Lesezeit
3 Minuten
Seite 2 - Einführung in das Monitoring mit Wireshark (1)
Zunächst wollen wir Netzwerkdaten mit Hilfe von Wireshark über ein Netzwerkinterface des Windows-Systems erfassen. Dabei fallen die Netzwerkdaten nicht direkt auf dem System selbst an, sondern werden von außen über ein Netzwerkinterface beispielsweise von einem Port Mirror zugeführt. Damit Wireshark sinnvoll nutzbar ist, muss das Programm vor dem Einsatz konfiguriert werden.
Die Konfiguration ist auch für einen Nicht-Fachmann problemlos zu bewältigen. Im Menü "Capture / Options" aktivieren Sie die entsprechende Netzschnittstelle, über die Wireshark den Verkehr mitschneidet. Das Menü "Capture/ Interfaces" zeigt alle vom jeweiligen Rechner unterstützten Netzschnittstellen an. Unter dem Menüpunkt "Edit, Preferences, Capture" legen Sie das Default-Interface fest. Neben der Netzwerkkarte lassen sich in diesem Menüpunkt folgende wichtige Optionen einstellen:
Welche Netzwerkdaten tatsächlich zur Aufzeichnung genutzt werden, hängt zum einen von der Port Mirror-Konfiguration des Switches ab, zum anderen von der Konfiguration des Netzwerkadapters. Im Normalfall liefert der Netzadapter nur Pakete ab, die an das eigene System adressiert sind. Dazu gehören Unicast-, aber auch Broadcast- und Multicast-Pakete.
Um alle netzwerkseitig ankommenden Pakete analysieren zu können, muss der Netzwerk-Adapter in den Promiscous Mode versetzt werden. Dazu sind in der Regel Administratorrechte notwendig. Über "Name Resolution" können Sie bei Bedarf außerdem eine Namensauflösung über das lokale System aktivieren, um eine bessere Lesbarkeit der vom System aufgezeichneten MAC-Adressen zu erreichen.
Die Einstellungen unter "Capture File(s)" legen die Speicheroptionen fest. Die Daten können in einer oder mehreren Dateien abgelegt werden, die Sie in ihrer Größe begrenzen können. Ein Ringpuffer begrenzt die Datenmenge. Bei Überschreiten werden die jeweils ältesten Daten überschrieben. "Stop Capture" legt eine Obergrenze fest, bei der die Aufzeichnung gestoppt wird.
Mit Hilfe von "Capture Filter" bestimmen Sie über Filterregeln, welche Daten aufgezeichnet werden sollen. Dies kann bei großem Datenvolumen sinnvoll sein. Zu beachten ist jedoch, dass an dieser Stelle durch Filterregeln verworfene Daten zur späteren Analyse nicht zur Verfügung stehen. Die Schaltfläche "Capture Filter" führt zum entsprechenden Dialog, über den Sie Filter auswählen und Definitionen vornehmen. Die Filter-Syntax ist identisch mit der Syntax von libpcap.
Die Konfiguration ist auch für einen Nicht-Fachmann problemlos zu bewältigen. Im Menü "Capture / Options" aktivieren Sie die entsprechende Netzschnittstelle, über die Wireshark den Verkehr mitschneidet. Das Menü "Capture/ Interfaces" zeigt alle vom jeweiligen Rechner unterstützten Netzschnittstellen an. Unter dem Menüpunkt "Edit, Preferences, Capture" legen Sie das Default-Interface fest. Neben der Netzwerkkarte lassen sich in diesem Menüpunkt folgende wichtige Optionen einstellen:
- Enable Network Name Resolution: Wandelt alle IP-Adressen über DNS in Namen um. Dies dauert unter Umständen ziemlich lange. Daher sollte diese Option deaktiviert werden.
- Update list of packets in real time: Nur in Kombination mit "Automatic scrolling" verwenden. Wireshark zeigt alle Pakete an, sobald diese aufgezeichnet wurden.
- Limit each packet to xx bytes: Erlaubt die reine Aufzeichnung der Header und sorgt für die Unterdrückung des meist langen Datenteils.
- Capture Filter: Ein Filter, der Pakete schon vor der Aufzeichnung qualifiziert. Somit gelangen unerwünschte beziehungsweise unnütze Datenpakete erst gar nicht in den Speicher.
Welche Netzwerkdaten tatsächlich zur Aufzeichnung genutzt werden, hängt zum einen von der Port Mirror-Konfiguration des Switches ab, zum anderen von der Konfiguration des Netzwerkadapters. Im Normalfall liefert der Netzadapter nur Pakete ab, die an das eigene System adressiert sind. Dazu gehören Unicast-, aber auch Broadcast- und Multicast-Pakete.
Um alle netzwerkseitig ankommenden Pakete analysieren zu können, muss der Netzwerk-Adapter in den Promiscous Mode versetzt werden. Dazu sind in der Regel Administratorrechte notwendig. Über "Name Resolution" können Sie bei Bedarf außerdem eine Namensauflösung über das lokale System aktivieren, um eine bessere Lesbarkeit der vom System aufgezeichneten MAC-Adressen zu erreichen.
Die Einstellungen unter "Capture File(s)" legen die Speicheroptionen fest. Die Daten können in einer oder mehreren Dateien abgelegt werden, die Sie in ihrer Größe begrenzen können. Ein Ringpuffer begrenzt die Datenmenge. Bei Überschreiten werden die jeweils ältesten Daten überschrieben. "Stop Capture" legt eine Obergrenze fest, bei der die Aufzeichnung gestoppt wird.
Mit Hilfe von "Capture Filter" bestimmen Sie über Filterregeln, welche Daten aufgezeichnet werden sollen. Dies kann bei großem Datenvolumen sinnvoll sein. Zu beachten ist jedoch, dass an dieser Stelle durch Filterregeln verworfene Daten zur späteren Analyse nicht zur Verfügung stehen. Die Schaltfläche "Capture Filter" führt zum entsprechenden Dialog, über den Sie Filter auswählen und Definitionen vornehmen. Die Filter-Syntax ist identisch mit der Syntax von libpcap.
Im Interface zurechtfinden
Die Aufzeichnung beginnen Sie schließlich mit dem Start-Button und können diese jederzeit unterbrechen und wieder fortsetzen, wobei die während der Unterbrechung eintreffenden Pakete natürlich verloren gehen. Wird keine Datei zum Abspeichern der aufgezeichneten Daten angegeben, werden die Daten temporär zwischengespeichert und können über das Menü "File" gesichert werden.
Der Bildschirm zur Aufzeichnung ist standardmäßig in drei Bereiche unterteilt, wobei Sie Anordnung und Darstellung über das Menü "View" anpassen. Im oberen Bereich sehen Sie alle empfangenen Pakete in fortlaufender Nummerierung, Zeitstempel, Quell- und Zieladresse, Protokoll und Zusatzinformationen. Das über den Zeilencursor ausgewählte Paket wird im darunterliegenden Bereich dekodiert dargestellt. Der Detaillierungsgrad der Anzeige ist einstellbar. Zusätzliche Funktionen sind über ein Kontextmenü über die rechte Maustaste zugänglich. Dazu gehören das Erstellen von Filterdefinitionen, die Dekodierung und der Export bezogen auf das aktuelle Paket. Der untere Bildschirmbereich ergänzt die Hexadezimal- und ASCII-Darstellung.
Die Detaildarstellung einzelner Pakete bietet zwar eine große Hilfe zur Untersuchung eines Sachverhalts. In der Praxis ergibt sich jedoch ein Gesamtbild häufig erst dann, wenn Sie verschiedene Aspekte in Beziehung zueinander setzen. Wireshark dekodiert nicht nur Pakete, sondern kennt auch eine Vielzahl von Protokollen und zeigt deren Details an. Neben diesen Capture-Filtern verfügt Wireshark über Display-Filter. Damit schränken Sie die Anzeige auf jeweils relevante Daten ein. So ist eine zielgerichtete Suche auch in großen Datenmengen möglich, ohne sich vorab bei der Datenerfassung auf bestimmte Verkehrs- oder Pakettypen festlegen zu müssen. Treten während einer Analyse neue Aspekte auf, können Sie diese durch die gezielte Anwendung von Filtern auf die erfassten Daten anwenden.
Die Aufzeichnung beginnen Sie schließlich mit dem Start-Button und können diese jederzeit unterbrechen und wieder fortsetzen, wobei die während der Unterbrechung eintreffenden Pakete natürlich verloren gehen. Wird keine Datei zum Abspeichern der aufgezeichneten Daten angegeben, werden die Daten temporär zwischengespeichert und können über das Menü "File" gesichert werden.
Der Bildschirm zur Aufzeichnung ist standardmäßig in drei Bereiche unterteilt, wobei Sie Anordnung und Darstellung über das Menü "View" anpassen. Im oberen Bereich sehen Sie alle empfangenen Pakete in fortlaufender Nummerierung, Zeitstempel, Quell- und Zieladresse, Protokoll und Zusatzinformationen. Das über den Zeilencursor ausgewählte Paket wird im darunterliegenden Bereich dekodiert dargestellt. Der Detaillierungsgrad der Anzeige ist einstellbar. Zusätzliche Funktionen sind über ein Kontextmenü über die rechte Maustaste zugänglich. Dazu gehören das Erstellen von Filterdefinitionen, die Dekodierung und der Export bezogen auf das aktuelle Paket. Der untere Bildschirmbereich ergänzt die Hexadezimal- und ASCII-Darstellung.
Die Detaildarstellung einzelner Pakete bietet zwar eine große Hilfe zur Untersuchung eines Sachverhalts. In der Praxis ergibt sich jedoch ein Gesamtbild häufig erst dann, wenn Sie verschiedene Aspekte in Beziehung zueinander setzen. Wireshark dekodiert nicht nur Pakete, sondern kennt auch eine Vielzahl von Protokollen und zeigt deren Details an. Neben diesen Capture-Filtern verfügt Wireshark über Display-Filter. Damit schränken Sie die Anzeige auf jeweils relevante Daten ein. So ist eine zielgerichtete Suche auch in großen Datenmengen möglich, ohne sich vorab bei der Datenerfassung auf bestimmte Verkehrs- oder Pakettypen festlegen zu müssen. Treten während einer Analyse neue Aspekte auf, können Sie diese durch die gezielte Anwendung von Filtern auf die erfassten Daten anwenden.
Seite 1: Funktionsweise und Installation von Wireshark
Seite 2: Im Interface zurechtfinden
Im zweiten Teil der Workshopserie gehen wir nach einem kurzen Blick auf die Performance von Wireshark darauf ein, wie Sie die passenden Daten des Mitschnitts herausfinden und so Netzwerkfehlern auf die Schliche kommen. Im dritten Teil erklären wir die Besonderheiten einer Netzwerksegmentierung mit VLANs und beschreiben, wie Sie auch hier mit Wireshark zu einer Fehleranalyse gelangen. Im vierten Teil dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.
<< Vorherige Seite | Seite 2 von 2 |
dr/ln/Mathias Hein