Lesezeit
2 Minuten
Seite 2 - Einführung in das Monitoring mit Wireshark (2)
Die passenden Daten heraussuchen
So vielfältig wie Filter anwendbar sind, so komplex kann deren Erstellung sein. Wireshark unterstützt Sie jedoch über die Filter-Toolbar. Diese gestattet die direkte Eingabe von Filterausdrücken. Über die Schaltfläche "Expression..." starten Sie einen Filterdialog, der neben Protokollfeldern auch die dazu verfügbaren Relationen (Operatoren) anzeigt, die Sie zu Ausdrücken kombinieren können. Mit der Bestätigung wird der Ausdruck dann in das Filterfeld übertragen und durch "Apply" angewendet.
Funktionen zur Unterstützung bei der Analyse sind unter dem Menüpunkt "Analyze" zusammengefasst. Dazu gehören die Möglichkeiten, Display-Filter zu definieren und diese für die spätere Nutzung zu speichern, Protokolle zu aktivieren und deaktivieren sowie eine Dekodierungen vorzugeben, die von der Standard-Wireshark-Einstellung abweichen soll.
Die "Expert Infos" geben einen Überblick über Protokollabläufe und können im Fehlerfall wichtige Hinweise auf mögliche Ursachen liefern. Diese Zusatzinformationen sind jedoch protokollabhängig. Ein fundiertes Protokollwissen und Erfahrung bei der Analyse können die Expert Infos nicht ersetzen. Unter "Chat" sind unter anderem Informationen zum Workflow, HTTP GET und TCP SYN/ACK/FIN verfügbar. Interessieren Sie sich beispielsweise für den HTTP GET "/image/video1.png", kann das entsprechende Paket direkt aus der Detailansicht der Expert-Infos referenziert und dekodiert angezeigt werden. Eine aufwändige Suche über alle Pakete entfällt somit.
Aus der Paket-Übersicht können Sie bei Bedarf über das Kontextmenü weitere Funktionen wie Markierungsfilter aufrufen. Ein gerade bei Protokollanalysen sehr nützliches Werkzeug ist die Stream-Verfolgung. Ausgehend vom aktuellen Paket, das zu einem Stream gehört, lässt sich der gesamte Kommunikationsstrom anzeigen und nachvollziehen. Der Aufruf von "Follow TCP Stream" über das Kontextmenü öffnet eine bidirektionale Darstellung der Konversation, wobei beide Richtungen farblich unterschieden werden.
Die "Expert Infos" geben einen Überblick über Protokollabläufe und können im Fehlerfall wichtige Hinweise auf mögliche Ursachen liefern. Diese Zusatzinformationen sind jedoch protokollabhängig. Ein fundiertes Protokollwissen und Erfahrung bei der Analyse können die Expert Infos nicht ersetzen. Unter "Chat" sind unter anderem Informationen zum Workflow, HTTP GET und TCP SYN/ACK/FIN verfügbar. Interessieren Sie sich beispielsweise für den HTTP GET "/image/video1.png", kann das entsprechende Paket direkt aus der Detailansicht der Expert-Infos referenziert und dekodiert angezeigt werden. Eine aufwändige Suche über alle Pakete entfällt somit.
Aus der Paket-Übersicht können Sie bei Bedarf über das Kontextmenü weitere Funktionen wie Markierungsfilter aufrufen. Ein gerade bei Protokollanalysen sehr nützliches Werkzeug ist die Stream-Verfolgung. Ausgehend vom aktuellen Paket, das zu einem Stream gehört, lässt sich der gesamte Kommunikationsstrom anzeigen und nachvollziehen. Der Aufruf von "Follow TCP Stream" über das Kontextmenü öffnet eine bidirektionale Darstellung der Konversation, wobei beide Richtungen farblich unterschieden werden.
Möchten Sie die gesamte Kommunikation eines TCP-Streams darstellen, wählen Sie das Paket mit dem gesetzten SYN-Flag aus. Dies lässt sich wiederum leicht über die Expert Infos finden. Neben den Analysefunktionen verfügt Wireshark über umfangreiche Statistikfunktionen im Menü "Statistics". Damit erstellen Sie unter anderem Statistiken über Kommunikationsbeziehungen, Adressen, TCP- und Multicast-Streams und Kommunikationsendpunkte. Mit Flow-Graphen visualisieren Sie zudem Kommunikationsabläufe. Diese lassen sich auf angezeigte (gefilterte) Pakete beschränken.
Netzwerkfehler erkennen
Bei der Netzanalyse bestimmen Sie den Zustand eines Netzwerks anhand der Anzahl der ermittelten TCP-Sendewiederholungen. Dabei sehen Sie sich auf den Servern und Workstations die entsprechenden Statistiken an oder Sie begeben sich mit einem Analysator im Netz auf die Suche nach TCP-Retransmissions. Im Internet steht den Interessierten zwar jede Menge Information über die Funktionsweise des TCP-Protokolls zur Verfügung, aber über die Ursachen von TCP-Retransmissions ist wenig zu finden.
Das TCP-Protokoll garantiert die Übermittlung der gesendeten Daten über das Netzwerk. Der ACK-Mechanismus stellt sicher, dass die Daten beim Empfänger ordnungsgemäß angekommen sind. Erhält der TCP-Sender nicht innerhalb von 2 x RTT (zweimal die Round Trip Time) eine Bestätigung (ACK) durch den Empfänger, werden die scheinbar verlorengegangenen Daten unaufgefordert erneut übermittelt. Darüber hinaus beschleunigen Features wie das Selective ACK (SACK) eine schnelle Neuübertragung diesen Prozess.
Seite 1: Performance von Wireshark verbessern
Seite 2: Die passenden Daten heraussuchen
Im ersten Teil der Serie haben wir uns mit der Funktionsweise und Installation von Wireshark beschäftigt und erklärt, wie Sie sich im Interface zurechtfinden. Im dritten Teil erklären wir die Besonderheiten einer Netzwerksegmentierung mit VLANs und beschreiben, wie Sie auch hier mit Wireshark zu einer Fehleranalyse gelangen. Im vierten Teil dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.
Netzwerkfehler erkennen
Bei der Netzanalyse bestimmen Sie den Zustand eines Netzwerks anhand der Anzahl der ermittelten TCP-Sendewiederholungen. Dabei sehen Sie sich auf den Servern und Workstations die entsprechenden Statistiken an oder Sie begeben sich mit einem Analysator im Netz auf die Suche nach TCP-Retransmissions. Im Internet steht den Interessierten zwar jede Menge Information über die Funktionsweise des TCP-Protokolls zur Verfügung, aber über die Ursachen von TCP-Retransmissions ist wenig zu finden.
Das TCP-Protokoll garantiert die Übermittlung der gesendeten Daten über das Netzwerk. Der ACK-Mechanismus stellt sicher, dass die Daten beim Empfänger ordnungsgemäß angekommen sind. Erhält der TCP-Sender nicht innerhalb von 2 x RTT (zweimal die Round Trip Time) eine Bestätigung (ACK) durch den Empfänger, werden die scheinbar verlorengegangenen Daten unaufgefordert erneut übermittelt. Darüber hinaus beschleunigen Features wie das Selective ACK (SACK) eine schnelle Neuübertragung diesen Prozess.
Seite 1: Performance von Wireshark verbessern
Seite 2: Die passenden Daten heraussuchen
Im ersten Teil der Serie haben wir uns mit der Funktionsweise und Installation von Wireshark beschäftigt und erklärt, wie Sie sich im Interface zurechtfinden. Im dritten Teil erklären wir die Besonderheiten einer Netzwerksegmentierung mit VLANs und beschreiben, wie Sie auch hier mit Wireshark zu einer Fehleranalyse gelangen. Im vierten Teil dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.
<< Vorherige Seite | Seite 2 von 2 |