LabEx
AnmeldenKostenlos beitreten

Wireshark installieren, konfigurieren und Netzwerktraffic analysieren

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, wie Sie Wireshark, einen robusten Netzwerkprotokollanalysator (Network Protocol Analyzer), installieren und konfigurieren. Es ermöglicht die Echtzeituntersuchung des Netzwerkverkehrs, was für die Fehlerbehebung im Netzwerk und Sicherheitsuntersuchungen von entscheidender Bedeutung ist.

Am Ende dieses Labs werden Sie in der Lage sein, Netzwerkpakete auf Ihrem System zu erfassen und zu analysieren und so praktische Erfahrungen mit diesem wichtigen Tool zu sammeln.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/installation -.-> lab-415947{{"Wireshark installieren, konfigurieren und Netzwerktraffic analysieren"}} wireshark/interface -.-> lab-415947{{"Wireshark installieren, konfigurieren und Netzwerktraffic analysieren"}} wireshark/packet_capture -.-> lab-415947{{"Wireshark installieren, konfigurieren und Netzwerktraffic analysieren"}} wireshark/packet_analysis -.-> lab-415947{{"Wireshark installieren, konfigurieren und Netzwerktraffic analysieren"}} wireshark/commandline_usage -.-> lab-415947{{"Wireshark installieren, konfigurieren und Netzwerktraffic analysieren"}} end

Wireshark installieren

In diesem Schritt installieren wir Wireshark auf unserem Ubuntu-System. Wireshark ist ein leistungsstarker Netzwerkprotokollanalysator (Network Protocol Analyzer), mit dem Sie Netzwerkverkehr erfassen und analysieren können. Es ist ein wichtiges Werkzeug für alle, die sich für Netzwerksicherheit und Verkehrsanalyse interessieren. Die gute Nachricht ist, dass Wireshark in den Ubuntu-Repositories verfügbar ist, was bedeutet, dass wir es einfach mit dem von Ubuntu bereitgestellten Paketverwaltungssystem installieren können.

Zuerst aktualisieren wir die Paketrepository-Informationen. Das Paketrepository ist wie ein Katalog aller Software, die für Ihr Ubuntu-System verfügbar ist. Durch die Aktualisierung stellen wir sicher, dass wir Zugriff auf die neuesten Softwareversionen haben. Dazu müssen wir ein Terminal öffnen. Sie können ein Terminal öffnen, indem Sie auf das Terminalsymbol in der Taskleiste klicken oder Strg+Alt+T drücken. Sobald das Terminal geöffnet ist, geben Sie den folgenden Befehl ein:

sudo apt update

Der Befehl sudo wird verwendet, um Befehle mit administrativen Rechten auszuführen. apt ist das Paketverwaltungstool in Ubuntu, und update ist der Befehl zum Aktualisieren der Paketrepository-Informationen. Wenn Sie diesen Befehl ausführen, sollten Sie eine ähnliche Ausgabe sehen:

Hit:1 http://archive.ubuntu.com/ubuntu jammy InRelease
Get:2 http://archive.ubuntu.com/ubuntu jammy-updates InRelease [119 kB]
Get:3 http://archive.ubuntu.com/ubuntu jammy-backports InRelease [108 kB]
Get:4 http://security.ubuntu.com/ubuntu jammy-security InRelease [110 kB]
Get:5 http://archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages [1,234 kB]
...
Reading package lists... Done

Diese Ausgabe zeigt, dass das System die neuesten Informationen über verfügbare Pakete aus den Repositories abruft.

Nachdem unser Paketrepository aktualisiert wurde, können wir Wireshark mit dem apt-Paketmanager installieren. Führen Sie den folgenden Befehl im Terminal aus:

sudo apt install wireshark -y

Der Befehl install weist apt an, das angegebene Paket zu installieren, in diesem Fall wireshark. Die Option -y wird verwendet, um alle Eingabeaufforderungen während des Installationsvorgangs automatisch mit "yes" zu beantworten.

Während des Installationsvorgangs wird ein Konfigurationsdialog angezeigt, in dem Sie gefragt werden, ob Nicht-Superusern das Erfassen von Paketen gestattet werden soll. Das Zulassen des Erfassens von Paketen durch Nicht-Superuser kann nützlich sein, wenn Sie Wireshark ausführen möchten, ohne immer administrative Rechte zu verwenden. Verwenden Sie die Pfeiltasten, um "Yes" (oder drücken Sie y) auszuwählen, und drücken Sie die Eingabetaste, um Ihre Auswahl zu bestätigen.

Wireshark Configuration Dialog

Hinweis: Wenn Sie diese Eingabeaufforderung verpasst haben oder diese Einstellung später ändern müssen, können Sie Wireshark mit dem folgenden Befehl neu konfigurieren:

sudo dpkg-reconfigure wireshark-common

Der Befehl dpkg-reconfigure wird verwendet, um ein bereits installiertes Paket neu zu konfigurieren.

Sobald die Installation abgeschlossen ist, sollten Sie eine Ausgabe sehen, die anzeigt, dass die Installation erfolgreich war. Um zu überprüfen, ob Wireshark korrekt installiert wurde, können wir seine Version überprüfen. Führen Sie den folgenden Befehl im Terminal aus:

wireshark --version

Dieser Befehl weist Wireshark an, seine Versionsinformationen anzuzeigen. Sie sollten eine ähnliche Ausgabe sehen:

Wireshark 3.6.2 (Git v3.6.2 packaged as 3.6.2-2)

Copyright 1998-2022 Gerald Combs <gerald@wireshark.org> and contributors.
License GPLv2+: GNU GPL version 2 or later <https://www.gnu.org/licenses/>
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

Compiled (64-bit) with Qt 5.15.3, with libpcap, with GLib 2.72.0, with zlib 1.2.11,
with SMI 0.4.8, with c-ares 1.18.1, with Lua 5.2.4, with GnuTLS 3.7.3 and PKCS #11
support, with Gcrypt 1.9.4, with MIT Kerberos, with MaxMind DB resolver,
with nghttp2 1.43.0, with brotli, with LZ4, with Zstandard, with Snappy,
with libxml2 2.9.13, with libssh 0.9.6, with NGHTTP3 0.7.0, with NGTCP2 0.8.0.

Großartig! Wireshark ist jetzt auf Ihrem System installiert.

Wireshark-Aufnahmeberechtigungen konfigurieren

In diesem Schritt konfigurieren wir die notwendigen Berechtigungen für Wireshark, um Netzwerkpakete zu erfassen. Als Anfänger fragen Sie sich vielleicht, warum wir das tun müssen. Standardmäßig erfordert die Paketerfassung Root-Rechte. Dies ist eine Sicherheitsmaßnahme, da das Erfassen von Netzwerkpaketen potenziell sensible Informationen preisgeben kann. Wireshark als Root auszuführen, ist jedoch aus Sicherheitssicht keine gute Idee. Wenn es eine Schwachstelle in Wireshark gibt, könnte ein Angreifer vollen Systemzugriff erhalten, wenn es als Root ausgeführt wird. Daher konfigurieren wir Wireshark so, dass Ihr reguläres Benutzerkonto Pakete sicher erfassen kann.

Zuerst müssen wir überprüfen, ob die Gruppe wireshark auf dem System vorhanden ist. Die Gruppe wireshark ist eine spezielle Gruppe, die wir verwenden werden, um die Berechtigungen für die Paketerfassung zu verwalten. Um zu überprüfen, ob diese Gruppe vorhanden ist, verwenden wir den Befehl getent. getent ist ein Dienstprogramm, das Einträge aus verschiedenen Systemdatenbanken abruft, wie in diesem Fall die Gruppendatenbank. Führen Sie den folgenden Befehl in Ihrem Terminal aus:

getent group wireshark

Wenn keine Ausgabe erscheint, bedeutet dies, dass die Gruppe noch nicht existiert und wir sie erstellen müssen. Wir verwenden den Befehl groupadd, um die Gruppe wireshark zu erstellen. Der Befehl groupadd wird verwendet, um eine neue Gruppe auf dem System zu erstellen. Führen Sie den folgenden Befehl aus:

sudo groupadd wireshark

Der Befehl sudo wird verwendet, um den Befehl groupadd mit administrativen Rechten auszuführen. Sie werden aufgefordert, Ihr Passwort einzugeben, wenn Sie sudo kürzlich nicht verwendet haben.

Als Nächstes müssen wir dem Paket-Capture-Binary (dumpcap) die richtigen Berechtigungen erteilen. dumpcap ist die Komponente, die tatsächlich Pakete für Wireshark erfasst. Wir ändern die Gruppenberechtigung des dumpcap-Binarys in die Gruppe wireshark. Auf diese Weise wird das dumpcap-Binary der Gruppe wireshark zugeordnet, und wir können seine Berechtigungen über diese Gruppe verwalten. Führen Sie den folgenden Befehl aus:

sudo chgrp wireshark /usr/bin/dumpcap

Der Befehl chgrp wird verwendet, um die Gruppenberechtigung einer Datei oder eines Verzeichnisses zu ändern. In diesem Fall ändern wir die Gruppenberechtigung des /usr/bin/dumpcap-Binarys in die Gruppe wireshark.

Nachdem wir die Gruppenberechtigung geändert haben, legen wir die erforderlichen Berechtigungen für das dumpcap-Binary fest. Wir verwenden den Befehl chmod, um die Berechtigungen festzulegen. Der Befehl chmod wird verwendet, um die Berechtigungen einer Datei oder eines Verzeichnisses zu ändern. Führen Sie den folgenden Befehl aus:

sudo chmod 4755 /usr/bin/dumpcap

Dieser Befehl setzt das Setuid-Bit (set user ID) auf dem Binary. Das Setuid-Bit ermöglicht es dem Binary, mit den Berechtigungen des Eigentümers (root) auszuführen, unabhängig davon, wer es ausführt. Die Berechtigung 4755 kann wie folgt aufgeschlüsselt werden:

  • 4 - Setzt das Setuid-Bit. Dies bedeutet, dass das Binary bei der Ausführung mit den Berechtigungen des Eigentümers (root) ausgeführt wird.
  • 7 - Der Eigentümer (root) hat Lese-, Schreib- und Ausführungsberechtigungen. Dies ermöglicht es dem Eigentümer, das Binary zu lesen, zu ändern und auszuführen.
  • 5 - Die Gruppe hat Lese- und Ausführungsberechtigungen. Dies ermöglicht es den Mitgliedern der Gruppe wireshark, das Binary zu lesen und auszuführen.
  • 5 - Andere haben Lese- und Ausführungsberechtigungen. Dies ermöglicht es anderen Benutzern auf dem System, das Binary zu lesen und auszuführen.

Schließlich müssen wir unseren aktuellen Benutzer zur Gruppe wireshark hinzufügen. Indem wir unseren Benutzer zur Gruppe wireshark hinzufügen, hat unser Benutzer die erforderlichen Berechtigungen, um das dumpcap-Binary zu verwenden. Wir verwenden den Befehl gpasswd, um unseren Benutzer zur Gruppe hinzuzufügen. Der Befehl gpasswd wird verwendet, um die Dateien /etc/group und /etc/gshadow zu verwalten. Führen Sie den folgenden Befehl aus:

sudo gpasswd -a $USER wireshark

Die Variable $USER ist eine Shell-Variable, die den Benutzernamen des aktuellen Benutzers enthält. Sie sollten eine Ausgabe sehen, die anzeigt, dass der Benutzer zur Gruppe hinzugefügt wurde:

Adding user labex to group wireshark

Damit diese Änderungen wirksam werden, müssen Sie sich ab- und wieder anmelden oder das System neu starten. Für dieses Lab können wir jedoch einen einfacheren Ansatz verwenden, indem wir eine neue Shell mit der aktualisierten Gruppenzugehörigkeit starten. Wir verwenden den Befehl newgrp, um eine neue Shell mit der aktiven Gruppe wireshark zu starten. Der Befehl newgrp wird verwendet, um die aktuelle Gruppen-ID zu ändern. Führen Sie den folgenden Befehl aus:

newgrp wireshark

Dieser Befehl startet eine neue Shell mit der aktiven Gruppe wireshark, ohne dass eine vollständige Abmeldung erforderlich ist.

Lassen Sie uns überprüfen, ob unser Benutzer jetzt Teil der Gruppe wireshark ist. Wir verwenden den Befehl groups, um alle Gruppen aufzulisten, denen unser Benutzer angehört. Führen Sie den folgenden Befehl aus:

groups

Sie sollten wireshark unter den Gruppen aufgelistet sehen:

wireshark sudo ssl-cert labex public

Nachdem unser Benutzer Teil der Gruppe wireshark ist und das dumpcap-Binary die richtigen Berechtigungen hat, sollte Wireshark in der Lage sein, Pakete zu erfassen, ohne Root-Rechte zu benötigen.

Wireshark starten

In diesem Schritt werden wir Wireshark starten und seine anfängliche Benutzeroberfläche kennenlernen. Wireshark ist ein leistungsstarkes Werkzeug zur Analyse des Netzwerkverkehrs und verfügt über eine grafische Benutzeroberfläche (GUI, Graphical User Interface). Diese GUI werden wir verwenden, um mit der Software zu interagieren und den Netzwerkverkehr zu analysieren.

Zuerst müssen Sie sicherstellen, dass Sie sich in der Desktop-Umgebung der LabEx VM (virtuelle Maschine) befinden. Wenn Sie sich am richtigen Ort befinden, sehen Sie einen Desktop mit Symbolen und einer Taskleiste entweder am oberen oder unteren Rand des Bildschirms. Dies ist der Ausgangspunkt, an dem wir mit unserer Arbeit mit Wireshark beginnen.

Es gibt zwei Möglichkeiten, Wireshark zu starten. Sie können die Methode wählen, die für Sie am bequemsten ist:

  1. Klicken Sie auf das Anwendungsmenü (Applications menu), das sich normalerweise in der oberen linken Ecke des Bildschirms befindet. Navigieren Sie dann durch das Menü, um die Kategorien "Internet" oder "Netzwerk" zu finden. Sobald Sie sich in der entsprechenden Kategorie befinden, suchen Sie nach "Wireshark" und wählen Sie es aus. Dies ist eine einfache Möglichkeit, das Programm über die grafische Benutzeroberfläche zu starten.

    Wireshark in Applications Menu

  2. Alternativ können Sie das Terminal verwenden. Öffnen Sie ein Terminalfenster und geben Sie dann den folgenden Befehl ein:

    wireshark
    Wireshark in Terminal

Dieser Befehl weist das System an, die Wireshark-Anwendung zu starten. Nachdem Sie diesen Befehl ausgeführt haben, wird Wireshark gestartet und sein Hauptfenster wird auf dem Bildschirm angezeigt. Das erste, was Sie sehen, ist der Bildschirm "Welcome to Wireshark" (Willkommen bei Wireshark). Dieser Bildschirm zeigt eine Liste der verfügbaren Netzwerkschnittstellen (Network Interfaces) an, die Sie zum Erfassen von Netzwerkverkehr verwenden können. Er zeigt auch einige kürzlich geöffnete Capture-Dateien an, falls Sie Wireshark zuvor verwendet und einige Dateien gespeichert haben.

Wireshark Start Screen

Der Willkommensbildschirm bietet verschiedene wichtige Optionen:

  1. Sie können eine Netzwerkschnittstelle aus der Liste auswählen. Sobald Sie eine Schnittstelle ausgewählt haben, beginnt Wireshark sofort mit der Erfassung von Paketen aus diesem Netzwerk. Auf diese Weise beginnen Sie mit dem Sammeln von Daten über den Netzwerkverkehr.
  2. Wenn Sie eine zuvor gespeicherte Capture-Datei haben, können Sie diese von diesem Bildschirm aus öffnen. Dies ist nützlich, wenn Sie Daten analysieren möchten, die Sie in der Vergangenheit gesammelt haben.
  3. Es gibt auch verschiedene Tools und Einstellungen, auf die Sie von diesem Bildschirm aus zugreifen können. Diese Tools und Einstellungen helfen Ihnen, Ihre Erfahrung mit Wireshark anzupassen und erweiterte Analysen durchzuführen.

Nehmen Sie sich etwas Zeit, um diesen Startbildschirm zu erkunden. Sie werden feststellen, dass jede Netzwerkschnittstelle einige Statistiken über die erkannten Pakete enthält. Diese Statistiken geben Ihnen eine schnelle Vorstellung davon, welche Schnittstellen aktiv Netzwerkverkehr übertragen.

Schauen wir uns nun die Hauptelemente der Wireshark-Oberfläche an:

  • Menüleiste (Menu bar): Diese Leiste am oberen Rand des Fensters bietet Ihnen Zugriff auf alle Funktionen, die Wireshark bietet. Sie können sie verwenden, um verschiedene Aufgaben auszuführen, z. B. Capture-Dateien speichern, Einstellungen ändern und auf die Hilfe zugreifen.
  • Symbolleiste (Toolbar): Die Symbolleiste bietet schnellen Zugriff auf häufig verwendete Funktionen. Sie können beispielsweise die Paketerfassung starten und stoppen, Filter anwenden und Dateien mit nur einem Klick speichern.
  • Schnittstellenliste (Interface list): Diese Liste zeigt alle verfügbaren Netzwerkschnittstellen auf Ihrem System an. Sie verwenden diese Liste, um die Schnittstelle auszuwählen, von der Sie Pakete erfassen möchten.
  • Anzeigefilterleiste (Display filter bar): Mit dieser Leiste können Sie die Pakete filtern, die im Hauptfenster angezeigt werden. Sie können verschiedene Kriterien verwenden, z. B. IP-Adressen, Protokolle oder Portnummern, um die Pakete einzugrenzen, an denen Sie interessiert sind. Wir werden im nächsten Schritt untersuchen, wie dieser Filter verwendet wird.

Lassen Sie Wireshark vorerst laufen. Im nächsten Schritt werden wir es verwenden, um Netzwerkverkehr zu erfassen und zu analysieren.

Netzwerkverkehr erfassen und analysieren

In diesem Schritt werden wir etwas Netzwerkverkehr erfassen und die Wireshark-Oberfläche erkunden. Das Verständnis der Analyse von Netzwerkpaketen ist für jeden, der sich für Netzwerksicherheit oder Fehlerbehebung interessiert, von entscheidender Bedeutung. Am Ende dieses Abschnitts wissen Sie, wie Sie eine Erfassung starten, die Wireshark-Oberfläche verstehen, Verkehr erzeugen, Pakete filtern, Paketdetails überprüfen und die Erfassung stoppen.

Eine Erfassung starten

Wenn Sie Wireshark öffnen, sehen Sie einen Willkommensbildschirm. Auf diesem Bildschirm ist es Ihr Ziel, die Netzwerkschnittstelle zu finden, von der Sie den Verkehr erfassen möchten. In den meisten Fällen verwenden wir die Schnittstelle eth0. Wenn eth0 nicht verfügbar ist, können Sie eine andere aktive Schnittstelle auswählen (z. B. eth1 oder wlan0).

Um die Erfassung von Paketen zu starten, doppelklicken Sie einfach auf die Schnittstelle eth0. Diese Aktion startet sofort die Erfassung von Paketen auf dieser Schnittstelle und führt Sie zum Wireshark-Haupterfassungsfenster.

Alternativ können Sie zuerst die Schnittstelle auswählen und dann auf die Schaltfläche "Start capturing packets" (Pakete erfassen starten) klicken, die durch ein blaues Haifischflossen-Symbol in der Symbolleiste dargestellt wird. Das Starten der Erfassung ist der erste Schritt bei der Analyse des Netzwerkverkehrs, da Wireshark dadurch Daten sammeln kann, die durch die ausgewählte Schnittstelle fließen.

Die Wireshark-Oberfläche verstehen

Sobald die Paketerfassung gestartet ist, wird Ihnen die Wireshark-Hauptoberfläche angezeigt. Diese Oberfläche ist in drei Hauptbereiche unterteilt, die jeweils einem anderen Zweck dienen.

Wireshark Main Interface

  1. Paketlistenbereich (Packet List Pane) (Oben): Dieser Bereich zeigt eine Liste aller Pakete an, die Wireshark erfasst hat. Jeder Eintrag in der Liste enthält grundlegende Informationen über ein Paket, einschließlich:

    • Paketnummer (Packet number): Eine eindeutige Kennung für jedes Paket in der Erfassung.
    • Zeit (Time): Der Zeitpunkt, zu dem das Paket erfasst wurde.
    • Quell-IP-Adresse (Source IP address): Die IP-Adresse des Geräts, das das Paket gesendet hat.
    • Ziel-IP-Adresse (Destination IP address): Die IP-Adresse des Geräts, für das das Paket bestimmt ist.
    • Protokoll (Protocol): Das Netzwerkprotokoll, das vom Paket verwendet wird, z. B. TCP, UDP oder ICMP.
    • Länge (Length): Die Größe des Pakets in Byte.
    • Info: Eine kurze Beschreibung des Zwecks des Pakets, die Ihnen helfen kann, schnell zu verstehen, was das Paket tut.

  2. Paketdetailbereich (Packet Details Pane) (Mitte): Wenn Sie ein Paket im oberen Bereich auswählen, zeigt dieser Bereich detaillierte Informationen über das ausgewählte Paket in einem hierarchischen Format an. Sie können jeden Abschnitt erweitern, indem Sie auf den Pfeil daneben klicken, um detailliertere Informationen über die Struktur und den Inhalt des Pakets anzuzeigen.

  3. Paket-Bytes-Bereich (Packet Bytes Pane) (Unten): Dieser Bereich zeigt die Rohdaten des Pakets sowohl im Hexadezimal- als auch im ASCII-Format an. Wenn Sie verschiedene Felder im Paketdetailbereich auswählen, werden die entsprechenden Bytes in diesem Bereich hervorgehoben. Auf diese Weise können Sie die tatsächlichen Daten sehen, die im Paket übertragen werden.

Etwas Netzwerkverkehr erzeugen

Um etwas Sinnvolles zum Analysieren zu haben, müssen wir etwas Netzwerkverkehr erzeugen. Während Wireshark ausgeführt wird, öffnen Sie ein neues Terminalfenster. Im Terminal verwenden wir den Befehl ping, um einige ICMP-Echo-Request-Pakete an die Server von Google zu senden.

Führen Sie den folgenden Befehl aus:

ping -c 5 google.com

Die Option -c 5 weist den Befehl ping an, 5 ICMP-Echo-Request-Pakete zu senden. Nach dem Ausführen dieses Befehls sollten Sie eine ähnliche Ausgabe sehen wie:

PING google.com (142.250.180.238) 56(84) bytes of data.
64 bytes from muc11s21-in-f14.1e100.net (142.250.180.238): icmp_seq=1 ttl=118 time=15.6 ms
64 bytes from muc11s21-in-f14.1e100.net (142.250.180.238): icmp_seq=2 ttl=118 time=16.5 ms
64 bytes from muc11s21-in-f14.1e100.net (142.250.180.238): icmp_seq=3 ttl=118 time=15.9 ms
64 bytes from muc11s21-in-f14.1e100.net (142.250.180.238): icmp_seq=4 ttl=118 time=16.2 ms
64 bytes from muc11s21-in-f14.1e100.net (142.250.180.238): icmp_seq=5 ttl=118 time=15.7 ms

--- google.com ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 15.629/15.986/16.520/0.324 ms

Gehen Sie nun zurück zu Wireshark. Sie sollten die ICMP-Pakete sehen, die während der Ausführung des Befehls ping erfasst wurden. Diese Pakete werden wir für die weitere Analyse verwenden.

Die Erfassung stoppen

Wenn Sie mit der Analyse der erfassten Pakete fertig sind, müssen Sie die Erfassung stoppen. Klicken Sie dazu auf die Schaltfläche "Stop capturing packets" (Pakete erfassen stoppen), die durch ein rotes Quadrat in der Symbolleiste dargestellt wird. Alternativ können Sie zum Menü "Capture" (Erfassung) gehen und "Stop" (Stopp) auswählen.

Sie haben nun erfolgreich grundlegenden Netzwerkverkehr mit Wireshark erfasst und analysiert! Dies ist eine grundlegende Fähigkeit in der Netzwerkanalyse und -sicherheit, und Sie können auf diesem Wissen aufbauen, um komplexere Netzwerkszenarien zu analysieren.

Pakete filtern

Wireshark erfasst den gesamten Verkehr auf der ausgewählten Schnittstelle, was schnell zu einer großen Datenmenge führen und die Verwaltung erschweren kann. Filter sind ein leistungsstarkes Werkzeug in Wireshark, mit dem Sie sich auf bestimmte Arten von Verkehr konzentrieren können.

Wireshark Filter Bar

Um nach den ICMP-Ping-Paketen zu filtern, die wir gerade erzeugt haben, schauen Sie oben im Wireshark-Fenster. Dort befindet sich eine Filterleiste, in die Sie einen Filterausdruck eingeben können. Geben Sie Folgendes in die Filterleiste ein:

icmp

Nachdem Sie den Filterausdruck eingegeben haben, drücken Sie die Eingabetaste oder klicken Sie auf die Schaltfläche "Apply" (Anwenden) (ein Pfeilsymbol nach rechts) neben dem Filterfeld. Die Paketliste wird aktualisiert und zeigt nur ICMP-Pakete an. Sie sollten Paare von "Echo (ping) request" (Echo (Ping) Anfrage) und "Echo (ping) reply" (Echo (Ping) Antwort) Meldungen sehen, die dem Befehl ping entsprechen, den wir zuvor ausgeführt haben. Das Filtern hilft Ihnen, den Verkehr zu isolieren, an dem Sie interessiert sind, und macht den Analyseprozess viel übersichtlicher.

Paketdetails überprüfen

Nachdem wir nun nach den ICMP-Paketen gefiltert haben, wollen wir uns eines der ICMP-Request-Pakete genauer ansehen. Klicken Sie auf eines der ICMP-Request-Pakete in der Paketliste. Im Paketdetailbereich können Sie die verschiedenen Protokollschichten erweitern, indem Sie auf den Pfeil neben jedem Abschnitt klicken.

Wireshark Packet Details
  1. Frame: Dieser Abschnitt enthält Informationen über den Frame oder das Paket als Ganzes, wie z. B. die Frame-Länge und die Frame-Prüfsequenz (Frame Check Sequence).
  2. Ethernet: Es enthält Layer-2-Informationen (Data Link), wie z. B. die Quell- und Ziel-MAC-Adressen.
  3. Internet Protocol Version 4: Dies sind Layer-3-Informationen (Network). Erweitern Sie diesen Abschnitt, um Details wie die folgenden anzuzeigen:
    • Quell-IP-Adresse (Source IP address): Die IP-Adresse des Geräts, das das Paket gesendet hat.
    • Ziel-IP-Adresse (Destination IP address): Die IP-Adresse des Geräts, an das das Paket gesendet wird.
    • Time to Live (TTL): Ein Wert, der die Lebensdauer des Pakets im Netzwerk begrenzt.
    • Protokoll (Protocol): Das Protokoll, das innerhalb des IP-Pakets verwendet wird, wie in unserem Fall ICMP.
  4. Internet Control Message Protocol: Dieser Abschnitt zeigt die ICMP-Protokollinformationen an. Erweitern Sie ihn, um Details anzuzeigen, die spezifisch für die ICMP-Nachricht sind, wie z. B.:
    • Typ (Type) (8 für Anfrage, 0 für Antwort): Gibt an, ob das Paket eine Anfrage oder eine Antwort ist.
    • Code: Enthält zusätzliche Informationen über die ICMP-Nachricht.
    • Prüfsumme (Checksum): Wird verwendet, um die Integrität der ICMP-Nachricht zu überprüfen.
    • Kennung (Identifier): Hilft beim Abgleichen von Anfragen und Antworten.
    • Sequenznummer (Sequence number): Eine fortlaufende Nummer für die ICMP-Pakete.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie Wireshark, ein leistungsstarkes Tool zur Netzwerkanalyse, installieren und einrichten. Sie haben Berechtigungen für Nicht-Root-Benutzer konfiguriert, um Pakete sicher zu erfassen, die Anwendung gestartet und echten Netzwerkverkehr erfasst. Sie haben auch die Benutzeroberfläche erkundet, Filter für bestimmte Verkehrstypen angewendet und Paketdetails über verschiedene Protokollschichten hinweg untersucht.

Diese Fähigkeiten bilden eine solide Grundlage für die Netzwerkanalyse und Fehlerbehebung. Mit Wireshark können Sie nun Netzwerkkommunikationen inspizieren, Verbindungsprobleme diagnostizieren, das Protokollverhalten analysieren und Sicherheitsbedenken in Ihrem Netzwerkverkehr identifizieren.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger