Fachartikel

Seite 2 - Einführung in das Monitoring mit Wireshark (1)

Zunächst wollen wir Netzwerkdaten mit Hilfe von Wireshark über ein Netzwerkinterface des Windows-Systems erfassen. Dabei fallen die Netzwerkdaten nicht direkt auf dem System selbst an, sondern werden von außen über ein Netzwerkinterface beispielsweise von einem Port Mirror zugeführt. Damit Wireshark sinnvoll nutzbar ist, muss das Programm vor dem Einsatz konfiguriert werden.

Die Konfiguration ist auch für einen Nicht-Fachmann problemlos zu bewältigen. Im Menü "Capture / Options" aktivieren Sie die entsprechende Netzschnittstelle, über die Wireshark den Verkehr mitschneidet. Das Menü "Capture/ Interfaces" zeigt alle vom jeweiligen Rechner unterstützten Netzschnittstellen an. Unter dem Menüpunkt "Edit, Preferences, Capture" legen Sie das Default-Interface fest. Neben der Netzwerkkarte lassen sich in diesem Menüpunkt folgende wichtige Optionen einstellen:

  • Enable Network Name Resolution: Wandelt alle IP-Adressen über DNS in Namen um. Dies dauert unter Umständen ziemlich lange. Daher sollte diese Option deaktiviert werden.
  • Update list of packets in real time: Nur in Kombination mit "Automatic scrolling" verwenden. Wireshark zeigt alle Pakete an, sobald diese aufgezeichnet wurden.
  • Limit each packet to xx bytes: Erlaubt die reine Aufzeichnung der Header und sorgt für die Unterdrückung des meist langen Datenteils.
  • Capture Filter: Ein Filter, der Pakete schon vor der Aufzeichnung qualifiziert. Somit gelangen unerwünschte beziehungsweise unnütze Datenpakete erst gar nicht in den Speicher.
Auswahl des Netzinterfaces
Welche Netzwerkdaten tatsächlich zur Aufzeichnung genutzt werden, hängt zum einen von der Port Mirror-Konfiguration des Switches ab, zum anderen von der Konfiguration des Netzwerkadapters. Im Normalfall liefert der Netzadapter nur Pakete ab, die an das eigene System adressiert sind. Dazu gehören Unicast-, aber auch Broadcast- und Multicast-Pakete.


Bild 1: Die Capture Options bestimmen einige grundlegende Funktionsweisen.

Um alle netzwerkseitig ankommenden Pakete analysieren zu können, muss der Netzwerk-Adapter in den Promiscous Mode versetzt werden. Dazu sind in der Regel Administratorrechte notwendig. Über "Name Resolution" können Sie bei Bedarf außerdem eine Namensauflösung über das lokale System aktivieren, um eine bessere Lesbarkeit der vom System aufgezeichneten MAC-Adressen zu erreichen.

Die Einstellungen unter "Capture File(s)" legen die Speicheroptionen fest. Die Daten können in einer oder mehreren Dateien abgelegt werden, die Sie in ihrer Größe begrenzen können. Ein Ringpuffer begrenzt die Datenmenge. Bei Überschreiten werden die jeweils ältesten Daten überschrieben. "Stop Capture" legt eine Obergrenze fest, bei der die Aufzeichnung gestoppt wird.

Mit Hilfe von "Capture Filter" bestimmen Sie über Filterregeln, welche Daten aufgezeichnet werden sollen. Dies kann bei großem Datenvolumen sinnvoll sein. Zu beachten ist jedoch, dass an dieser Stelle durch Filterregeln verworfene Daten zur späteren Analyse nicht zur Verfügung stehen. Die Schaltfläche "Capture Filter" führt zum entsprechenden Dialog, über den Sie Filter auswählen und Definitionen vornehmen. Die Filter-Syntax ist identisch mit der Syntax  von libpcap.
Im Interface zurechtfinden
Die Aufzeichnung beginnen Sie schließlich mit dem Start-Button und können diese jederzeit unterbrechen und wieder fortsetzen, wobei die während der Unterbrechung eintreffenden Pakete natürlich verloren gehen. Wird keine Datei zum Abspeichern der aufgezeichneten Daten angegeben, werden die Daten temporär zwischengespeichert und können über das Menü "File" gesichert werden.


Bild 2: Die Aufzeichnung läuft und der zugehörige Bildschirm ist in drei Bereiche unterteilt.

Der Bildschirm zur Aufzeichnung ist standardmäßig in drei Bereiche unterteilt, wobei Sie Anordnung und Darstellung über das Menü "View" anpassen. Im oberen Bereich sehen Sie alle empfangenen Pakete in fortlaufender Nummerierung, Zeitstempel, Quell- und Zieladresse, Protokoll und Zusatzinformationen. Das über den Zeilencursor ausgewählte Paket wird im darunterliegenden Bereich dekodiert dargestellt. Der Detaillierungsgrad der Anzeige ist einstellbar. Zusätzliche Funktionen sind über ein Kontextmenü über die rechte Maustaste zugänglich. Dazu gehören das Erstellen von Filterdefinitionen, die Dekodierung und der Export bezogen auf das aktuelle Paket. Der untere Bildschirmbereich ergänzt die Hexadezimal- und ASCII-Darstellung.

Die Detaildarstellung einzelner Pakete bietet zwar eine große Hilfe zur Untersuchung eines Sachverhalts. In der Praxis ergibt sich jedoch ein Gesamtbild häufig erst dann, wenn Sie verschiedene Aspekte in Beziehung zueinander setzen. Wireshark dekodiert nicht nur Pakete, sondern kennt auch eine Vielzahl von Protokollen und zeigt deren Details an. Neben diesen Capture-Filtern verfügt Wireshark über Display-Filter. Damit schränken Sie die Anzeige auf jeweils relevante Daten ein. So ist eine zielgerichtete Suche auch in großen Datenmengen möglich, ohne sich vorab bei der Datenerfassung auf bestimmte Verkehrs- oder Pakettypen festlegen zu müssen. Treten während einer Analyse neue Aspekte auf, können Sie diese durch die gezielte Anwendung von Filtern auf die erfassten Daten anwenden.

Seite 1: Funktionsweise und Installation von Wireshark
Seite 2: Im Interface zurechtfinden


Im zweiten Teil der Workshopserie gehen wir nach einem kurzen Blick auf die Performance von Wireshark darauf ein, wie Sie die passenden Daten des Mitschnitts herausfinden und so Netzwerkfehlern auf die Schliche kommen. Im dritten Teil erklären wir die Besonderheiten einer Netzwerksegmentierung mit VLANs und beschreiben, wie Sie auch hier mit Wireshark zu einer Fehleranalyse gelangen. Im vierten Teil dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.

<< Vorherige Seite Seite 2 von 2
5.03.2018/dr/ln/Mathias Hein

Nachrichten

Paketanalyse mit Wireshark-Funktionen [19.11.2019]

Allegro Packets rollt für seine Analyse- und Monitoring-Software "Allegro Network Multimeter" ein umfassendes Upgrade aus. Highlight der Firmware 2.5 ist laut Hersteller das Feature Webshark, das Funktionen von Wireshark direkt im Browser bereitstellt. [mehr]

Besser im Blick [18.10.2019]

Axis Communications, Anbieter netzwerkbasierter Video-, Audio- und Zutrittskontrolllösungen, kündigt mit der "AXIS Companion version 4" die neueste Version seiner Software zur Verwaltung von Sicherheitssystemen an. Das Produkt bietet einige erweiterte Funktionen, unter anderem lassen sich Warnmeldung direkt an ein mobiles Gerät senden und die Systemverwaltung per Fernzugriff tätigen. [mehr]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen