Ist Ihr Netzwerk sicher? So analysieren Sie den Netzwerkverkehr mit Wireshark

Wireshark ist der führende Netzwerkprotokollanalysator, der von Sicherheitsexperten auf der ganzen Welt eingesetzt wird. Sie können damit Anomalien in Computernetzwerken erkennen und die zugrunde liegenden Ursachen ermitteln. In den folgenden Abschnitten wird die Verwendung von Wireshark demonstriert.

Wie funktioniert es? Und wie verwenden Sie Wireshark tatsächlich, um Datenpakete zu erfassen?

Wie funktioniert Wireshark?

Der robuste Funktionsumfang von Wireshark hat es zu einem der besten Tools zur Behebung von Netzwerkproblemen gemacht . Viele Benutzer verwenden Wireshark, einschließlich Netzwerkadministratoren, Sicherheitsprüfern, Malware-Analysten und sogar Angreifern.

Sie können damit eingehende Inspektionen von aktiven oder gespeicherten Netzwerkpaketen durchführen. Wenn Sie Wireshark verwenden, werden Sie von der Menge an Informationen fasziniert sein, die es bieten kann. Zu viele Informationen machen es jedoch oft schwierig, auf dem richtigen Weg zu bleiben.

Glücklicherweise können wir dies durch die erweiterten Filterfunktionen von Wireshark abmildern. Wir werden sie später ausführlich besprechen. Der Workflow besteht aus der Erfassung von Netzwerkpaketen und dem Herausfiltern der erforderlichen Informationen.

Verwendung von Wireshark für die Paketerfassung

Sobald Sie Wireshark starten, werden die mit Ihrem System verbundenen Netzwerkschnittstellen angezeigt. Neben jeder Schnittstelle sollten Sie Kurven bemerken, die die Netzwerkkommunikation darstellen.

Jetzt müssen Sie eine bestimmte Schnittstelle auswählen, bevor Sie mit der Erfassung von Paketen beginnen können. Wählen Sie dazu den Schnittstellennamen und klicken Sie auf das Symbol der blauen Haifischflosse . Sie können dies auch tun, indem Sie auf den Namen der Schnittstelle doppelklicken.

Wireshark beginnt mit der Erfassung der eingehenden und ausgehenden Pakete für die ausgewählte Schnittstelle. Klicken Sie auf das rote Pausensymbol , um die Aufnahme anzuhalten. Sie sollten eine Liste der Netzwerkpakete sehen, die während dieses Vorgangs aufgenommen wurden.

Wireshark zeigt die Quelle und das Ziel für jedes Paket neben dem Protokoll an. Meistens interessieren Sie sich jedoch für den Inhalt des Informationsfeldes.

Sie können einzelne Pakete überprüfen, indem Sie darauf klicken. Auf diese Weise können Sie die gesamten Paketdaten anzeigen.

So speichern Sie erfasste Pakete in Wireshark

Da Wireshark viel Verkehr erfasst, möchten Sie ihn manchmal für eine spätere Überprüfung speichern. Glücklicherweise ist das Speichern erfasster Pakete mit Wireshark mühelos.

Beenden Sie die aktive Sitzung, um Pakete zu speichern. Klicken Sie dann auf das Dateisymbol im oberen Menü. Sie können dazu auch Strg + S verwenden.

Wireshark kann Pakete in verschiedenen Formaten speichern, einschließlich pcapng, pcap und dmp. Sie können erfasste Pakete auch in einem Format speichern, das andere Netzwerkanalysetools später verwenden können.

So analysieren Sie erfasste Pakete

Sie können zuvor erfasste Pakete analysieren, indem Sie die Erfassungsdatei öffnen. Klicken Sie im Hauptfenster auf Datei> Öffnen und wählen Sie die entsprechende gespeicherte Datei aus.

Sie können auch Strg + O verwenden , um dies schnell zu erledigen. Wenn Sie die Pakete analysiert haben, beenden Sie das Inspektionsfenster, indem Sie auf Datei> Schließen klicken .

Verwendung von Wireshark-Filtern

Wireshark bietet eine Vielzahl robuster Filterfunktionen. Es gibt zwei Arten von Filtern: Anzeigefilter und Erfassungsfilter.

Verwenden von Wireshark-Anzeigefiltern

Anzeigefilter werden zum Anzeigen bestimmter Pakete aus allen erfassten Paketen verwendet. Beispielsweise können wir den Anzeigefilter icmp verwenden , um alle ICMP-Datenpakete anzuzeigen.

Sie können aus einer Vielzahl von Filtern auswählen. Darüber hinaus können Sie auch benutzerdefinierte Filterregeln für einfache Aufgaben definieren. Um personalisierte Filter hinzuzufügen, gehen Sie zu Analysieren> Filter anzeigen . Klicken Sie auf das Symbol + , um einen neuen Filter hinzuzufügen.

Verwenden von Wireshark Capture-Filtern

Erfassungsfilter werden verwendet, um anzugeben, welche Pakete während einer Wireshark-Sitzung erfasst werden sollen. Es werden deutlich weniger Pakete erzeugt als bei Standardaufnahmen. Sie können sie in Situationen verwenden, in denen Sie bestimmte Informationen zu bestimmten Paketen benötigen.

Geben Sie Ihren Erfassungsfilter in das Feld direkt über der Schnittstellenliste im Hauptfenster ein. Wählen Sie den Schnittstellennamen aus der Liste aus und geben Sie den Filternamen in das obige Feld ein.

Klicken Sie auf das Symbol der blauen Haifischflosse , um mit der Erfassung von Paketen zu beginnen. Im folgenden Beispiel wird der Arp- Filter verwendet, um nur ARP-Transaktionen zu erfassen.

Verwenden von Wireshark-Farbregeln

Wireshark bietet verschiedene Farbregeln, die zuvor als Farbfilter bezeichnet wurden. Dies ist eine großartige Funktion bei der Analyse des umfangreichen Netzwerkverkehrs. Sie können sie auch nach Ihren Wünschen anpassen.

Um die aktuellen Farbregeln anzuzeigen, gehen Sie zu Ansicht> Farbregeln. Hier finden Sie die Standardfarbregeln für Ihre Installation.

Sie können sie beliebig ändern. Außerdem können Sie die Farbregeln anderer Personen verwenden, indem Sie die Konfigurationsdatei importieren.

Laden Sie die Datei mit den benutzerdefinierten Regeln herunter und importieren Sie sie, indem Sie Ansicht> Farbregeln> Importieren auswählen. Sie können Regeln auf ähnliche Weise exportieren.

Wireshark in Aktion

Bisher haben wir einige der Kernfunktionen von Wireshark erörtert. Lassen Sie uns einige praktische Operationen durchführen, um zu demonstrieren, wie sich diese integrieren.

Für diese Demonstration haben wir einen einfachen Go-Server erstellt. Für jede Anforderung wird eine einfache Textnachricht zurückgegeben. Sobald der Server ausgeführt wird, stellen wir einige HTTP-Anforderungen und erfassen den Live-Verkehr. Beachten Sie, dass wir den Server auf dem lokalen Host ausführen.

Zunächst initiieren wir die Paketerfassung durch Doppelklick auf die Loopback-Schnittstelle (localhost). Der nächste Schritt besteht darin, unseren lokalen Server zu starten und eine GET-Anfrage zu senden. Wir verwenden dazu Curl.

Wireshark erfasst während dieses Gesprächs alle eingehenden und ausgehenden Pakete. Wir möchten die von unserem Server gesendeten Daten anzeigen, daher verwenden wir den Anzeigefilter http.response zum Anzeigen der Antwortpakete.

Jetzt versteckt Wireshark alle anderen erfassten Pakete und zeigt nur die Antwortpakete an. Wenn Sie sich die Paketdetails genau ansehen, sollten Sie die von unserem Server gesendeten Klartextdaten beachten.

Nützliche Wireshark-Befehle

Sie können auch verschiedene Wireshark-Befehle verwenden, um die Software von Ihrem Linux-Terminal aus zu steuern. Hier sind einige grundlegende Wireshark-Befehle:

• wireshark startet Wireshark im grafischen Modus.
• wireshark -h zeigt die verfügbaren Befehlszeilenoptionen an.
• wireshark -i INTERFACE wählt INTERFACE als Erfassungsschnittstelle aus.

Tshark ist die Befehlszeilenalternative für Wireshark. Es unterstützt alle wesentlichen Funktionen und ist äußerst effizient.

Analysieren Sie die Netzwerksicherheit mit Wireshark

Der umfangreiche Funktionsumfang und die erweiterten Filterregeln von Wireshark machen die Paketanalyse produktiv und unkompliziert. Sie können damit alle Arten von Informationen über Ihr Netzwerk finden. Probieren Sie die grundlegendsten Funktionen aus, um zu erfahren, wie Sie Wireshark für die Paketanalyse verwenden.

Wireshark kann auf Geräten unter Windows, MacOS und Linux heruntergeladen werden.