Verbesserung der Performance
Es gibt zwei Bereiche in denen sich die Wireshark-Performance bemerkbar macht: Bei der Analyse großer Capture-Dateien und bei Paketverlusten während der Paketaufnahme. Soll eine große Capture-Datei (beispielsweise größer 100 MByte) analysiert werden, kann Wireshark beim Laden, Filtern und der Ausführung bestimmter Aktionen sehr langsam werden. Um dies zu verhindern, bietet sich eine Reihe von Maßnahmen an, die jedoch zu Lasten des Komforts bei der Dekodierung gehen:

• Deaktivieren der Coloring Rules: Dies steigert die Leistung deutlich. Gehen Sie hierfür zu "View / Colorize Packet List". Alle Coloring Rules können Sie hier löschen beziehungsweise das Coloring Rules-File umbenennen.
• Deaktivieren der Netzwerk-Layer DNSLookups (Hostname) unter "View / Name Resolution" kann unter Umständen die Performance verbessern.
• Unter macOS beschleunigt die Deaktivierung der Transport Layer Lookups unter "View / Name Resolution" den Ablauf.
• Auch das Deaktivieren einiger Voreinstellungen (Präferenzen) kann den Speicherverbrauch deutlich reduzieren. Dabei ist jedoch darauf zu achten, dass einige diese Funktionen zur richtigen Erkennung der Pakete erforderlich sind, denn diese Pakete können vom System falsch interpretiert und daher nicht aufgezeichnet werden.
• Mehr verfügbarer Arbeitsspeicher und eine schnellere CPU tragen außerdem zur Verbesserung der Performance von Wireshark bei.

Paketverluste beim Capture
Nachdem ein Capture-Prozess abgeschlossen ist, sollen die aufgezeichneten Daten angezeigt werden. Doch kann der Zähler in der Statusanzeige ergeben, dass bei diesem Prozess bestimmte Pakete verloren gingen. Was ist passiert? Nicht alle über das Netzwerk übermittelten Pakete konnten in der Capture-Datei gespeichert werden. Ursache: Der PC arbeitet zu langsam, um die ankommenden Paket ordnungsgemäß entgegenzunehmen. Aus diesem Grund wurden einige Pakete verworfen. Wireshark ist nicht für alle Betriebssysteme auf Geschwindigkeit optimiert. Daher sollten Sie nur solche Wireshark-Pakete installieren, die für das genutzte Betriebssystem freigegeben sind. In allen anderen Fällen sollten Sie zur Paketaufzeichnung ein anderes Packet-Capture-Programm (beispielsweise tcpdump oder WinDump) nutzen. Alle anderen auf dem Computer aktiven Programme sollten angehalten werden, um die Systemlast zu verringern. Hilft auch das nichts, bleibt nur die Beschaffung einer leistungsstärkeren Maschine.

Zur Reduzierung der Systemlast verzichten Sie auf die Funktion "Update list of packets in real time". Ein Erhöhen der Puffergröße unter Capture-Optionen kann unter Umständen ebenfalls helfen, abhängig vom Betriebssystem und der libpcap-Version. Auch die Einstellung der maximalen Paketgröße (MTU + 18) kann je nach Betriebssystem und libpcap-Version Wirkung zeigen. Die "read filters" sollten Sie nicht ohne die Option "-R" verwenden, da diese viel Verarbeitungszeit und viel Speicher benötigen.

Sollten Sie nicht an allen Paketen interessiert sein, kann ein Capture-Filter, der nur bestimmte Pakete selektiert, von Interesse sein und die Gesamtverarbeitungszeit reduzieren. Dabei verwirft der Capture-Filter alle uninteressanten Pakete und legt nur die interessanten Pakete in der Capture-Datei ab. Doch beanspruchen die "capture filters" auch viel Verarbeitungszeit. Das TMP-Verzeichnis schließlich verlagern Sie am besten auf eine RAM-Disk. Falls diese Tipps nicht helfen, muss möglicherweise das Gerät aufgerüstet werden. Die Größe des Speichers ist übrigens nicht wirklich entscheidend für die Capture-Funktion.

Keine hochpräzisen Zeitstempel
Wireshark erhält seine Zeitstempel von libpcap/WinPcap, die wiederum den Zeitstempel vom genutzten Paketaufzeichnungsmechanismus beziehen. Wireshark selbst erzeugen somit keine Zeitstempel. Die Funktion der Zeitstempel hängt vom jeweiligen Betriebssystem ab. Bei einigen UNIX-Varianten finden Sie den betreffenden Code im Netzwerktreiber, bei anderen UNIX-Varianten befindet sich dieser in höheren Schichten. Nutzt Windows das WinPcap-System, dann erzeugt der WinPcap-Treiber die Zeitstempel.

Bedenken Sie, dass es sich bei den Zeitstempeln in den Paketen um keine hochgenaue Angabe darüber handelt, wann das erste und das letzte Bit eines Pakets vom Netzwerkadapter empfangen wurde. Es entsteht automatisch eine Verzögerung zwischen der Ankunft des letzten Bit eines Pakets und dem Interrupt für das Paket und eine Verzögerung zwischen dem Beginn des Interrupt-Prozesses und dem Zeitpunkt, der als Zeitmarke im Paket verzeichnet wird. Die Auflösung des Zeitstempels hängt deshalb vom jeweiligen Taktgeber ab.

Seite 1: Performance von Wireshark verbessern
Seite 2: Die passenden Daten heraussuchen

dr/ln/Mathias Hein