Fachartikel

Einführung in das Monitoring mit Wireshark (1)

Das Monitoring inklusive der notwendigen Detailanalyse des Datenverkehrs im Netzwerk ist ohne ein leistungsfähiges Analysesystem unmöglich. Eines der wichtigsten Netzwerktools für jeden Administrator ist Wireshark – ein Open Source-Netzwerkanalysator, mit dem Sie alle Pakete im Netzwerk aufzeichnen und die Paketinhalte detailliert analysieren. Im ersten Teil der Serie beschäftigen wir uns mit der Funktionsweise und Installation von Wireshark und erklären, wie Sie sich im Interface zurechtfinden.
Wireshark gehört bei der Analyse von Netzwerkverkehr zu den unabdingbaren Standardwerkzeugen.
Ein Sniffer wie Wireshark ist eine Software, die den Datenverkehr eines Netzwerks überprüft und hierfür die Kommunikationsströme empfängt, aufzeichnet, darstellt und auswertet. Dabei steht das Sammeln, Speichern und Analysieren von Datenpaketen im Vordergrund. Zur Aufzeichnung des Datenverkehrs ist eine leistungsfähige Netzwerkkarte in Kombination mit einer entsprechenden Aufzeichnungs- und Analyse-Software notwendig. Dabei kennen Sniffer den Non-Promiscuous Mode und den Promiscuous Mode. Im Non-Promiscuous Mode wird der ankommende und abgehende Datenverkehr des eigenen Computers mitgesnifft. Im Promiscuous Mode sammelt das Tool den gesamten Datenverkehr an der in diesem Modus geschalteten Netzwerkschnittstelle. Es werden also nicht nur die an den eigenen Computer adressierten Datenpakete empfangen, sondern auch die nicht an ihn adressierten.

Wireshark ist ein solcher Sniffer und zeigt Ihnen alle Daten aus dem Netzwerk auf. Beim Start der Software sollten Sie sich nicht durch die Vielfalt der Informationen einschüchtern lassen. Der Analysator ist extrem leistungsstark und bietet zahlreiche Optionen. Es gibt allerdings ein paar Grundlagen, die Sie kennen sollten, bevor Sie mit dem Monitoring und der richtigen Netzanalyse beginnen.

Funktionsweise von Wireshark
Wireshark ist Open-Source-Software und unterliegt der GNU General Public License (GPL). Über die Website [1] stehen neben dem Source Code auch Installationspakete für Windows und macOS zum Download bereit. Die entsprechenden Pakete für Linux werden von den Herstellern der Distributionen bereitgestellt und über die vorhandenen Paketmanager installiert.

Wireshark setzt auf libpcap auf und kann so deren vollen Funktionsumfang nutzen. pcap (packet capture) ist eine Programmierschnittstelle zum Mitschneiden des Netzwerkverkehrs. Programme zur Netzwerkanalyse, die eine Sniffer-Funktion enthalten, greifen auf diese Schnittstelle zurück, um Pakete direkt am Netzwerkinterface abzugreifen. Die Bibliothek unterstützt außerdem eine Auflistung aller verfügbaren Netzwerkschnittstellen und die Möglichkeit, mitgehörte Pakete in einer Datei zu speichern. Die so gesammelten Daten können dann mithilfe entsprechender Tools ausgewertet werden. Eine abgespeicherte Datei kann sowohl von libpcap als auch von WinPcap-Programmen interpretiert werden.
WinPcap ist eine Programmbibliothek, bestehend aus einem Treiber, der Hardware-nahen Zugriff auf den Netzwerkadapter ermöglicht, und einer Sammlung von Programmen, die den Zugriff auf die einzelnen Schichten der Netzwerke ermöglicht. Die Programmbibliothek basiert auf der von Unix her bekannten Bibliothek libpcap, die die pcap-Schnittstelle implementiert. Die über das Netzwerk transportierten Pakete werden durch die WinPcap-Module unter Umgehung des Protokollstacks entgegengenommen und weitergeleitet. Somit können Sie Statistiken über die Netzwerkauslastung, die verschiedenen Paketarten und deren Inhalte protokollieren und analysieren.

Installation und Konfiguration
Nach dem Start des Installationsprogramms und dem Bestätigen der Lizenzbedingungen folgt die Auswahl der Komponenten, wobei es sich empfiehlt, alle angebotenen Bestandteile zu installieren. Damit landet WinPcap ebenfalls auf Ihrem Rechner. Der Installer erkennt eine bereits installierte WinPcap-Version und bietet gegebenenfalls an, diese durch die aktuelle Version zu ersetzen. Eine vorhandene Version, die nicht vom Installer erkannt wird, müssen Sie manuell deinstallieren. Die übrigen Schritte sind selbsterklärend. Nach erfolgter Installation kann Wireshark direkt gestartet werden.

Vor der Analyse steht zunächst die Datenerfassung und damit Frage, welcher Datenverkehr mit welchem Ziel, wie und mit welchem Verfahren erfasst werden soll: Wie hoch ist das zu erwartende Datenvolumen? Wie hoch ist der Datendurchsatz? Sind ausreichend Systemressourcen vorhanden, um den Anforderungen gerecht zu werden? Diese Fragen müssen Sie vorab klären, damit alle relevanten Netzwerkdaten tatsächlich erfasst werden können. Ebenfalls ist darauf zu achten, dass die Daten nicht durch das Sniffer-System selbst beeinflusst und verfälscht werden.

Seite 1: Funktionsweise und Installation von Wireshark
Seite 2: Im Interface zurechtfinden


Seite 1 von 2 Nächste Seite >>
2.04.2018/dr/ln/Mathias Hein

Nachrichten

Mehr Speed beim Virtualisieren unter macOS [11.08.2020]

Parallels stellt Version 16 von Parallels Desktop für Mac vor. Dabei hat der Anbieter das Design überarbeitet und den neuen macOS Big Sur angepasst. Außerdem soll es eine bessere Grafikleistung sowie eine Vielzahl neuer integrierter Funktionen bieten, etwa die laut Parallels weltweit erstmalige Unterstützung von Metal-Programmen mit 3D-Funktionen, die in einer virtuellen macOS-Big-Sur-Maschine laufen. Zudem verspricht der Hersteller Leistungsverbesserungen wie einen doppelt so schnellen Start, ein um bis zu 20 Prozent schnelleres Fortsetzen und Herunterfahren von Windows sowie schnelleres DirectX. [mehr]

Netzwerkfehler schnell auffinden [22.06.2020]

Allegro Packets erweitert seine Produktfamilie der Network Multimeter für die Fehlersuche und Netzwerkanalyse mit den Modellen "1330", "3300" und "5300". Die x300-Serie verspricht hohe Leistung, die beim Allegro 5300 eine Analyserate von bis zu 100 GBit/s ermöglichen sollen. [mehr]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen