LabEx
AnmeldenKostenlos beitreten

Wireshark-Oberfläche erkunden und anpassen

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie die Wireshark-Oberfläche und ihre Komponenten kennen, die für die Analyse und Fehlerbehebung von Netzwerkverkehr von entscheidender Bedeutung sind. Sie werden die verschiedenen Teile der Wireshark GUI (Graphical User Interface, grafische Benutzeroberfläche) erkunden, ihre Funktionen verstehen und praktische Erfahrungen bei der Anpassung der Oberfläche sammeln.

Am Ende dieses Labs sind Sie mit dem grundlegenden Layout von Wireshark vertraut und gut darauf vorbereitet, mit der Analyse des Netzwerkverkehrs zu beginnen.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/installation -.-> lab-415949{{"Wireshark-Oberfläche erkunden und anpassen"}} wireshark/interface -.-> lab-415949{{"Wireshark-Oberfläche erkunden und anpassen"}} wireshark/packet_capture -.-> lab-415949{{"Wireshark-Oberfläche erkunden und anpassen"}} wireshark/display_filters -.-> lab-415949{{"Wireshark-Oberfläche erkunden und anpassen"}} wireshark/packet_analysis -.-> lab-415949{{"Wireshark-Oberfläche erkunden und anpassen"}} wireshark/commandline_usage -.-> lab-415949{{"Wireshark-Oberfläche erkunden und anpassen"}} end

Wireshark starten

In diesem Schritt werden wir Wireshark starten und Sie mit der anfänglichen Benutzeroberfläche vertraut machen. Wireshark ist ein sehr nützliches Werkzeug im Bereich der Netzwerkanalyse. Es ist ein leistungsstarker Netzwerkprotokollanalysator (network protocol analyzer), was bedeutet, dass er den Datenverkehr, der durch Ihr Netzwerk fließt, erfassen und untersuchen kann. Dies ist entscheidend, um zu verstehen, wie verschiedene Geräte in Ihrem Netzwerk kommunizieren, potenzielle Sicherheitsbedrohungen zu erkennen und Netzwerkprobleme zu beheben.

Wireshark über das Terminal starten

Zuerst lernen wir, wie man Wireshark über das Terminal startet. Das Terminal ist eine textbasierte Schnittstelle, über die Sie mit Ihrem Computer interagieren können, indem Sie Befehle eingeben.

  1. Stellen Sie sicher, dass Sie sich in der Desktop-Umgebung Ihrer LabEx VM (Virtual Machine, virtuelle Maschine) befinden. Die Virtual Machine (VM) ist wie ein separater Computer, der in Ihrem eigentlichen Computer läuft, und die Desktop-Umgebung ist die grafische Oberfläche, auf der Sie Symbole und Fenster sehen können.
  2. Öffnen Sie ein Terminal. Sie können dies auf zwei Arten tun. Sie können auf das Terminal-Symbol in der Taskleiste klicken, die sich normalerweise am unteren oder oberen Rand Ihres Bildschirms befindet. Oder Sie verwenden eine Tastenkombination: Drücken Sie gleichzeitig Ctrl+Alt+T.
  3. Sobald das Terminal geöffnet ist, müssen Sie einen Befehl eingeben, um Wireshark zu starten. Geben Sie im Terminal den folgenden Befehl ein und drücken Sie dann die Eingabetaste:
wireshark

Dieser Befehl weist den Computer an, das Wireshark-Programm zu starten.

  1. Nachdem Sie die Eingabetaste gedrückt haben, müssen Sie einige Sekunden warten, bis Wireshark gestartet ist. Sobald es bereit ist, sollte das Hauptfenster von Wireshark auf Ihrem Bildschirm erscheinen, wie unten dargestellt:
Wireshark Main Window

Die anfängliche Anzeige verstehen

Wenn Wireshark zum ersten Mal geöffnet wird, gibt es mehrere wichtige Elemente auf dem Bildschirm, die Sie kennen sollten.

  • Es gibt einen Willkommensbildschirm, der einige grundlegende Informationen über Wireshark enthält. Dieser kann Ihnen einen Überblick darüber geben, was das Tool leisten kann.
  • Sie sehen eine Liste der verfügbaren Netzwerkschnittstellen (network interfaces). Netzwerkschnittstellen sind wie Türen, durch die sich Ihr Computer mit einem Netzwerk verbindet. Sie können eine dieser Schnittstellen auswählen, um den Datenverkehr zu erfassen, der in Ihren Computer ein- und ausgeht.
  • Möglicherweise gibt es eine Liste der zuletzt verwendeten Capture-Dateien. Wenn Sie Wireshark bereits verwendet und einige Capture-Dateien gespeichert haben, können Sie diese hier öffnen, um den zuvor erfassten Netzwerkverkehr zu überprüfen.
  • Es gibt auch Eingabefelder für Anzeigefilter (display filter) und Erfassungsfilter (capture filter). Filter werden verwendet, um sich auf bestimmte Arten von Netzwerkverkehr zu konzentrieren. Sie können beispielsweise einen Filter verwenden, um nur den Datenverkehr von einer bestimmten IP-Adresse anzuzeigen.

Nehmen Sie sich einen Moment Zeit, um sich diese anfängliche Anzeige anzusehen. Dies ist der Ausgangspunkt, an dem Sie normalerweise eine Netzwerkschnittstelle auswählen, um mit der Erfassung des Datenverkehrs zu beginnen, oder eine zuvor gespeicherte Capture-Datei öffnen.

Die Hauptbereiche der Benutzeroberfläche identifizieren

Schon bevor Sie mit der Erfassung des Netzwerkverkehrs beginnen, können Sie die Hauptbereiche der Wireshark-Oberfläche identifizieren. Diese Bereiche sind wichtig, da sie verschiedene Funktionen und Steuerelemente für die effektive Nutzung von Wireshark bieten.

  • Ganz oben im Fenster befindet sich die Menüleiste (Menu Bar). Sie enthält Optionen wie Datei (File), Bearbeiten (Edit), Ansicht (View) usw. Sie können diese Optionen verwenden, um verschiedene Aktionen auszuführen, z. B. eine Capture-Datei speichern, die Anzeigeeinstellungen ändern oder Voreinstellungen bearbeiten.
  • Unterhalb der Menüleiste befindet sich die Symbolleiste (Toolbar). Sie enthält Schaltflächen für häufige Aktionen. Zum Beispiel gibt es möglicherweise eine Schaltfläche zum Starten oder Stoppen einer Erfassung oder zum schnellen Speichern einer Datei.
  • Die Filterleiste (Filter Bar) ist der Ort, an dem Sie Anzeigefilter eingeben können. Wie bereits erwähnt, helfen Filter Ihnen, sich auf bestimmte Arten von Datenverkehr zu konzentrieren. Sie können hier einen Filterausdruck eingeben, um nur den Datenverkehr anzuzeigen, der Ihren Kriterien entspricht.
  • Der Hauptinhaltsbereich zeigt derzeit den Willkommensbildschirm an. Später, wenn Sie eine Erfassung starten, zeigt dieser Bereich den erfassten Netzwerkverkehr an.
Wireshark Main Window

Im nächsten Schritt werden wir diese Komponenten genauer untersuchen.

Die Wireshark-Oberfläche erkunden

In diesem Schritt werden wir uns die verschiedenen Teile der Wireshark-Oberfläche genauer ansehen. Wireshark ist ein leistungsstarkes Werkzeug für die Netzwerkanalyse, und das Verständnis seiner Komponenten ist unerlässlich, um Netzwerkdaten effektiv zu untersuchen. Indem Sie sich mit diesen Elementen vertraut machen, sind Sie besser gerüstet, um den Netzwerkverkehr zu analysieren und Probleme zu beheben.

Eine Beispielerfassung starten

Um die Erkundung der Wireshark-Oberfläche zu erleichtern, beginnen wir mit der Erfassung von Beispiel-Netzwerkverkehr. So geht's:

  1. Öffnen Sie das Wireshark-Hauptfenster. In diesem Fenster sehen Sie eine Liste der Netzwerkschnittstellen (network interfaces). Diese Schnittstellen sind wie Türen, durch die sich Ihr Computer mit verschiedenen Netzwerken verbindet. Zum Beispiel könnte eth0 Ihre Ethernet-Netzwerkverbindung sein und lo die Loopback-Schnittstelle. Die Loopback-Schnittstelle ist eine spezielle Netzwerkschnittstelle, die es einem Computer ermöglicht, mit sich selbst zu kommunizieren.
loopback interface

  1. Suchen Sie die Schnittstelle mit dem Namen lo in der Liste und klicken Sie darauf. Wenn Sie auf lo klicken, beginnt Wireshark, den gesamten Netzwerkverkehr zu erfassen, der über Ihre lokale Loopback-Schnittstelle läuft. Dies ist ein guter Anfang, da es sich um eine einfache und kontrollierte Umgebung handelt.

  2. Sehen Sie sich nach einigen Sekunden die Wireshark-Symbolleiste an. Sie sehen ein rotes Quadrat-Symbol, die Stopp-Taste. Klicken Sie darauf, um die Verkehrserfassung zu stoppen.

Sobald Sie die Erfassung gestoppt haben, sollten Sie eine Liste der erfassten Pakete im Wireshark-Fenster sehen. Diese Pakete helfen uns, die verschiedenen Komponenten der Wireshark-Oberfläche zu erkunden.

Hauptkomponenten der Benutzeroberfläche

Die Wireshark-Oberfläche ist in mehrere wichtige Bereiche unterteilt. Jeder Bereich hat eine bestimmte Funktion und liefert verschiedene Arten von Informationen über den erfassten Netzwerkverkehr.

1. Menüleiste

Ganz oben im Wireshark-Fenster befindet sich die Menüleiste (menu bar). Die Menüleiste enthält verschiedene Menüs mit jeweils einer Reihe verwandter Befehle. Hier ist, was jedes Menü bewirkt:

Menu Bar
  • Datei (File): Dieses Menü wird für grundlegende Dateivorgänge verwendet. Sie können es verwenden, um vorhandene Capture-Dateien zu öffnen, die aktuelle Erfassung zu speichern oder die erfassten Daten in verschiedenen Formaten zu exportieren.
  • Bearbeiten (Edit): Das Menü "Bearbeiten" enthält Befehle zum Kopieren von Daten aus den erfassten Paketen, zum Suchen nach bestimmten Informationen innerhalb der Pakete und zum Festlegen Ihrer persönlichen Einstellungen für das Verhalten von Wireshark.
  • Ansicht (View): Dieses Menü ermöglicht es Ihnen, zu steuern, wie die Pakete und Oberflächenelemente angezeigt werden. Sie können das Layout, die Schriftgröße und andere visuelle Aspekte des Wireshark-Fensters ändern.
  • Erfassung (Capture): Das Menü "Erfassung" bietet Optionen zum Starten, Stoppen und Konfigurieren des Verkehrserfassungsprozesses. Sie können Filter festlegen, auswählen, von welchen Netzwerkschnittstellen erfasst werden soll, und vieles mehr.
  • Analysieren (Analyze): Dieses Menü enthält Werkzeuge für die detaillierte Analyse der Paketdaten. Sie können diese Werkzeuge verwenden, um nach Mustern zu suchen, Anomalien zu erkennen und das Verhalten des Netzwerkverkehrs zu verstehen.
  • Statistik (Statistics): Das Menü "Statistik" bietet verschiedene statistische Werkzeuge. Diese Werkzeuge können Ihnen helfen, die Gesamtmerkmale des erfassten Datenverkehrs zu verstehen, wie z. B. die Anzahl der gesendeten und empfangenen Pakete, die Verteilung der Protokolle und mehr.
  • Telefonie (Telephony): Wenn Sie mit VoIP (Voice over Internet Protocol) oder anderem telefoniebezogenen Netzwerkverkehr arbeiten, enthält das Menü "Telefonie" Analysewerkzeuge, die speziell für diese Arten von Protokollen entwickelt wurden.
  • Wireless: Für die Analyse von drahtlosen Netzwerken bietet das Menü "Wireless" Werkzeuge, die auf die besonderen Eigenschaften von drahtlosen Netzwerken zugeschnitten sind, wie z. B. Signalstärke, Kanalnutzung und mehr.
  • Hilfe (Help): Das Menü "Hilfe" enthält Dokumentation und Hilferessourcen. Wenn Sie nicht weiterkommen oder weitere Informationen zur Verwendung einer bestimmten Funktion in Wireshark benötigen, finden Sie hier Antworten.

2. Symbolleiste

Die Symbolleiste (toolbar) befindet sich direkt unter der Menüleiste. Sie bietet schnellen Zugriff auf einige der am häufigsten verwendeten Funktionen in Wireshark.

Wenn Sie die Maus über die Symbolleiste bewegen, sehen Sie einen Tooltip mit dem Namen der Schaltfläche.

Toolbar

Hier ist, was jede Gruppe von Schaltflächen in der Symbolleiste bewirkt:

  • Erfassung starten/stoppen (Start/Stop Capture): Mit diesen Schaltflächen können Sie den Verkehrserfassungsprozess einfach starten und stoppen, ohne das Menü "Erfassung" aufrufen zu müssen.
  • Öffnen/Speichern (Open/Save): Die Schaltflächen "Öffnen" und "Speichern" sind Verknüpfungen für die Dateivorgänge im Menü "Datei". Sie können sie verwenden, um schnell eine vorhandene Capture-Datei zu öffnen oder die aktuelle Erfassung zu speichern.
  • Zoom (+/-): Mit den Zoom-Werkzeugen können Sie in die Paketansicht hinein- und herauszoomen. Dies ist nützlich, wenn Sie sich ein bestimmtes Paket genauer ansehen oder mehr Pakete auf einmal sehen möchten.
  • Gehe zu (Go To): Die Schaltflächen "Gehe zu" werden zur Navigation verwendet. Sie können sie verwenden, um schnell zwischen verschiedenen Paketen in der erfassten Liste zu wechseln.
  • Colorize: Mit den Colorize-Steuerelementen können Sie die Farbgebung der Pakete in der Paketliste ändern. Die Farbgebung kann Ihnen helfen, verschiedene Arten von Paketen anhand ihrer Eigenschaften schnell zu identifizieren.

3. Paketlistenbereich

Der Paketlistenbereich (Packet List Pane) ist einer der wichtigsten Teile der Wireshark-Oberfläche. Er zeigt eine Liste aller erfassten Pakete zusammen mit einigen wichtigen zusammenfassenden Informationen zu jedem Paket an. Hier ist, was jede Spalte im Paketlistenbereich bedeutet:

Packet List Pane
  • Nr. (No.): Dies ist die Paketnummer in der Erfassung. Es ist eine fortlaufende Nummer, die Ihnen hilft, die Reihenfolge zu verfolgen, in der die Pakete erfasst wurden.
  • Zeit (Time): Die Spalte "Zeit" zeigt den Zeitstempel an, wann das Paket erfasst wurde. Dies kann nützlich sein, um den Zeitpunkt von Netzwerkereignissen zu verstehen.
  • Quelle (Source): Die Spalte "Quelle" zeigt die IP-Adresse des Geräts an, das das Paket gesendet hat. Dies hilft Ihnen, zu identifizieren, woher der Netzwerkverkehr kommt.
  • Ziel (Destination): Die Spalte "Ziel" zeigt die IP-Adresse des Geräts an, für das das Paket bestimmt ist. Sie sagt Ihnen, wohin der Netzwerkverkehr geht.
  • Protokoll (Protocol): Die Spalte "Protokoll" gibt das höchste Layer-Protokoll an, das im Paket erkannt wurde. Zum Beispiel könnte es TCP (Transmission Control Protocol), UDP (User Datagram Protocol) oder HTTP (Hypertext Transfer Protocol) sein.
  • Länge (Length): Die Spalte "Länge" zeigt die Länge des Pakets in Bytes an. Dies kann Ihnen eine Vorstellung von der Größe der übertragenen Daten geben.
  • Info: Die Spalte "Info" bietet eine Zusammenfassung des Paketinhalts. Sie gibt Ihnen einen schnellen Überblick darüber, was das Paket tut, z. B. eine Anfrage für eine Webseite oder eine Antwort von einem Server.

Um detailliertere Informationen zu einem bestimmten Paket anzuzeigen, klicken Sie im Paketlistenbereich darauf. Wenn Sie dies tun, werden die anderen Bereiche in der Wireshark-Oberfläche aktualisiert, um Details zu dem ausgewählten Paket anzuzeigen.

4. Paketdetailbereich

Der Paketdetailbereich (Packet Details Pane) zeigt detaillierte Informationen über das ausgewählte Paket in einem hierarchischen Format an. Wenn Sie im Paketlistenbereich auf ein Paket klicken, zeigt dieser Bereich alle Informationen über dieses Paket an, aufgeschlüsselt nach Protokollschichten.

Packet Details Pane
  • Das Paket ist in verschiedene Protokollschichten unterteilt, wie z. B. die Frame-Schicht, die Ethernet-Schicht, die IP-Schicht, die TCP-Schicht usw. Jede Schicht stellt einen anderen Teil des Netzwerkkommunikationsprozesses dar.
  • Neben jeder Schicht befindet sich ein Pfeil. Sie können auf diesen Pfeil klicken, um die Schicht zu erweitern oder zusammenzuklappen. Wenn Sie eine Schicht erweitern, sehen Sie alle Felder und Werte innerhalb dieser Schicht, die spezifische Informationen über das Paket liefern.

Versuchen Sie, auf die Pfeile neben verschiedenen Protokollschichten zu klicken, um zu sehen, wie Sie in die spezifischen Details eines Pakets eintauchen können. Dies ist eine gute Möglichkeit, zu verstehen, wie Netzwerkprotokolle funktionieren und wie Daten über das Netzwerk übertragen werden.

5. Paket-Bytes-Bereich

Der Paket-Bytes-Bereich (Packet Bytes Pane) zeigt die Roh-Bytes des ausgewählten Pakets sowohl im Hexadezimal- als auch im ASCII-Format an. Dieser Bereich bietet Ihnen eine Low-Level-Ansicht der Paketdaten.

Packet Bytes Pane
  • Die linke Spalte im Paket-Bytes-Bereich zeigt den Offset an, d. h. die Position jedes Bytes im Paket.
  • Die mittleren Spalten zeigen die hexadezimalen Werte der Bytes an. Hexadezimal ist ein Zahlensystem, das in der Informatik häufig verwendet wird, um binäre Daten in einer für Menschen besser lesbaren Form darzustellen.
  • Die rechte Spalte zeigt die ASCII-Darstellung der Bytes an. ASCII ist ein Zeichenkodierungsstandard, der binäre Daten Zeichen zuordnet.

Wenn Sie ein bestimmtes Feld im Paketdetailbereich auswählen, werden die entsprechenden Bytes im Paket-Bytes-Bereich hervorgehoben. Dies hilft Ihnen, die Beziehung zwischen den High-Level-Protokollinformationen im Paketdetailbereich und den rohen Binärdaten im Paket-Bytes-Bereich zu erkennen.

Größe der Bereiche ändern

Sie können die Größe jedes Bereichs in der Wireshark-Oberfläche anpassen, um sich auf die Informationen zu konzentrieren, die für Ihre Analyse am wichtigsten sind. So geht's:

  1. Bewegen Sie den Cursor auf die Trennlinie zwischen zwei Bereichen. Wenn Sie dies tun, ändert sich der Cursor in einen Größenänderungscursor, der wie ein Doppelpfeil aussieht. Dies zeigt an, dass Sie die Größe der Bereiche jetzt ändern können.

  2. Klicken und halten Sie die Maustaste gedrückt und ziehen Sie dann die Trennlinie, um die Größe der Bereiche nach Ihren Wünschen zu ändern. Sie können einen Bereich größer und den anderen kleiner machen.

  3. Wenn Sie beispielsweise mehr Pakete auf einmal sehen möchten, können Sie den Paketlistenbereich vergrößern. Wenn Sie detailliertere Informationen über ein Paket sehen möchten, ohne scrollen zu müssen, können Sie den Paketdetailbereich vergrößern.

  4. Sie können auch auf eine Trennlinie doppelklicken. Wenn Sie dies tun, ändert Wireshark die Größe der Bereiche automatisch auf eine Standard- oder optimale Größe.

Die Möglichkeit, die Größe der Bereiche zu ändern, ist sehr nützlich, insbesondere wenn Sie komplexe Netzwerkerfassungen mit einer großen Anzahl von Paketen oder detaillierten Protokollinformationen analysieren. Sie ermöglicht es Ihnen, die Wireshark-Oberfläche an Ihre spezifischen Analysebedürfnisse anzupassen.

Die Wireshark-Oberfläche anpassen

In diesem Schritt werden wir untersuchen, wie Sie die Wireshark-Oberfläche anpassen können. Das Anpassen der Oberfläche ist entscheidend, da Sie Wireshark so an Ihre persönlichen Vorlieben anpassen können, wodurch Ihre Netzwerkanalyseaufgaben effizienter werden. Wireshark bietet eine breite Palette von Anpassungsoptionen, die Ihren Workflow erheblich verbessern können.

Das Layout anpassen

Wireshark bietet verschiedene Layoutoptionen, die bestimmen, wie die Hauptbereiche angeordnet sind. Diese Bereiche sind wichtig, da sie verschiedene Aspekte der erfassten Netzwerkdaten anzeigen.

  1. Suchen Sie zunächst die Menüleiste am oberen Rand des Wireshark-Fensters. Klicken Sie auf Bearbeiten (Edit) und wählen Sie dann Einstellungen (Preferences) aus dem Dropdown-Menü. Dadurch wird das Fenster "Einstellungen" geöffnet, in dem Sie verschiedene Konfigurationsänderungen vornehmen können.
  2. Suchen Sie im Fenster "Einstellungen" die linke Seitenleiste. Navigieren Sie zu Erscheinungsbild (Appearance) und klicken Sie dann auf Layout. Hier finden Sie die Einstellungen für das Oberflächenlayout.
  3. Sie haben mehrere Layoutoptionen zur Auswahl:
    • Paketliste, Paketdetails und Paket-Bytes in einer Spalte (Standard): Dies ist das Standardlayout, bei dem alle wichtigen Informationen in einer Spalte gestapelt sind.
    • Paketliste oben, Paketdetails und Paket-Bytes in einer Spalte darunter: In diesem Layout befindet sich die Paketliste oben und die anderen beiden Bereiche darunter in einer einzigen Spalte.
    • Paketliste oben, Paketdetails und Paket-Bytes nebeneinander darunter: Hier befindet sich die Paketliste oben und die Bereiche "Paketdetails" und "Paket-Bytes" sind nebeneinander darunter angeordnet.
    • Benutzerdefiniertes Layout (Custom layout): Mit dieser Option können Sie die Bereiche nach Ihren spezifischen Bedürfnissen in einem Raster anordnen.
  4. Versuchen Sie, ein anderes Layout auszuwählen, z. B. "Paketliste oben, Paketdetails und Paket-Bytes nebeneinander darunter". Dies kann Ihnen je nach Ihren Analyseanforderungen eine bessere Sicht auf die Daten ermöglichen.
  5. Klicken Sie nach der Auswahl des Layouts auf OK, um die Änderungen zu übernehmen.
  6. Beobachten Sie, wie sich das Oberflächenlayout ändert. Unterschiedliche Layouts können für verschiedene Analyseaufgaben oder Bildschirmgrößen besser geeignet sein. Wenn Sie beispielsweise einen großen Bildschirm haben, ist das Side-by-Side-Layout möglicherweise bequemer für detaillierte Analysen.
Wireshark layout options

Spalten in der Paketliste anpassen

Der Paketlistenbereich (Packet List Pane) zeigt eine Liste der erfassten Pakete an. Sie können ändern, welche Spalten in diesem Bereich angezeigt werden, um die Informationen anzuzeigen, die für Ihre Analyse am relevantesten sind.

  1. Klicken Sie mit der rechten Maustaste auf eine beliebige Spaltenüberschrift im Paketlistenbereich. Ein Kontextmenü mit mehreren Optionen wird angezeigt.
  2. Wählen Sie im Kontextmenü Spalteneinstellungen (Column Preferences) aus. Dadurch wird ein Fenster geöffnet, in dem Sie die Spalten im Paketlistenbereich verwalten können.
  3. Im Fenster "Einstellungen", das sich öffnet:
    • So fügen Sie eine neue Spalte hinzu: Klicken Sie auf die Schaltfläche +. Ein Dropdown-Menü wird angezeigt, in dem Sie einen Spaltentyp auswählen können. Geben Sie nach der Auswahl des Typs einen Titel für die neue Spalte an.
    • So entfernen Sie eine Spalte: Wählen Sie die Spalte, die Sie entfernen möchten, aus der Liste aus und klicken Sie auf die Schaltfläche -.
    • So ordnen Sie Spalten neu an: Wählen Sie eine Spalte aus und verwenden Sie die Aufwärts-/Abwärtspfeiltasten, um sie in der Liste nach oben oder unten zu verschieben.
    • So ändern Sie eine Spalte: Doppelklicken Sie auf die Spalte. Dadurch können Sie ihre Eigenschaften bearbeiten, z. B. den Titel oder das Feld, das sie anzeigt.
  4. Versuchen wir, eine neue Spalte hinzuzufügen:
    • Klicken Sie auf die Schaltfläche +.
    • Wählen Sie für "Feldtyp (Field type)" die Option "Benutzerdefiniert (Custom)". Dies gibt Ihnen die Flexibilität, ein bestimmtes Feld zur Anzeige auszuwählen.
    • Geben Sie für "Feldname (Field name)" "ip.src" ein. Dadurch werden die Quell-IP-Adressen der Pakete angezeigt.
    • Geben Sie für "Titel (Title)" "Quell-IP (Source IP)" ein. Dies ist der Titel der neuen Spalte.
    • Klicken Sie auf OK, um die Einstellungen zu bestätigen.
  5. Klicken Sie im Fenster "Einstellungen" auf OK, um Ihre Änderungen zu übernehmen.
  6. Sie sollten nun Ihre neue Spalte im Paketlistenbereich sehen. Diese neue Spalte hilft Ihnen, die Quell-IP-Adressen der erfassten Pakete schnell zu identifizieren.
Packet List Column Preferences

Farbregeln konfigurieren

Wireshark verwendet Farben, um Ihnen zu helfen, verschiedene Arten von Datenverkehr schnell zu identifizieren. Indem Sie diese Farbregeln anpassen, können Sie noch einfacher zwischen verschiedenen Pakettypen unterscheiden.

  1. Wählen Sie in der Menüleiste Ansicht (View) und klicken Sie dann auf Farbregeln (Coloring Rules). Dadurch wird das Fenster "Farbregeln" geöffnet.
  2. Im Fenster "Farbregeln" sehen Sie eine Liste der vorhandenen Farbregeln. Jede Regel hat drei Hauptkomponenten:
    • Einen Namen: Dies ist eine Bezeichnung für die Regel, die die Identifizierung erleichtert.
    • Einen Anzeigefilter (display filter): Dieser bestimmt, auf welche Pakete die Regel angewendet wird. Beispielsweise kann ein Filter so eingestellt werden, dass er nur Pakete eines bestimmten Protokolls abgleicht.
    • Vordergrund- und Hintergrundfarben: Dies sind die Farben, die zum Hervorheben der übereinstimmenden Pakete verwendet werden.
  3. So fügen Sie eine neue Farbregel hinzu:
    • Klicken Sie auf die Schaltfläche +.
    • Geben Sie einen Namen für Ihre Regel ein, z. B. "ICMP-Pakete (ICMP Packets)". Dies hilft Ihnen, die Regel später leicht zu erkennen.
    • Geben Sie einen Anzeigefilter ein, z. B. "icmp". Dieser Filter stellt sicher, dass die Regel nur auf ICMP-Pakete angewendet wird.
    • Klicken Sie auf die Schaltflächen für die Vordergrund- und Hintergrundfarbe, um die Farben auszuwählen, die Sie zum Hervorheben dieser Pakete verwenden möchten.
    • Klicken Sie auf OK, um die neue Regel zu speichern.
  4. Um die Priorität von Regeln zu ändern, wählen Sie eine Regel aus und verwenden Sie die Aufwärts-/Abwärtstasten. Regeln oben haben eine höhere Priorität als die darunter. Dies bedeutet, dass, wenn ein Paket mit mehreren Regeln übereinstimmt, die Regel mit der höchsten Priorität angewendet wird.
  5. Klicken Sie auf OK, um Ihre Änderungen zu übernehmen.
  6. Beobachten Sie, wie die Pakete, die mit Ihrem Filter übereinstimmen, nun mit Ihren gewählten Farben angezeigt werden. Dies macht es viel einfacher, bestimmte Arten von Datenverkehr in den erfassten Daten schnell zu erkennen.
Wireshark coloring rules setup

Ihr Profil speichern

Nachdem Sie Wireshark nach Ihren Wünschen angepasst haben, können Sie Ihre Konfiguration als Profil speichern. Profile sind nützlich, da Sie schnell zwischen verschiedenen Oberflächenkonfigurationen wechseln können, je nachdem, an welcher Art von Netzwerkanalyseaufgabe Sie gerade arbeiten.

  1. Wählen Sie in der Menüleiste Bearbeiten (Edit) und klicken Sie dann auf Konfigurationsprofile (Configuration Profiles). Dadurch wird das Fenster "Konfigurationsprofile" geöffnet.
  2. Klicken Sie im Fenster "Konfigurationsprofile" auf +, um ein neues Profil zu erstellen.
  3. Geben Sie einen Namen für Ihr Profil ein, z. B. "Mein benutzerdefiniertes Profil (My Custom Profile)". Dieser Name hilft Ihnen, das Profil später leicht zu identifizieren. Klicken Sie dann auf OK.
  4. Ihre aktuellen Konfigurationseinstellungen werden nun in diesem Profil gespeichert. Dies bedeutet, dass Wireshark jedes Mal, wenn Sie dieses Profil auswählen, die von Ihnen angepassten Einstellungen lädt.
  5. Sie können zwischen verschiedenen Profilen wechseln, indem Sie zu Bearbeiten (Edit) > Konfigurationsprofile (Configuration Profiles) gehen und ein Profil aus der Liste auswählen. Sie könnten beispielsweise ein Profil für allgemeines Surfen und ein anderes für detaillierte Protokollanalysen haben.

Standardeinstellungen wiederherstellen

Wenn Sie zu den Standardeinstellungen von Wireshark zurückkehren möchten, vielleicht weil Sie zu viele Änderungen vorgenommen haben und neu beginnen möchten, können Sie dies einfach tun.

  1. Wählen Sie in der Menüleiste Bearbeiten (Edit) und klicken Sie dann auf Einstellungen (Preferences). Dadurch wird das Fenster "Einstellungen" geöffnet.
  2. Klicken Sie unten im Fenster "Einstellungen" auf die Schaltfläche Zurücksetzen (Reset). Dadurch wird eine Bestätigungsmeldung angezeigt.
  3. Klicken Sie auf OK, um zu bestätigen. Dadurch werden alle Einstellungen auf ihre Standardwerte zurückgesetzt und alle von Ihnen vorgenommenen Anpassungen entfernt.

Zusammenfassung

In diesem Lab haben Sie die Wireshark-Oberfläche und ihre Komponenten kennengelernt, die für die Netzwerkanalyse und Fehlerbehebung unerlässlich sind. Sie haben den Start von Wireshark erkundet, sich mit seinen fünf Hauptkomponenten vertraut gemacht und gelernt, wie man eine einfache Erfassung startet und Datenverkehr für die Analyse generiert.

Sie haben auch Methoden zur Navigation durch erfasste Pakete, zur Anpassung der Oberfläche und zur Erstellung von Konfigurationsprofilen (configuration profiles) erlernt. Diese Fähigkeiten legen eine solide Grundlage für die fortgeschrittene Netzwerkanalyse. Im Laufe Ihrer Fortschritte in den Bereichen Cybersicherheit und Netzwerkadministration wird Ihre Fähigkeit, Wireshark zu verwenden und anzupassen, von unschätzbarem Wert für die Fehlerbehebung, die Vorfallsanalyse (incident analysis) und das Verständnis von Netzwerkprotokollen sein.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger