Die passenden Daten heraussuchen
So vielfältig wie Filter anwendbar sind, so komplex kann deren Erstellung sein. Wireshark unterstützt Sie jedoch über die Filter-Toolbar. Diese gestattet die direkte Eingabe von Filterausdrücken. Über die Schaltfläche "Expression..." starten Sie einen Filterdialog, der neben Protokollfeldern auch die dazu verfügbaren Relationen (Operatoren) anzeigt, die Sie zu Ausdrücken kombinieren können. Mit der Bestätigung wird der Ausdruck dann in das Filterfeld übertragen und durch "Apply" angewendet.
Funktionen zur Unterstützung bei der Analyse sind unter dem Menüpunkt "Analyze" zusammengefasst. Dazu gehören die Möglichkeiten, Display-Filter zu definieren und diese für die spätere Nutzung zu speichern, Protokolle zu aktivieren und deaktivieren sowie eine Dekodierungen vorzugeben, die von der Standard-Wireshark-Einstellung abweichen soll.
Die "Expert Infos" geben einen Überblick über Protokollabläufe und können im Fehlerfall wichtige Hinweise auf mögliche Ursachen liefern. Diese Zusatzinformationen sind jedoch protokollabhängig. Ein fundiertes Protokollwissen und Erfahrung bei der Analyse können die Expert Infos nicht ersetzen. Unter "Chat" sind unter anderem Informationen zum Workflow, HTTP GET und TCP SYN/ACK/FIN verfügbar. Interessieren Sie sich beispielsweise für den HTTP GET "/image/video1.png", kann das entsprechende Paket direkt aus der Detailansicht der Expert-Infos referenziert und dekodiert angezeigt werden. Eine aufwändige Suche über alle Pakete entfällt somit. Bild 3: Das Festlegen der Filter Expressions ermöglicht es Ihnen, zielgerichtet nach Informationen in den aufgezeichneten Datenströmen zu suchen.
Aus der Paket-Übersicht können Sie bei Bedarf über das Kontextmenü weitere Funktionen wie Markierungsfilter aufrufen. Ein gerade bei Protokollanalysen sehr nützliches Werkzeug ist die Stream-Verfolgung. Ausgehend vom aktuellen Paket, das zu einem Stream gehört, lässt sich der gesamte Kommunikationsstrom anzeigen und nachvollziehen. Der Aufruf von "Follow TCP Stream" über das Kontextmenü öffnet eine bidirektionale Darstellung der Konversation, wobei beide Richtungen farblich unterschieden werden.
Möchten Sie die gesamte Kommunikation eines TCP-Streams darstellen, wählen Sie das Paket mit dem gesetzten SYN-Flag aus. Dies lässt sich wiederum leicht über die Expert Infos finden. Neben den Analysefunktionen verfügt Wireshark über umfangreiche Statistikfunktionen im Menü "Statistics". Damit erstellen Sie unter anderem Statistiken über Kommunikationsbeziehungen, Adressen, TCP- und Multicast-Streams und Kommunikationsendpunkte. Mit Flow-Graphen visualisieren Sie zudem Kommunikationsabläufe. Diese lassen sich auf angezeigte (gefilterte) Pakete beschränken. Bild 4: Die Funktion "Follow TCP Stream" ermöglicht es, den Datenverkehr aus einzelnen Paketen gemäß dem zugrundeliegenden Protokoll zusammenzusetzen. Netzwerkfehler erkennen
Bei der Netzanalyse bestimmen Sie den Zustand eines Netzwerks anhand der Anzahl der ermittelten TCP-Sendewiederholungen. Dabei sehen Sie sich auf den Servern und Workstations die entsprechenden Statistiken an oder Sie begeben sich mit einem Analysator im Netz auf die Suche nach TCP-Retransmissions. Im Internet steht den Interessierten zwar jede Menge Information über die Funktionsweise des TCP-Protokolls zur Verfügung, aber über die Ursachen von TCP-Retransmissions ist wenig zu finden.
Das TCP-Protokoll garantiert die Übermittlung der gesendeten Daten über das Netzwerk. Der ACK-Mechanismus stellt sicher, dass die Daten beim Empfänger ordnungsgemäß angekommen sind. Erhält der TCP-Sender nicht innerhalb von 2 x RTT (zweimal die Round Trip Time) eine Bestätigung (ACK) durch den Empfänger, werden die scheinbar verlorengegangenen Daten unaufgefordert erneut übermittelt. Darüber hinaus beschleunigen Features wie das Selective ACK (SACK) eine schnelle Neuübertragung diesen Prozess.
Im ersten Teil der Serie haben wir uns mit der Funktionsweise und Installation von Wireshark beschäftigt und erklärt, wie Sie sich im Interface zurechtfinden.Im dritten Teilerklären wir die Besonderheiten einer Netzwerksegmentierung mit VLANs und beschreiben, wie Sie auch hier mit Wireshark zu einer Fehleranalyse gelangen. Im vierten Teil dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.
Das Monitoring inklusive der notwendigen Detailanalyse des Datenverkehrs im Netzwerk ist ohne ein leistungsfähiges Analysesystem unmöglich. Eines der wichtigsten Netzwerktools für jeden Administrator ist Wireshark – ein Open Source-Netzwerkanalysator, mit dem Sie alle Pakete im Netzwerk aufzeichnen und die Paketinhalte detailliert analysieren. Im vierten Teil der Workshopserie dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.
Die Priorisierung der Pakete und die entsprechenden Zuordnungen zu den Queues im Switch werden durch das Prioritäts-Feld im VLAN-Tag (Bits 1 bis 3) erreicht. Der IEEE-802.1p-Standard legt das Mappen der Prioritäten zu den jeweiligen Verkehrsklassen (Traffic Classes) und damit zu den vorhanden Queues fest. Innerhalb eines Netzwerks/ VLANs werden die transportierten Informationen nach den verschiedenen Verkehrsarten oder Traffic-Types unterschieden.
Das Monitoring inklusive der notwendigen Detailanalyse des Datenverkehrs im Netzwerk ist ohne ein leistungsfähiges Analysesystem unmöglich. Eines der wichtigsten Netzwerktools für jeden Administrator ist Wireshark – ein Open Source-Netzwerkanalysator, mit dem Sie alle Pakete im Netzwerk aufzeichnen und die Paketinhalte detailliert analysieren. Im dritten Teil der Workshopserie erklären wir die Besonderheiten einer Netzwerksegmentierung mit VLANs und beschreiben, wie Sie auch hier mit Wireshark zu einer Fehleranalyse gelangen.
