Fachartikel

Seite 2 - Einführung in das Monitoring mit Wireshark (1)

Zunächst wollen wir Netzwerkdaten mit Hilfe von Wireshark über ein Netzwerkinterface des Windows-Systems erfassen. Dabei fallen die Netzwerkdaten nicht direkt auf dem System selbst an, sondern werden von außen über ein Netzwerkinterface beispielsweise von einem Port Mirror zugeführt. Damit Wireshark sinnvoll nutzbar ist, muss das Programm vor dem Einsatz konfiguriert werden.

Die Konfiguration ist auch für einen Nicht-Fachmann problemlos zu bewältigen. Im Menü "Capture / Options" aktivieren Sie die entsprechende Netzschnittstelle, über die Wireshark den Verkehr mitschneidet. Das Menü "Capture/ Interfaces" zeigt alle vom jeweiligen Rechner unterstützten Netzschnittstellen an. Unter dem Menüpunkt "Edit, Preferences, Capture" legen Sie das Default-Interface fest. Neben der Netzwerkkarte lassen sich in diesem Menüpunkt folgende wichtige Optionen einstellen:

  • Enable Network Name Resolution: Wandelt alle IP-Adressen über DNS in Namen um. Dies dauert unter Umständen ziemlich lange. Daher sollte diese Option deaktiviert werden.
  • Update list of packets in real time: Nur in Kombination mit "Automatic scrolling" verwenden. Wireshark zeigt alle Pakete an, sobald diese aufgezeichnet wurden.
  • Limit each packet to xx bytes: Erlaubt die reine Aufzeichnung der Header und sorgt für die Unterdrückung des meist langen Datenteils.
  • Capture Filter: Ein Filter, der Pakete schon vor der Aufzeichnung qualifiziert. Somit gelangen unerwünschte beziehungsweise unnütze Datenpakete erst gar nicht in den Speicher.
Auswahl des Netzinterfaces
Welche Netzwerkdaten tatsächlich zur Aufzeichnung genutzt werden, hängt zum einen von der Port Mirror-Konfiguration des Switches ab, zum anderen von der Konfiguration des Netzwerkadapters. Im Normalfall liefert der Netzadapter nur Pakete ab, die an das eigene System adressiert sind. Dazu gehören Unicast-, aber auch Broadcast- und Multicast-Pakete.


Bild 1: Die Capture Options bestimmen einige grundlegende Funktionsweisen.

Um alle netzwerkseitig ankommenden Pakete analysieren zu können, muss der Netzwerk-Adapter in den Promiscous Mode versetzt werden. Dazu sind in der Regel Administratorrechte notwendig. Über "Name Resolution" können Sie bei Bedarf außerdem eine Namensauflösung über das lokale System aktivieren, um eine bessere Lesbarkeit der vom System aufgezeichneten MAC-Adressen zu erreichen.

Die Einstellungen unter "Capture File(s)" legen die Speicheroptionen fest. Die Daten können in einer oder mehreren Dateien abgelegt werden, die Sie in ihrer Größe begrenzen können. Ein Ringpuffer begrenzt die Datenmenge. Bei Überschreiten werden die jeweils ältesten Daten überschrieben. "Stop Capture" legt eine Obergrenze fest, bei der die Aufzeichnung gestoppt wird.

Mit Hilfe von "Capture Filter" bestimmen Sie über Filterregeln, welche Daten aufgezeichnet werden sollen. Dies kann bei großem Datenvolumen sinnvoll sein. Zu beachten ist jedoch, dass an dieser Stelle durch Filterregeln verworfene Daten zur späteren Analyse nicht zur Verfügung stehen. Die Schaltfläche "Capture Filter" führt zum entsprechenden Dialog, über den Sie Filter auswählen und Definitionen vornehmen. Die Filter-Syntax ist identisch mit der Syntax  von libpcap.
Im Interface zurechtfinden
Die Aufzeichnung beginnen Sie schließlich mit dem Start-Button und können diese jederzeit unterbrechen und wieder fortsetzen, wobei die während der Unterbrechung eintreffenden Pakete natürlich verloren gehen. Wird keine Datei zum Abspeichern der aufgezeichneten Daten angegeben, werden die Daten temporär zwischengespeichert und können über das Menü "File" gesichert werden.


Bild 2: Die Aufzeichnung läuft und der zugehörige Bildschirm ist in drei Bereiche unterteilt.

Der Bildschirm zur Aufzeichnung ist standardmäßig in drei Bereiche unterteilt, wobei Sie Anordnung und Darstellung über das Menü "View" anpassen. Im oberen Bereich sehen Sie alle empfangenen Pakete in fortlaufender Nummerierung, Zeitstempel, Quell- und Zieladresse, Protokoll und Zusatzinformationen. Das über den Zeilencursor ausgewählte Paket wird im darunterliegenden Bereich dekodiert dargestellt. Der Detaillierungsgrad der Anzeige ist einstellbar. Zusätzliche Funktionen sind über ein Kontextmenü über die rechte Maustaste zugänglich. Dazu gehören das Erstellen von Filterdefinitionen, die Dekodierung und der Export bezogen auf das aktuelle Paket. Der untere Bildschirmbereich ergänzt die Hexadezimal- und ASCII-Darstellung.

Die Detaildarstellung einzelner Pakete bietet zwar eine große Hilfe zur Untersuchung eines Sachverhalts. In der Praxis ergibt sich jedoch ein Gesamtbild häufig erst dann, wenn Sie verschiedene Aspekte in Beziehung zueinander setzen. Wireshark dekodiert nicht nur Pakete, sondern kennt auch eine Vielzahl von Protokollen und zeigt deren Details an. Neben diesen Capture-Filtern verfügt Wireshark über Display-Filter. Damit schränken Sie die Anzeige auf jeweils relevante Daten ein. So ist eine zielgerichtete Suche auch in großen Datenmengen möglich, ohne sich vorab bei der Datenerfassung auf bestimmte Verkehrs- oder Pakettypen festlegen zu müssen. Treten während einer Analyse neue Aspekte auf, können Sie diese durch die gezielte Anwendung von Filtern auf die erfassten Daten anwenden.

Seite 1: Funktionsweise und Installation von Wireshark
Seite 2: Im Interface zurechtfinden


Im zweiten Teil der Workshopserie gehen wir nach einem kurzen Blick auf die Performance von Wireshark darauf ein, wie Sie die passenden Daten des Mitschnitts herausfinden und so Netzwerkfehlern auf die Schliche kommen. Im dritten Teil erklären wir die Besonderheiten einer Netzwerksegmentierung mit VLANs und beschreiben, wie Sie auch hier mit Wireshark zu einer Fehleranalyse gelangen. Im vierten Teil dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.

<< Vorherige Seite Seite 2 von 2
5.03.2018/dr/ln/Mathias Hein

Nachrichten

WAN-Management per Cloud [10.03.2021]

LANCOM verpasst seiner Management Cloud neue Features für SD-WAN und SD-Branch. Als zentrale Management-Instanz stellt die Cloudumgebung nun SD-WAN-Funktionen zur Verfügung, die für Skalierbarkeit und Effizienz der Weitverkehrsnetze mittelständischer und großer Firmen sorgen soll. Im Bereich SD-Branch hält das Update einen neuen WLAN-Hotspot-Dienst bereit, der mit wenigen Mausklicks standortübergreifend ausgerollt wird. [mehr]

Checkmk ab sofort in Version 2.0 erhältlich [9.03.2021]

tribe29 gibt den Startschuss für Version 2.0 von "Checkmk". Das größte Update der Firmengeschichte betrifft die komplett überarbeitete Benutzeroberfläche, bringt aber auch zwei neue Prommierschnittstellen mit. Auch an der Zahl der offiziellen Integrationen will der Anbieter gearbeitet haben – so etwa sollen für Checkmk mittlerweile über 1900 offizielle Monitoring-Plug-ins zur Verfügung stehen. [mehr]

Tipps & Tools

Eventlog-Einsicht inklusive Benachrichtigung [8.05.2021]

Die bestmögliche Einsicht in das eigene Netzwerk ist besonders für kleinere Büros mit geringem IT-Budget keine einfache Aufgabe. Auch wenn beispielsweise Logfile-Monitoring oder Paketanalyse erst der Anfang sind: Mit dem Tool "EventSentry Light" können Administratoren ohne finanziellen Aufwand in die Welt des Netzwerkmonitorings und der System-Health-Überwachung starten. [mehr]

WiFi-Netzwerke im Überblick [16.01.2021]

In größeren Unternehmen müssen Netzwerk-Admins gegebenenfalls mehrere WiFi-Umgebungen einrichten. Nach der Installation der Router ist es wichtig, die Netzwerkkonfiguration zu überprüfen. Hier kann das kostenfreie Tool "WifiInfoView" weiterhelfen, das neben der SSID aller funkenden WLAN-Netze auch die eingesetzte Verschlüsselung sowie Router mitsamt Hersteller anzeigt. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen