Hoe gebruikt u Wireshark voor netwerkbewaking?

  • Wat is Wireshark?
  • Wat zijn de belangrijkste kenmerken van Wireshark?
  • Hoe installeert of downloadt u Wireshark?
  • Hoe legt u gegevenspakketten vast en analyseert u ze met Wireshark?
  • Hoe analyseert u de vastgelegde netwerkpakketten?
  • Hoe helpt Wireshark bij het bewaken van de netwerkprestaties?
  • Wat is de rol van filters in Wireshark?
  • Hoe kleurcodering te gebruiken in Wireshark?
  • Hoe netwerkstatistieken te bekijken in Wireshark?
  • Hoe netwerkpakketten te visualiseren met IO-grafieken?
  • Hoe de mogelijkheden van Wireshark uit te breiden?

Met een toename in de vraag naar toegankelijke diensten en toepassingen, is een goed netwerk belangrijker geworden dan ooit tevoren. Problemen zoals pakketverlies, latency, netwerk downtime, frequente fouten en jitters kunnen de algehele gebruikerservaring belemmeren. Netwerkmonitoring is een cruciale en fundamentele vereiste geworden voor kleine, middelgrote en grote ondernemingen. Het wordt beschouwd als de eerste verdedigingslinie wanneer de prestaties van de netwerkserver beginnen te verslechteren. Netwerk monitoring tools helpen teams om de beschikbaarheid van netwerkapparatuur te beoordelen, de algehele gezondheid van het netwerk te controleren, en problemen met de prestaties op te lossen, zoals bandbreedte verbruik/gebruik en netwerk downtime.

Aangezien de markt wordt overspoeld met een grote verscheidenheid aan netwerk monitoring tools, wordt het een uitdaging om een beslissing te nemen over het kiezen van een betrouwbare monitoring oplossing. Verschillende netwerkbewakingstools bieden verschillende niveaus van prestaties en integratiemogelijkheden. Sommige bieden een volledig geïntegreerde architectuur, terwijl andere meerdere componenten bevatten zoals databases, polling engines, management consoles, en meer. Het kan verwarrend zijn voor netwerkbeheerders om de beste oplossing te kiezen met betrouwbare en effectieve bewakingsfuncties. Daarom moeten organisaties, voordat ze een keuze maken, de volgende vragen aan de beheerders stellen.

  • Welke apparaten moeten worden bewaakt?
  • Is het nodig om het gehele netwerk van de organisatie of meerdere netwerken te bewaken?
  • Hoe integreert de tool voor netwerkbewaking zich in het bestaande systeem?
  • Welke kernfuncties moet een tool hebben?

Er moet grondig onderzoek worden gedaan om te bepalen welke tool op de lange termijn de meest gunstige functies voor de organisatie biedt. Dit bericht behandelt een van de meest betrouwbare netwerkanalysers die op de markt verkrijgbaar zijn, bekend als Wireshark. Laten we eens kijken naar wat Wireshark is, hoe het helpt bij het opsporen van beveiligingsproblemen, het oplossen van netwerkfouten, het debuggen van protocollen, en hoe de mogelijkheden van Wireshark kunnen worden uitgebreid voor geavanceerde netwerkbewaking.

Wat is Wireshark?

Wireshark staat bekend als ’s werelds toonaangevende netwerkverkeeranalysator. Het is het beste hulpmiddel voor systeembeheerders en IT-professionals voor het oplossen van netwerkfouten in real time. Wireshark detecteert snel netwerkproblemen zoals latentie, verdachte activiteit en dropped packets. Het kan dieper ingaan op het verkeer en de hoofdoorzaak van een probleem achterhalen. Meestal gebruiken netwerkbeheerders Wireshark om latentieproblemen op te lossen die worden veroorzaakt door apparatuur die wordt gebruikt om verkeer over de hele wereld te routeren en om pogingen tot exfiltratie van gegevens tegen de bedrijfsactiviteiten te controleren. Wireshark is een krachtig maar gratis gereedschap dat een uitgebreide kennis van de basisbeginselen van netwerken vereist. Om het gereedschap optimaal te kunnen gebruiken, moeten beheerders een gedegen kennis hebben van protocollen zoals TCP/IP en DHCP.

Hoe werkt het?

Wireshark is een populair open-source hulpmiddel om netwerkpakketten vast te leggen en ze om te zetten in een voor mensen leesbaar binair formaat. Het biedt elk detail van de netwerkinfrastructuur van de organisatie. Het bestaat uit apparaten die zijn ontworpen om het reilen en zeilen van het netwerk te helpen meten. De informatie die via Wireshark wordt verzameld, kan voor verschillende doeleinden worden gebruikt, zoals realtime of offline netwerkanalyse, identificatie van het verkeer dat uw netwerk binnenkomt, de frequentie ervan en de latentie tussen specifieke hops. Dit helpt netwerkbeheerders statistieken te genereren op basis van real-time gegevens.

Naast netwerkmonitoring gebruiken organisaties Wireshark voor het debuggen van programma’s, het onderzoeken van beveiligingsproblemen, en het leren van netwerkprotocol internals. Wireshark is ontworpen om efficiënt pakket-gerelateerde functies uit te voeren en de netwerk metrieken te analyseren en weer te geven via de management console.

  • Pakketinformatie weergeven in de vorm van grafieken, diagrammen en meer
  • Pakketgegevens vastleggen, exporteren, zoeken, opslaan, en importeer live datapakketten
  • Bouw rapporten op basis van real-time statistische gegevens
  • Filter pakketten op basis van prioriteit

Wireshark biedt ook een geweldige gebruikersinterface omdat het gemakkelijk te gebruiken is zodra de teams vertrouwd raken met de basisprincipes van het vastleggen van pakketten.

Wat zijn de belangrijkste functies van Wireshark?

Wireshark bestaat uit een rijke verzameling functies, waaronder de volgende:

  • Live capture en offline analyse
  • Rijke VoIP-analyse
  • Lezen/schrijven van veel verschillende bestandsformaten
  • Opnemen van gecomprimeerde bestanden (gzip) en deze direct decomprimeren
  • Diepgaande inspectie van honderden protocollen
  • Standaard drie-voudige packet browser
  • Standaard drie-voudige packet browser
  • pane packet browser
  • Gevangen netwerkpakketten kunnen worden doorzocht via een GUI of TShark utility
  • Multi-platform gemakkelijk uitgevoerd op Linux, Windows, OS X, en FreeBSD
  • Krachtige weergave filters
  • Uitvoer kan worden geëxporteerd naar XML, CSV, PostScript, of als platte tekst
  • Packet lijst kan gebruik maken van kleuring regels voor snelle en intuïtieve analyse

Hoe Wireshark te installeren of te downloaden?

Om Wireshark te gebruiken, is het eerste wat gebruikers moeten doen het downloaden en installeren van Wireshark op het systeem. Zorg ervoor dat u de nieuwste versie van de tool rechtstreeks van de website van het bedrijf downloadt voor een betere gebruikservaring. Hieronder staan een paar stappen waarmee Wireshark gemakkelijk kan worden gedownload en geïnstalleerd.

  1. Installeren op Mac

    Om Wireshark met succes op de Mac te installeren, moeten gebruikers een installatieprogramma zoals xquartz downloaden. Zodra het installatieprogramma is gedownload, opent u de Terminal en voert u het volgende commando in:
    <% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>
    Wacht tot Wireshark start.

  2. Installeren op Windows

    Om Wireshark op Windows uit te voeren, gaat u naar de website van het bedrijf (Wireshark) en downloadt u het programma. Zodra het klaar is, start u het installatieproces. Installeer ook WinPcap wanneer dat wordt gevraagd tijdens het installatieproces. WInPcap is belangrijk om te installeren omdat het helpt bij het vastleggen van live netwerkverkeer, en zonder dit kunnen gebruikers alleen de reeds opgeslagen vastleggingsbestanden openen. Om WinPcap te installeren, selecteert u het vakje WinPcap installeren.

  3. Installeren op Unix

    Installatie van Wireshark op Unix houdt het downloaden in van een paar gereedschappen zoals Glib, GTK+, en libcap. Zowel Glib als GTK+ kunnen vanuit dezelfde toolkit worden geïnstalleerd. Zodra al deze drie ondersteunende hulpprogramma’s samen met Wireshark zijn gedownload, kan Wireshark uit het tar-bestand worden gehaald.
    gzip -d wireshark-1.2-tar.gz
    tar xvf wireshark-1.2-tar
    Verander het tar-bestand naar de Wireshark-directory en voer de volgende opdrachten in:
    ./configure
    make
    make install

    Start Wireshark op het Unix-systeem.

Hoe legt u gegevenspakketten vast en analyseert u ze met Wireshark?

Een van de belangrijkste functies van Wireshark is het vastleggen van gegevenspakketten voor het uitvoeren van gedetailleerde netwerkanalyses. Het kan echter lastig zijn voor beginners die niet bekend zijn met de betrokken stappen. Er zijn drie belangrijke stappen:

  • Toegang krijgen tot administratieve privileges om te beginnen met het direct vastleggen van real-time gegevens
  • Kies de juiste netwerkinterface om pakketgegevens vast te leggen
  • Kies de juiste locatie binnen het netwerk om pakketgegevens vast te leggen

Na het volgen van de bovenstaande stappen, is Wireshark klaar om pakketten vast te leggen. Gewoonlijk zijn er twee vastlegmodi: promiscue en monitor. Promiscuous mode stelt de netwerk interface in om alleen de pakketten op te vangen waarvoor het is toegewezen. Monitor mode wordt gebruikt door Unix/Linux systemen en stelt de draadloze interface in om zoveel mogelijk van het netwerk vast te leggen als hij kan. De gegevens die tijdens het vastleggen van pakketten worden verzameld, worden in een menselijk leesbaar formaat weergegeven, zodat ze gemakkelijker te begrijpen zijn. Aangezien Wireshark de vastgelegde pakketten in een leesbaar formaat opsplitst, kunnen gebruikers verschillende andere taken uitvoeren, zoals filters selecteren om precieze informatie te vinden en de cruciale informatie een kleurcode geven. Met Wireshark kunnen beheerders ook meerdere netwerken tegelijk monitoren.

Over het algemeen wordt de promiscuous mode gebruikt door systeembeheerders om een vogelvlucht te krijgen van de overdracht van netwerkpakketten. Bij het uitschakelen van deze modus, wordt slechts een kleine momentopname van het netwerk geboden, wat niet genoeg is om een kwaliteitsanalyse uit te voeren. De promiscue modus kan eenvoudig worden geactiveerd door te klikken op de vastleggingsopties in het dialoogvenster. De promiscue modus is echter niet op alle software of besturingssystemen beschikbaar. Daarom moeten gebruikers de compatibiliteit van de software controleren door de website van Wireshark te bezoeken of door de instellingen te controleren met Apparaatbeheer (als u een Windows-gebruiker bent).

Hoe analyseer ik de vastgelegde netwerkpakketten?

Als de netwerkgegevens eenmaal zijn vastgelegd, wordt de lijst met netwerkpakketten weergegeven op de gecentraliseerde beheerconsole of het dashboard. Het scherm bestaat uit drie vensters: packet list, packet bytes, en packet details. Om belangrijke informatie over afzonderlijke pakketten te krijgen, moeten gebruikers echter op een van de hierboven genoemde vensters klikken.

Pakketlijst

Het deelvenster met de pakketlijst bestaat uit doorbladerbare vastgelegde netwerkpakketten op basis van het tijdstempel om precies aan te geven wanneer het pakket werd vastgelegd, de protocolnaam van het pakket, de bron en bestemming van het pakket, en ondersteuningsinformatie.

Pakketdetails

Het deelvenster met de pakketdetails geeft informatie over het gekozen pakket. Gebruikers kunnen elke sectie uitbreiden en filters toepassen om informatie over specifieke items te krijgen.

Packet Bytes

Packet bytes deelvenster bestaat uit de interne gegevens van het pakket dat de gebruiker selecteert. De gegevens worden standaard in hexadecimaal formaat weergegeven.

Hoe helpt Wireshark bij het monitoren van netwerkprestaties?

Als de netwerkpakketten eenmaal zijn vastgelegd, is de volgende stap om ze te monitoren en te analyseren. Wireshark is een goed hulpmiddel om het actieve netwerk van de organisatie te analyseren en te bewaken. Alvorens dit te doen, is het belangrijk om alle actieve toepassingen op het netwerk af te sluiten om het verkeer te verminderen, wat helpt bij het geven van een duidelijk beeld van het netwerk. Het uitschakelen van alle toepassingen zal niet resulteren in pakketverlies; in feite is het verzenden en ontvangen van pakketten nog steeds een doorgaand proces.

Het conceptualiseren van de enorme hoeveelheid gegevens bij elkaar is echter niet eenvoudiger. Daarom splitst Wireshark deze componenten in verschillende vormen om te zien wat er binnen het netwerk gebeurt. Om gebruikers te helpen de binnenkomende gegevens snel te begrijpen en te analyseren, gebruikt Wireshark kleurcoderingen, filters en netwerkstatistieken om de netwerkgegevens te scheiden.

Wat is de rol van filters in Wireshark?

Filters zijn nuttig bij het analyseren van grote bestanden en een aanzienlijke hoeveelheid gegevens. Filters helpen beheerders specifieke netwerkgegevens te vinden uit de duizenden pakketten die elke seconde door het netwerk reizen. Wireshark gebruikt de twee meest voorkomende types van filters: Capture en Display, om gegevens te segregeren op basis van hun relevantie. Het capture filter verzamelt de live-monitoring gegevens door de grootte van de inkomende pakketten te verkleinen. Dit helpt bij het uitfilteren van de niet-essentiële pakketten tijdens het live vastleggen. Capture filters worden echter ingesteld voordat het filterproces begint en kunnen niet worden gewijzigd als het proces eenmaal is gestart. Weergave filters, aan de andere kant, worden gebruikt om de reeds opgenomen gegevens te filteren.

Hoe kleurcodering te gebruiken in Wireshark?

Kleurcodering wordt gedaan om de verschillende pakketten te markeren op basis van bepaalde factoren. Dit helpt gebruikers om pakketten te identificeren op basis van kleuren. Bijvoorbeeld, UDP wordt aangeduid met lichtblauw, ICMP met lichtroze, TCP verkeer met lichtpaars, en de pakketten met fouten worden gemarkeerd met zwart. De standaardinstellingen van Wireshark gebruiken twintig verschillende kleuren om verschillende parameters aan te duiden. Gebruikers kunnen de instellingen naar wens wijzigen, bewerken, toevoegen of verwijderen. Colorization kan ook worden uitgeschakeld door het uitschakelen van de Colorize Packet List veld.

How to View Network Statistics on Wireshark?

Statistische gegevens zijn nuttig in het verstrekken van diepgaande informatie over uw netwerk. Om deze statistieken te bekijken, klikt u op het vervolgkeuzemenu Statistieken dat metriek biedt variërend van timing en grootte tot het plotten van grafieken en diagrammen. Gebruikers kunnen ook een weergavefilter toepassen om de lijst met opties te beperken en de relevante informatie te vinden. Het uitklapmenu Statistieken geeft de volgende statistieken weer:

  • Gesprekken: Toont de gesprekken van twee eindpunten als twee verschillende IP-adressen
  • Eindpunten: Toont de lijst met eindpunten
  • IO Grafieken: Toont alle grafieken
  • Protocol Hiërarchie: Toont de tabel met vastgelegde pakketten
  • RTP_statistieken: Helpt gebruikers om de inhoud van RTP-audiostreams op te slaan in een Au-bestand
  • Multicast Stream: Meet de snelheid van andere componenten door de multicast streams te identificeren
  • TcpPduTime: De tijd die nodig is om gegevens te verzenden van Data Protocol Unit
  • VoIP_Calls: Het aantal ontvangen VolP-gesprekken van live captures
  • Service Response Time: De tijd die het netwerk nodig heeft om op een verzoek te reageren

Hoe netwerkpakketten te visualiseren met IO-grafieken?

Datapakketten of het netwerkverkeer kunnen worden weergegeven in een visueel formaat dat bekend staat als IO-grafieken. Gebruikers kunnen IO-grafieken bekijken door op het menu Statistieken te klikken en het tabblad IP-grafiek te selecteren. Zodra het grafiekvenster wordt geopend, kunnen gebruikers de gegevens bekijken die zij wensen door de grafiekinstellingen dienovereenkomstig te configureren. Als gevolg van de standaardinstellingen van Wireshark wordt slechts één grafiek tegelijk weergegeven. Als gebruikers meer grafieken tegelijk willen activeren, hoeven ze deze alleen maar in te schakelen. Bovendien kunnen gebruikers de grafieken ook aanpassen met filters en kleurcodes om de relevante informatie voor het doel te vinden. Gebruikers kunnen ook de grafiekstructuur wijzigen vanuit de stijlkolom en kunnen kiezen uit: Lijn, Dot, Impuls, Fbar. Gebruikers kunnen niet alleen de stijl van de grafieken aanpassen, maar ook interactief werken met de X- en Y-as metriek van de grafieken. Zodra de instellingen zijn gedaan, kunnen de grafieken worden opgeslagen in een bestandsformaat voor toekomstige doeleinden.

Hoe de mogelijkheden van Wireshark uit te breiden?

Wireshark is ongetwijfeld een geweldige pakketsnuffelaar, maar het mist een paar verbeteringen als het gaat om te voldoen aan de groeiende behoeften van netwerkmonitoring. De monitoringmogelijkheden van Wireshark kunnen worden verbeterd met aanvullende tools zoals SolarWinds® Response Time Viewer for Wireshark, Show Traffic, Cloudshark, en NetworkMiner. Hieronder worden de kenmerken, mogelijkheden en functies van deze hulpprogramma’s beschreven en wordt uitgelegd hoe ze de netwerkbewakingsmogelijkheden van Wireshark helpen verbeteren.

SolarWinds Network Performance Monitor

SolarWinds Network Performance Monitor (NPM) is een krachtige netwerkbewakingssoftware die wordt gebruikt voor het detecteren, diagnosticeren en oplossen van netwerkproblemen en -storingen. De tool is speciaal ontworpen voor geavanceerde probleemoplossing voor on-premises, hybride en clouddiensten, en detecteert problemen met zijn hop-by-hop analyse. Het helpt niet alleen om het netwerk schaalbaar te maken, maar ook om het te beveiligen. NPM is ook in staat om downtime te verminderen, wat resulteert in verbeterde operationele efficiëntie, beschikbaarheid van het netwerk en goed presterende applicaties. Het biedt out-of-the-box functies, waaronder intuïtieve dashboards, geavanceerde waarschuwingssystemen, aangepaste rapportage, packet-analyse, en nog veel meer. Naast hop-per-hop analyse, biedt NPM beschikbaarheidsmonitoring, cross-stack netwerk data correlatie, aanpasbare topologie, netwerk discovery, mapping mogelijkheden, packet capture analyse, drag-and-discover netwerk performance grafieken, statistische netwerk performance baselines, en hardware Health Monitoring. Met NPM kunnen gebieden met zwakke signalen of netwerk dode zones snel worden geïdentificeerd met behulp van Wi-Fi heat maps. Probeer het gratis en volledig functioneel uit.

SolarWinds Response Time Viewer for Wireshark

SolarWinds Response Time Viewer for Wireshark stelt gebruikers in staat om de packet captures van Wireshark te detecteren en te analyseren en storingen in netwerkprestaties in real-time op te lossen. Het kan meerdere taken uitvoeren, zoals het identificeren van meer dan 1200 applicaties, het berekenen van hun netwerkresponstijd, het weergeven van gegevens en transactiewaarde, het visualiseren van kritieke paden met Netpath, en het monitoren en beheren van draadloze netwerken. De evaluatie van deze parameters helpt gebruikers bij het vaststellen van netwerkgebreken en -fouten.

Cloudshark

Cloudshark is een platform dat is ontworpen om netwerkvastleggingsbestanden direct in de browser weer te geven zonder dat daarvoor desktoptoepassingen of -tools nodig zijn. U kunt de vastgelegde bestanden eenvoudig uploaden, e-mailen of koppelen en de resultaten bekijken. Het helpt om netwerkproblemen sneller en foutloos op te lossen. Bovendien bevat het functies zoals drag-and-drop capture-bestanden, drop-box-achtige activiteit, maakt het delen van links met collega’s mogelijk en biedt het geavanceerde analyse.

Sysdig

Sysdig is een krachtig, cross-platform en open-source flexibel netwerk monitoring systeem dat speciaal is ontworpen voor Linux. Het werkt ook voor Windows en Mac OSX, maar met beperkte functionaliteiten zoals inspectie, debugging en systeemanalyse. Sysdig maakt gebruik van verschillende monitoring en troubleshooting tools voor Linux systeem prestaties, zoals:

  • Strace (voor het ontdekken van systeemaanroepen)
  • htop (voor real-time procesmonitoring)
  • iftop (voor real-tijd bandbreedte monitoring)
  • netstat (voor netwerk verbinding monitoring)
  • tcpdump (voor ruwe netwerk verkeer monitoring)
  • Isof (om te weten welk proces wordt gebruikt om de geopende bestanden te bekijken)

Sysdig integreert alle hierboven genoemde tools en biedt ze in een enkel programma. Gebruikers kunnen eenvoudig netwerkverkeer en het werkelijke gedrag van Linux systemen vastleggen, filteren, opslaan, wijzigen, traceren en onderzoeken. Sysdig functies omvatten:

  • Orchestrator-integraties
  • Intuïtieve dashboards
  • Cloud-platformintegraties
  • Applicatie-integraties
  • Alerting and event management
  • Vulnerability management
  • Compliance/Audit report generation
  • Topology maps
  • Runtime error detection
  • Capture files
  • Single sign-on

Debooke

Debooke is een van de eenvoudigste en krachtigste hulpprogramma’s voor netwerkbewaking en verkeersanalyses voor macOS. Met deze tool kunnen gebruikers het netwerkverkeer van elk apparaat in hetzelfde subnet onderscheppen en controleren. Het helpt bij het vastleggen van netwerk packet data van elk apparaat zoals een mobiel, printer, Mac, TV, en meer zonder gebruik te maken van een proxy. Kenmerken van Debooke:

  • Het gebruik en verbruik van Wi-Fi bandbreedte bijhouden
  • Helpen bij netwerkbewaking en diepgaande analyse
  • De Wi-Fi clients weergeven en de API’s waaraan ze zijn gekoppeld
  • Scan IP, LAN om alle actieve en verbonden apparaten in de gaten te houden

Eindgedachten

Wireshark is een eenvoudig, maar veelzijdig en krachtig netwerk monitoring tool. Het is eenvoudig te gebruiken en gemakkelijk te leren. Naast monitoring biedt Wireshark extra functies voor netwerkanalyse, zoals:

  • IO grafieken om gebruikers te helpen hun netwerk visueel te begrijpen
  • Kleurcodering om verschillende parameters of netwerkinformatie te markeren voor toekomstig gebruik
  • Filters om de relevante informatie te krijgen die nodig is voor het doel

Hoewel, voor de nieuwe gebruikers die bereid zijn om Wireshark te proberen, is het raadzaam om wat extra onderzoek te doen en gedetailleerde informatie over Wireshark te krijgen door de website te bezoeken. Voor bestaande gebruikers die op zoek zijn naar meer geavanceerde netwerkmonitoring en analytische functies en hun eigen protocol dissectoren willen maken, probeer dan de externe plugins en ondersteunende programma’s te gebruiken die hierboven zijn gemarkeerd.

SolarWinds Network Performance Monitor en Response Time Viewer voor Wireshark zijn professionele tools en werken verbazingwekkend. Ze kunnen niet alleen netwerkproblemen in real-time identificeren en oplossen, maar ook meerdere taken tegelijk uitvoeren, zoals essentiële gegevens weergeven, netwerkresponstijd berekenen en meer. Deze tools vergroten de diepgang van de netwerk analyse inspanningen dramatisch.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.