Fachartikel

Seite 2 - Einführung in das Monitoring mit Wireshark (2)

Die passenden Daten heraussuchen
So vielfältig wie Filter anwendbar sind, so komplex kann deren Erstellung sein. Wireshark unterstützt Sie jedoch über die Filter-Toolbar. Diese gestattet die direkte Eingabe von Filterausdrücken. Über die Schaltfläche "Expression..." starten Sie einen Filterdialog, der neben Protokollfeldern auch die dazu verfügbaren Relationen (Operatoren) anzeigt, die Sie zu Ausdrücken kombinieren können. Mit der Bestätigung wird der Ausdruck dann in das Filterfeld übertragen und durch "Apply" angewendet.

Funktionen zur Unterstützung bei der Analyse sind unter dem Menüpunkt "Analyze" zusammengefasst. Dazu gehören die Möglichkeiten, Display-Filter zu definieren und diese für die spätere Nutzung zu speichern, Protokolle zu aktivieren und deaktivieren sowie eine Dekodierungen vorzugeben, die von der Standard-Wireshark-Einstellung abweichen soll.

Die "Expert Infos" geben einen Überblick über Protokollabläufe und können im Fehlerfall wichtige Hinweise auf mögliche Ursachen liefern. Diese Zusatzinformationen sind jedoch protokollabhängig. Ein fundiertes Protokollwissen und Erfahrung bei der Analyse können die Expert Infos nicht ersetzen. Unter "Chat" sind unter anderem Informationen zum Workflow, HTTP GET und TCP SYN/ACK/FIN verfügbar. Interessieren Sie sich beispielsweise für den HTTP GET "/image/video1.png", kann das entsprechende Paket direkt aus der Detailansicht der Expert-Infos referenziert und dekodiert angezeigt werden. Eine aufwändige Suche über alle Pakete entfällt somit.


Bild 3: Das Festlegen der Filter Expressions ermöglicht es Ihnen, zielgerichtet nach Informationen
in den aufgezeichneten Datenströmen zu suchen.


Aus der Paket-Übersicht können Sie bei Bedarf über das Kontextmenü weitere Funktionen wie Markierungsfilter aufrufen. Ein gerade bei Protokollanalysen sehr nützliches Werkzeug ist die Stream-Verfolgung. Ausgehend vom aktuellen Paket, das zu einem Stream gehört, lässt sich der gesamte Kommunikationsstrom anzeigen und nachvollziehen. Der Aufruf von "Follow TCP Stream" über das Kontextmenü öffnet eine bidirektionale Darstellung der Konversation, wobei beide Richtungen farblich unterschieden werden.
Möchten Sie die gesamte Kommunikation eines TCP-Streams darstellen, wählen Sie das Paket mit dem gesetzten SYN-Flag aus. Dies lässt sich wiederum leicht über die Expert Infos finden. Neben den Analysefunktionen verfügt Wireshark über umfangreiche Statistikfunktionen im Menü "Statistics". Damit erstellen Sie unter anderem Statistiken über Kommunikationsbeziehungen, Adressen, TCP- und Multicast-Streams und Kommunikationsendpunkte. Mit Flow-Graphen visualisieren Sie zudem Kommunikationsabläufe. Diese lassen sich auf angezeigte (gefilterte) Pakete beschränken.


Bild 4: Die Funktion "Follow TCP Stream" ermöglicht es, den Datenverkehr aus einzelnen Paketen
gemäß dem zugrundeliegenden Protokoll zusammenzusetzen.


Netzwerkfehler erkennen
Bei der Netzanalyse bestimmen Sie den Zustand eines Netzwerks anhand der Anzahl der ermittelten TCP-Sendewiederholungen. Dabei sehen Sie sich auf den Servern und Workstations die entsprechenden Statistiken an oder Sie begeben sich mit einem Analysator im Netz auf die Suche nach TCP-Retransmissions. Im Internet steht den Interessierten zwar jede Menge Information über die Funktionsweise des TCP-Protokolls zur Verfügung, aber über die Ursachen von TCP-Retransmissions ist wenig zu finden.

Das TCP-Protokoll garantiert die Übermittlung der gesendeten Daten über das Netzwerk. Der ACK-Mechanismus stellt sicher, dass die Daten beim Empfänger ordnungsgemäß angekommen sind. Erhält der TCP-Sender nicht innerhalb von 2 x RTT (zweimal die Round Trip Time) eine Bestätigung (ACK) durch den Empfänger, werden die scheinbar verlorengegangenen Daten unaufgefordert erneut übermittelt. Darüber hinaus beschleunigen Features wie das Selective ACK (SACK) eine schnelle Neuübertragung diesen Prozess.

Seite 1: Performance von Wireshark verbessern
Seite 2: Die passenden Daten heraussuchen

Im ersten Teil der Serie haben wir uns mit der Funktionsweise und Installation von Wireshark beschäftigt und erklärt, wie Sie sich im Interface zurechtfinden.
Im dritten Teil erklären wir die Besonderheiten einer Netzwerksegmentierung mit VLANs und beschreiben, wie Sie auch hier mit Wireshark zu einer Fehleranalyse gelangen. Im vierten Teil dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.

<< Vorherige Seite Seite 2 von 2
9.04.2018/dr/ln/Mathias Hein

Nachrichten

Paketanalyse mit Wireshark-Funktionen [19.11.2019]

Allegro Packets rollt für seine Analyse- und Monitoring-Software "Allegro Network Multimeter" ein umfassendes Upgrade aus. Highlight der Firmware 2.5 ist laut Hersteller das Feature Webshark, das Funktionen von Wireshark direkt im Browser bereitstellt. [mehr]

Besser im Blick [18.10.2019]

Axis Communications, Anbieter netzwerkbasierter Video-, Audio- und Zutrittskontrolllösungen, kündigt mit der "AXIS Companion version 4" die neueste Version seiner Software zur Verwaltung von Sicherheitssystemen an. Das Produkt bietet einige erweiterte Funktionen, unter anderem lassen sich Warnmeldung direkt an ein mobiles Gerät senden und die Systemverwaltung per Fernzugriff tätigen. [mehr]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen