Wie man Wireshark verwendet, um den Netzwerkverkehr zu untersuchen

Wireshark ist ein freier und quelloffener Paketanalysator. Es wird für die Fehlersuche im Netzwerk, die Analyse und die Entwicklung von Software und Kommunikationsprotokollen verwendet. Mit Wireshark können Sie sehen, was in Ihrem Netzwerk auf mikroskopischer Ebene passiert, und es ist der De-facto-Standard (und oft auch der De-jure-Standard) in vielen kommerziellen und gemeinnützigen Unternehmen, Regierungsbehörden und Bildungseinrichtungen. Wireshark ist ein plattformübergreifendes Tool, das auf Linux, Microsoft Windows, macOS, BSD, Solaris und anderen Unix-ähnlichen Betriebssystemen läuft.

Inhaltsverzeichnis

Wie installiert man Wireshark unter Linux?

Um Wireshark zu installieren, geben Sie einfach den folgenden Befehl in Ihr Terminal ein – sudo apt-get install Wireshark Wireshark wird dann installiert und kann verwendet werden. Wenn Sie Wireshark als Nicht-Root-Benutzer ausführen (was Sie tun sollten), werden Sie zu diesem Zeitpunkt auf eine Fehlermeldung stoßen, die besagt:
„Mit der aktuellen Konfiguration kann in diesem System keine Schnittstelle für die Erfassung verwendet werden“.

Erstellen Sie eine Wireshark-Gruppe.

sudo groupadd wireshark 

Fügen Sie Ihren Benutzernamen der Wireshark-Gruppe hinzu –

sudo usermod -a -G wireshark USERNAME 

Ändern Sie die Gruppeneigentümerschaft der Datei dumpcap auf Wireshark –

sudo chgrp wireshark /usr/bin/dumpcap 

Ändern Sie den Modus der Datei dumpcap, um die Ausführung durch die Gruppe wireshark zu ermöglichen –

sudo chmod 750 /usr/bin/dumpcap 

Fähigkeiten mit setcap zuweisen –

sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap 

Die Änderung überprüfen –

sudo getcap /usr/bin/dumpcap 

Wofür wird Wireshark verwendet?

Wireshark hat eine ziemlich umfangreiche Anwendung oder Verwendung. Hier sind ein paar Beispiele dafür, wofür Wireshark verwendet wird:

  • Netzwerkadministratoren verwenden es, um Netzwerkprobleme zu beheben
  • Netzwerksicherheitsingenieure verwenden es, um Sicherheitsprobleme zu untersuchen
  • Entwickler verwenden es, um Protokollimplementierungen zu debuggen
  • Andere verwenden es, um die Interna von Netzwerkprotokollen zu erlernen

Funktionen im Überblick

Nachfolgend sind einige der vielen Funktionen von Wireshark aufgeführt:

  • Erfassen Sie Live-Paketdaten von einer Netzwerkschnittstelle.
  • Öffnen von Dateien, die Paketdaten enthalten, die mit tcpdump/WinDump, Wireshark und einer Reihe von anderen Paketerfassungsprogrammen erfasst wurden.
  • Importieren Sie Pakete aus Textdateien, die Hex-Dumps von Paketdaten enthalten.
  • Zeigen Sie Pakete mit sehr detaillierten Protokollinformationen an.
  • Speichern Sie erfasste Paketdaten.
  • Exportieren Sie einige oder alle Pakete in eine Reihe von Erfassungsdateiformaten.
  • Filtern Sie Pakete nach vielen Kriterien.
  • Suchen Sie nach Paketen nach vielen Kriterien.
  • Färben Sie die Paketanzeige basierend auf Filtern.
  • Erstellen Sie verschiedene Statistiken.

Wie verwendet man Wireshark, um Netzwerkpakete unter Linux zu untersuchen?

Erfassen von Paketen

Nach dem Herunterladen und der Installation von Wireshark können Sie es starten und auf den Namen einer Schnittstelle in der Schnittstellenliste klicken, um die Erfassung von Paketen auf dieser Schnittstelle zu starten. Wenn Sie beispielsweise den Datenverkehr im drahtlosen Netzwerk erfassen möchten, klicken Sie auf Ihre drahtlose Schnittstelle. Sie können erweiterte Funktionen konfigurieren, indem Sie auf Erfassungsoptionen klicken.

Sobald Sie auf den Namen der Schnittstelle klicken, werden die Pakete in Echtzeit angezeigt. Wireshark erfasst jedes Paket, das zu oder von Ihrem System gesendet wird. Wenn Sie eine drahtlose Schnittstelle erfassen und in den Erfassungsoptionen den Promiscuous-Modus aktiviert haben, sehen Sie auch die anderen Pakete im Netzwerk.

Farbkodierung

Sie werden wahrscheinlich Pakete sehen, die grün, blau und schwarz markiert sind. Wireshark verwendet Farben, damit Sie die Arten des Datenverkehrs auf einen Blick erkennen können. Grün ist standardmäßig TCP-Verkehr, dunkelblau ist DNS-Verkehr, hellblau ist UDP-Verkehr, und schwarz kennzeichnet TCP-Pakete mit Problemen – sie könnten z. B. in falscher Reihenfolge zugestellt worden sein.

Fazit

Wie ich bereits erwähnt habe, ist Wireshark auf allen Plattformen verfügbar, aber keine dieser anderen Plattformen hat die Funktionsparität von Linux.

Wireshark ist ein extrem leistungsfähiges Tool, und dieses Tutorial kratzt nur an der Oberfläche dessen, was man damit tun kann. Profis verwenden es, um Netzwerkprotokollimplementierungen zu debuggen, Sicherheitsprobleme zu untersuchen und die Interna von Netzwerkprotokollen zu inspizieren. Schauen Sie sich diese offizielle DOKUMENTATION an, um mehr darüber zu erfahren, was Sie mit Wireshark tun können.


LinuxAndUbuntu Hosting wird von massiveGRID

gesponsert

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.