen, finden Sie hier Antworten.

2. Symbolleiste

Die Symbolleiste (toolbar) befindet sich direkt unter der Menüleiste. Sie bietet schnellen Zugriff auf einige der am häufigsten verwendeten Funktionen in Wireshark.

Wenn Sie die Maus über die Symbolleiste bewegen, sehen Sie einen Tooltip mit dem Namen der Schaltfläche.

Toolbar

Hier ist, was jede Gruppe von Schaltflächen in der Symbolleiste bewirkt:

  • Erfassung starten/stoppen (Start/Stop Capture): Mit diesen Schaltflächen können Sie den Verkehrserfassungsprozess einfach starten und stoppen, ohne das Menü "Erfassung" aufrufen zu müssen.
  • Öffnen/Speichern (Open/Save): Die Schaltflächen "Öffnen" und "Speichern" sind Verknüpfungen für die Dateivorgänge im Menü "Datei". Sie können sie verwenden, um schnell eine vorhandene Capture-Datei zu öffnen oder die aktuelle Erfassung zu speichern.
  • Zoom (+/-): Mit den Zoom-Werkzeugen können Sie in die Paketansicht hinein- und herauszoomen. Dies ist nützlich, wenn Sie sich ein bestimmtes Paket genauer ansehen oder mehr Pakete auf einmal sehen möchten.
  • Gehe zu (Go To): Die Schaltflächen "Gehe zu" werden zur Navigation verwendet. Sie können sie verwenden, um schnell zwischen verschiedenen Paketen in der erfassten Liste zu wechseln.
  • Colorize: Mit den Colorize-Steuerelementen können Sie die Farbgebung der Pakete in der Paketliste ändern. Die Farbgebung kann Ihnen helfen, verschiedene Arten von Paketen anhand ihrer Eigenschaften schnell zu identifizieren.

3. Paketlistenbereich

Der Paketlistenbereich (Packet List Pane) ist einer der wichtigsten Teile der Wireshark-Oberfläche. Er zeigt eine Liste aller erfassten Pakete zusammen mit einigen wichtigen zusammenfassenden Informationen zu jedem Paket an. Hier ist, was jede Spalte im Paketlistenbereich bedeutet:

Packet List Pane
  • Nr. (No.): Dies ist die Paketnummer in der Erfassung. Es ist eine fortlaufende Nummer, die Ihnen hilft, die Reihenfolge zu verfolgen, in der die Pakete erfasst wurden.
  • Zeit (Time): Die Spalte "Zeit" zeigt den Zeitstempel an, wann das Paket erfasst wurde. Dies kann nützlich sein, um den Zeitpunkt von Netzwerkereignissen zu verstehen.
  • Quelle (Source): Die Spalte "Quelle" zeigt die IP-Adresse des Geräts an, das das Paket gesendet hat. Dies hilft Ihnen, zu identifizieren, woher der Netzwerkverkehr kommt.
  • Ziel (Destination): Die Spalte "Ziel" zeigt die IP-Adresse des Geräts an, für das das Paket bestimmt ist. Sie sagt Ihnen, wohin der Netzwerkverkehr geht.
  • Protokoll (Protocol): Die Spalte "Protokoll" gibt das höchste Layer-Protokoll an, das im Paket erkannt wurde. Zum Beispiel könnte es TCP (Transmission Control Protocol), UDP (User Datagram Protocol) oder HTTP (Hypertext Transfer Protocol) sein.
  • Länge (Length): Die Spalte "Länge" zeigt die Länge des Pakets in Bytes an. Dies kann Ihnen eine Vorstellung von der Größe der übertragenen Daten geben.
  • Info: Die Spalte "Info" bietet eine Zusammenfassung des Paketinhalts. Sie gibt Ihnen einen schnellen Überblick darüber, was das Paket tut, z. B. eine Anfrage für eine Webseite oder eine Antwort von einem Server.

Um detailliertere Informationen zu einem bestimmten Paket anzuzeigen, klicken Sie im Paketlistenbereich darauf. Wenn Sie dies tun, werden die anderen Bereiche in der Wireshark-Oberfläche aktualisiert, um Details zu dem ausgewählten Paket anzuzeigen.

4. Paketdetailbereich

Der Paketdetailbereich (Packet Details Pane) zeigt detaillierte Informationen über das ausgewählte Paket in einem hierarchischen Format an. Wenn Sie im Paketlistenbereich auf ein Paket klicken, zeigt dieser Bereich alle Informationen über dieses Paket an, aufgeschlüsselt nach Protokollschichten.

Packet Details Pane
  • Das Paket ist in verschiedene Protokollschichten unterteilt, wie z. B. die Frame-Schicht, die Ethernet-Schicht, die IP-Schicht, die TCP-Schicht usw. Jede Schicht stellt einen anderen Teil des Netzwerkkommunikationsprozesses dar.
  • Neben jeder Schicht befindet sich ein Pfeil. Sie können auf diesen Pfeil klicken, um die Schicht zu erweitern oder zusammenzuklappen. Wenn Sie eine Schicht erweitern, sehen Sie alle Felder und Werte innerhalb dieser Schicht, die spezifische Informationen über das Paket liefern.

Versuchen Sie, auf die Pfeile neben verschiedenen Protokollschichten zu klicken, um zu sehen, wie Sie in die spezifischen Details eines Pakets eintauchen können. Dies ist eine gute Möglichkeit, zu verstehen, wie Netzwerkprotokolle funktionieren und wie Daten über das Netzwerk übertragen werden.

5. Paket-Bytes-Bereich

Der Paket-Bytes-Bereich (Packet Bytes Pane) zeigt die Roh-Bytes des ausgewählten Pakets sowohl im Hexadezimal- als auch im ASCII-Format an. Dieser Bereich bietet Ihnen eine Low-Level-Ansicht der Paketdaten.

Packet Bytes Pane
  • Die linke Spalte im Paket-Bytes-Bereich zeigt den Offset an, d. h. die Position jedes Bytes im Paket.
  • Die mittleren Spalten zeigen die hexadezimalen Werte der Bytes an. Hexadezimal ist ein Zahlensystem, das in der Informatik häufig verwendet wird, um binäre Daten in einer für Menschen besser lesbaren Form darzustellen.
  • Die rechte Spalte zeigt die ASCII-Darstellung der Bytes an. ASCII ist ein Zeichenkodierungsstandard, der binäre Daten Zeichen zuordnet.

Wenn Sie ein bestimmtes Feld im Paketdetailbereich auswählen, werden die entsprechenden Bytes im Paket-Bytes-Bereich hervorgehoben. Dies hilft Ihnen, die Beziehung zwischen den High-Level-Protokollinformationen im Paketdetailbereich und den rohen Binärdaten im Paket-Bytes-Bereich zu erkennen.

Größe der Bereiche ändern

Sie können die Größe jedes Bereichs in der Wireshark-Oberfläche anpassen, um sich auf die Informationen zu konzentrieren, die für Ihre Analyse am wichtigsten sind. So geht's:

  1. Bewegen Sie den Cursor auf die Trennlinie zwischen zwei Bereichen. Wenn Sie dies tun, ändert sich der Cursor in einen Größenänderungscursor, der wie ein Doppelpfeil aussieht. Dies zeigt an, dass Sie die Größe der Bereiche jetzt ändern können.

  2. Klicken und halten Sie die Maustaste gedrückt und ziehen Sie dann die Trennlinie, um die Größe der Bereiche nach Ihren Wünschen zu ändern. Sie können einen Bereich größer und den anderen kleiner machen.

  3. Wenn Sie beispielsweise mehr Pakete auf einmal sehen möchten, können Sie den Paketlistenbereich vergrößern. Wenn Sie detailliertere Informationen über ein Paket sehen möchten, ohne scrollen zu müssen, können Sie den Paketdetailbereich vergrößern.

  4. Sie können auch auf eine Trennlinie doppelklicken. Wenn Sie dies tun, ändert Wireshark die Größe der Bereiche automatisch auf eine Standard- oder optimale Größe.

Die Möglichkeit, die Größe der Bereiche zu ändern, ist sehr nützlich, insbesondere wenn Sie komplexe Netzwerkerfassungen mit einer großen Anzahl von Paketen oder detaillierten Protokollinformationen analysieren. Sie ermöglicht es Ihnen, die Wireshark-Oberfläche an Ihre spezifischen Analysebedürfnisse anzupassen.

Die Wireshark-Oberfläche anpassen

In diesem Schritt werden wir untersuchen, wie die Wireshark-Oberfläche angepasst werden kann. Die Anpassung der Oberfläche ist entscheidend, da sie es Ihnen ermöglicht, Wireshark an Ihre persönlichen Vorlieben anzupassen und Ihre Netzwerkanalyseaufgaben effizienter zu gestalten. Wireshark bietet eine breite Palette von Anpassungsoptionen, die Ihren Workflow erheblich verbessern können.

Anpassen des Layouts

Wireshark bietet verschiedene Layout-Optionen, die bestimmen, wie die Hauptfenster angeordnet sind. Diese Fenster sind unerlässlich, da sie verschiedene Aspekte der erfassten Netzwerkdaten anzeigen.

  1. Suchen Sie zuerst die Menüleiste am oberen Rand des Wireshark-Fensters. Klicken Sie auf Edit und wählen Sie dann im Dropdown-Menü Preferences aus. Dadurch wird das Fenster "Preferences" geöffnet, in dem Sie verschiedene Konfigurationsänderungen vornehmen können.
  2. Suchen Sie im Fenster "Preferences" die linke Seitenleiste. Navigieren Sie zu Appearance und klicken Sie dann auf Layout. Hier finden Sie die Einstellungen für das Layout der Benutzeroberfläche.
  3. Sie haben mehrere Layout-Optionen zur Auswahl:
    • Packet List, Packet Details und Packet Bytes in einer Spalte (Standard): Dies ist das Standardlayout, bei dem alle wichtigen Informationen in einer Spalte gestapelt sind.
    • Packet List oben, Packet Details und Packet Bytes unten in einer Spalte: In diesem Layout befindet sich die Paketliste oben, und die beiden anderen Fenster sind darunter in einer einzigen Spalte angeordnet.
    • Packet List oben, Packet Details und Packet Bytes nebeneinander unten: Hier befindet sich die Paketliste oben, und die Fenster "Packet Details" und "Packet Bytes" sind darunter nebeneinander angeordnet.
    • Benutzerdefiniertes Layout: Diese Option ermöglicht es Ihnen, die Fenster nach Ihren spezifischen Bedürfnissen in einem Raster anzuordnen.
  4. Versuchen Sie, ein anderes Layout auszuwählen, z. B. "Packet List on top, Packet Details and Packet Bytes side by side below". Dies kann Ihnen je nach Ihren Analyseanforderungen eine bessere Sicht auf die Daten ermöglichen.
  5. Nachdem Sie das Layout ausgewählt haben, klicken Sie auf OK, um die Änderungen zu übernehmen.
  6. Beobachten Sie, wie sich das Layout der Benutzeroberfläche ändert. Unterschiedliche Layouts können für verschiedene Analyseaufgaben oder Bildschirmgrößen besser geeignet sein. Wenn Sie beispielsweise einen großen Bildschirm haben, ist das Nebeneinander-Layout für eine detaillierte Analyse möglicherweise praktischer.
Wireshark layout options

Anpassen von Spalten in der Paketliste

Das Fenster "Packet List" zeigt eine Liste der erfassten Pakete an. Sie können ändern, welche Spalten in diesem Fenster angezeigt werden, um die für Ihre Analyse relevantesten Informationen anzuzeigen.

  1. Klicken Sie mit der rechten Maustaste auf eine beliebige Spaltenüberschrift im Fenster "Packet List". Ein Kontextmenü mit mehreren Optionen wird angezeigt.
  2. Wählen Sie im Kontextmenü Column Preferences aus. Dadurch wird ein Fenster geöffnet, in dem Sie die Spalten im Fenster "Packet List" verwalten können.
  3. Im geöffneten Fenster "Preferences":
    • Um eine neue Spalte hinzuzufügen: Klicken Sie auf die Schaltfläche +. Ein Dropdown-Menü wird angezeigt, in dem Sie einen Spaltentyp auswählen können. Nachdem Sie den Typ ausgewählt haben, geben Sie einen Titel für die neue Spalte ein.
    • Um eine Spalte zu entfernen: Wählen Sie die Spalte aus, die Sie entfernen möchten, aus der Liste aus und klicken Sie auf die Schaltfläche -.
    • Um Spalten neu anzuordnen: Wählen Sie eine Spalte aus und verwenden Sie die Pfeiltasten nach oben/unten, um sie in der Liste nach oben oder unten zu verschieben.
    • Um eine Spalte zu ändern: Doppelklicken Sie auf die Spalte. Dadurch können Sie ihre Eigenschaften wie den Titel oder das angezeigte Feld bearbeiten.
  4. Versuchen wir, eine neue Spalte hinzuzufügen:
    • Klicken Sie auf die Schaltfläche +.
    • Wählen Sie für "Field type" die Option "Custom". Dies gibt Ihnen die Flexibilität, ein bestimmtes Feld zur Anzeige auszuwählen.
    • Geben Sie für "Field name" "ip.src" ein. Dies zeigt die Quell-IP-Adressen der Pakete an.
    • Geben Sie für "Title" "Source IP" ein. Dies wird der Titel der neuen Spalte sein.
    • Klicken Sie auf OK, um die Einstellungen zu bestätigen.
  5. Klicken Sie im Fenster "Preferences" auf OK, um Ihre Änderungen zu übernehmen.
  6. Sie sollten nun Ihre neue Spalte im Fenster "Packet List" sehen. Diese neue Spalte hilft Ihnen, die Quell-IP-Adressen der erfassten Pakete schnell zu identifizieren.
Packet List Column Preferences

Konfigurieren von Farbregeln

Wireshark verwendet Farben, um Ihnen zu helfen, verschiedene Arten von Datenverkehr schnell zu identifizieren. Durch die Anpassung dieser Farbregeln können Sie verschiedene Pakettypen noch einfacher unterscheiden.

  1. Wählen Sie in der Menüleiste View und klicken Sie dann auf Coloring Rules. Dadurch wird das Fenster "Coloring Rules" geöffnet.
  2. Im Fenster "Coloring Rules" sehen Sie eine Liste der vorhandenen Farbregeln. Jede Regel hat drei Hauptkomponenten:
    • Ein Name: Dies ist eine Bezeichnung für die Regel, die die Identifizierung erleichtert.
    • Ein Anzeige-Filter (Display Filter): Dieser bestimmt, auf welche Pakete die Regel angewendet wird. Ein Filter kann beispielsweise so eingestellt werden, dass er nur Pakete eines bestimmten Protokolls abgleicht.
    • Vordergrund- und Hintergrundfarben: Dies sind die Farben, die verwendet werden, um die übereinstimmenden Pakete hervorzuheben.
  3. Um eine neue Farbregel hinzuzufügen:
    • Klicken Sie auf die Schaltfläche +.
    • Geben Sie einen Namen für Ihre Regel ein, z. B. "ICMP Packets". Dies hilft Ihnen, die Regel später leicht zu erkennen.
    • Geben Sie einen Anzeige-Filter ein, z. B. "icmp". Dieser Filter stellt sicher, dass die Regel nur auf ICMP-Pakete angewendet wird.
    • Klicken Sie auf die Schaltflächen für Vordergrund- und Hintergrundfarbe, um die Farben auszuwählen, die Sie zum Hervorheben dieser Pakete verwenden möchten.
    • Klicken Sie auf OK, um die neue Regel zu speichern.
  4. Um die Priorität von Regeln zu ändern, wählen Sie eine Regel aus und verwenden Sie die Pfeiltasten nach oben/unten. Regeln oben haben eine höhere Priorität als die darunter liegenden. Das bedeutet, dass, wenn ein Paket mit mehreren Regeln übereinstimmt, die Regel mit der höchsten Priorität angewendet wird.
  5. Klicken Sie auf OK, um Ihre Änderungen zu übernehmen.
  6. Beobachten Sie, wie die Pakete, die Ihrem Filter entsprechen, nun mit Ihren gewählten Farben angezeigt werden. Dies erleichtert das schnelle Erkennen bestimmter Datenverkehrstypen in den erfassten Daten erheblich.
Wireshark coloring rules setup

Speichern Ihres Profils

Nachdem Sie Wireshark nach Ihren Wünschen angepasst haben, können Sie Ihre Konfiguration als Profil speichern. Profile sind nützlich, da sie es Ihnen ermöglichen, schnell zwischen verschiedenen Oberflächenkonfigurationen zu wechseln, je nach Art der Netzwerkanalyseaufgabe, an der Sie arbeiten.

  1. Wählen Sie in der Menüleiste Edit und klicken Sie dann auf Configuration Profiles. Dadurch wird das Fenster "Configuration Profiles" geöffnet.
  2. Klicken Sie im Fenster "Configuration Profiles" auf +, um ein neues Profil zu erstellen.
  3. Geben Sie einen Namen für Ihr Profil ein, z. B. "My Custom Profile". Dieser Name hilft Ihnen, das Profil später leicht zu identifizieren. Klicken Sie dann auf OK.
  4. Ihre aktuellen Konfigurationseinstellungen werden nun in diesem Profil gespeichert. Das bedeutet, dass Wireshark immer die von Ihnen angepassten Einstellungen lädt, wenn Sie dieses Profil auswählen.
  5. Sie können zwischen verschiedenen Profilen wechseln, indem Sie zu Edit > Configuration Profiles gehen und ein Profil aus der Liste auswählen. Sie könnten beispielsweise ein Profil für allgemeines Browsing und ein anderes für detaillierte Protokollanalysen haben.

Wiederherstellen der Standardeinstellungen

Wenn Sie nach vielen Änderungen zu den Standardeinstellungen von Wireshark zurückkehren möchten, ist der richtige Weg, zum Standardkonfigurationsprofil zurückzuschalten. Dieses Profil ist integriert und bewahrt die ursprünglichen Einstellungen.

  1. Wählen Sie in der Menüleiste Edit und klicken Sie dann auf Configuration Profiles. Dadurch wird das Fenster "Configuration Profiles" geöffnet.
  2. Wählen Sie in der Liste der Profile das Profil Default aus.
  3. Klicken Sie auf OK. Dadurch werden das Layout, die Spalten und die Farben sofort in ihren Standardzustand zurückversetzt.

Eine schnellere Methode hierfür ist, mit der rechten Maustaste auf den Profilnamen in der Statusleiste unten rechts im Wireshark-Fenster zu klicken und im Kontextmenü Default auszuwählen.

Ihr benutzerdefiniertes Profil wird durch diese Aktion nicht gelöscht. Sie können jederzeit wieder zu ihm zurückwechseln.

Zusammenfassung

In diesem Lab haben Sie die Wireshark-Oberfläche und ihre Komponenten kennengelernt, die für die Netzwerkanalyse und Fehlerbehebung unerlässlich sind. Sie haben den Start von Wireshark erkundet, sich mit seinen fünf Hauptkomponenten vertraut gemacht und gelernt, wie man eine einfache Erfassung startet und Datenverkehr für die Analyse generiert.

Sie haben auch Methoden zur Navigation durch erfasste Pakete, zur Anpassung der Oberfläche und zur Erstellung von Konfigurationsprofilen (configuration profiles) erlernt. Diese Fähigkeiten legen eine solide Grundlage für die fortgeschrittene Netzwerkanalyse. Im Laufe Ihrer Fortschritte in den Bereichen Cybersicherheit und Netzwerkadministration wird Ihre Fähigkeit, Wireshark zu verwenden und anzupassen, von unschätzbarem Wert für die Fehlerbehebung, die Vorfallsanalyse (incident analysis) und das Verständnis von Netzwerkprotokollen sein.

Verwandt Wireshark Kurse
Wireshark für Anfänger

Wireshark für Anfänger

cybersecuritywireshark
Cybersicherheitsanalyse mit Wireshark und Tshark

Cybersicherheitsanalyse mit Wireshark und Tshark

cybersecuritywireshark