Was ist Wireshark?

Die Einleitung zu Wireshark

Wireshark ist ein 2006 entwickelter Open Source Netzwerksniffer welcher hauptsächlich zur Protokollanalyse, Netzwerküberwachung und Fehlersuche eingesetzt wird.

Die Software ermöglicht das Lesen, Aufzeichnen und Analysieren von Datenverkehr auf verschiedenen Kommunikationsschnittstellen. Wireshark zeigt bei einer Aufzeichnung sowohl den Protokollkopf (Header) als auch den übertragenen Inhalt (Payload) an. Diese werden hierbei grafisch ausgewertet und machen das Nachvollziehen von Netzwerkverkehr um einiges einfacher und übersichtlicher.

Sind deine Daten ausreichend geschützt?

Optimiere jetzt mit uns Deine Datenschutzmaßnahmen.

Zur IT-Sicherheitsberatung

Die Funktionsweise

Zur Netzwerkanalyse greift Wireshark z.B. auf die sogenannte „pcap“ (packet capture) API zurück, um Pakete direkt am Netzwerkinterface abzugreifen. Die pcap-API unterstützt außerdem auch die Auflistung aller verfügbaren Netzwerkschnittstellen und die Möglichkeit, „mitgehörte“ Pakete in eine Datei zu speichern. Diese Dateien werden mit der Endung „.pcap“ versehen und ermöglichen das sämtliche gesammelte Daten anschließend mit Wireshark ausgewertet werden können.

Neben Wireshark benutzen auch viele andere Packetsniffer die pcap-Schnittstelle wie Beispielsweise tcpdump, tshark oder Snort und Suricata.

Netzwerk Analyse mit Wireshark

Wireshark wird von Systemadministratoren verwendet, um Netzwerkprobleme zu verstehen und zu beheben. Da Wireshark die Möglichkeit bietet, allen über das Medium empfangenen Netzwerkverkehr zu überprüfen und alle in diesen Verbindungen ausgetauschten Netzwerkpakete zu analysieren – sofern der Datenverkehr nicht verschlüsselt ist – ist es sehr einfach, die Ursache von Problemen zu finden.

Wireshark wird auch von Penetration-Tester & Hacker verwendet, um die Ergebnisse von Man-in-the-Middle-Angriffen auszuwerten. Ziel ist es hierbei an verschiedenste sensible Informationen zu kommen, zum Beispiel von VoIP-Calls, LLDP, STP, HSRP und VRRP, oder auch Basic Authentications.

Die Benutzeroberfläche

Die Wireshark Benutzerfläche ist grundsätzlich in mehrere Abschnitte unterteilt. Wenn man die Applikation startet dann landet man als erstes in der Netzwerk Interfaces / Netzwerkschnittstellen Auswahl.

Hierbei kann man auswählen auf welchem der Datenverkehr mitgeschnitten werden soll. Hier lassen sich ebenfalls die Capture Filter setzen, um zu limitieren welche Packet Typen gefangen werden sollen. Sobald man einen Doppelklick auf eine dieser Schnittstellen tätigt gelangt man anschließend in die Detailansicht.

Die Live Packet Ansicht

Als erstes sticht in der Detailansicht die Live Packet Ansicht heraus wo sämtliche Netzwerkpakete welche Wireshark aktuell empfängt dargestellt werden.

Hier findet sich unter anderem die Source & Destination IP des Pakets als auch das verwendete Protokoll. Sämtliche Pakete die hier angezeigt werden können durch den Display gefiltert werden.

Sobald man ein Paket anklickt sieht man nun den Protokoll Header sowie der gesamte Payload welcher auch zusammengefasst in der „Info“ Sektion der Live Packet Ansicht sich wiederfindet. Unter dem Protokoll Header & Payload befindet sich das gesamte Netzwerkpaket nochmals im Hexadezimal & ASCII Format.

Hier ist festzuhalten, dass die Darstellung mittels ASCII-Zeichen nur erfolgt, sofern es sich über diesen Zeichensatz darstellen lässt.

Der Unterschied zwischen Capture & Display Filter

Wenn Sie in der Vergangenheit schon einmal in die Verlegenheit kamen, relevante Informationen in einer größeren Datenmenge zu finden, können Sie sich wahrscheinlich vorstellen, warum Filter ein sehr wichtiger Teil von Wireshark sind. Wenn man alle Arten von Datenverkehr mitschneidet, kann dies sehr schnell zu Millionen von Paketen führen, die es erheblich erschweren, den eigentlich gesuchten Netzwerkverkehr zu finden. Glücklicherweise bietet Wireshark ein umfangreiches Filtersystem, mit dem Sie den momentan unwichtigen Datenverkehr herausfiltern können.

Hierbei wird zwei Arten von Filtern unterschieden: Capture Filter und Display Filter.

Capture Filter und Anwendung

Capture Filter werden bereits vor dem Start einer Paketerfassung festgelegt und können während der Erfassung nicht geändert werden. Hierbei werden Pakete, welche nicht dem Filter entsprechen, einfach nicht erst mitgeschnitten.

Filter	Anwendungszweck
&&	UND-Parameter. Wird verwendet um mehrere Filter miteinander zu verketten.
host 192.168.13.37	Nur Pakete mitschneiden, die192.168.13.37 als Sender oder Empfänger haben.
net 192.168.13.0/24	Nur Pakete einer IP Range mitschneiden.
src net 192.168.13.0/24	Nur Pakete mitschneiden welche aus einer IP Range gesendet werden.
dst net 192.168.13.0/24	Nur Pakete mitschneiden welche zu einer IP Range gesendet werden.
port 80	Pakete mitschneiden welche Port 80 verwenden.
!(arp or icmp)	Alle Pakete außer ARP oder ICMP Erfassen. Sehr nützlich um uninteressanten Traffic zu beseitigen.

Display Filter und Anwendung

Bei einem Display Filter hingegen gibt es diese Einschränkung nicht und gibt ihnen die Möglichkeit im laufenden Mitschnitt über Parameter nach bestimmten Inhalten zu suchen.

Filter	Anwendungszweck
&&	UND-Parameter. Wird verwendet um mehrere Filter miteinander zu verketten.
ip.addr == 192.168.13.37	Nur Pakete anzeigen welche 192.168.13.37 als Sender oder Empfänger haben.
ip.src == 192.168.13.37	Nur Pakete anzeigen welche 192.168.13.37 als Sender haben.
tcp.dst == 192.168.13.37	Nur TCP-Pakete anzeigen, die 192.168.13.37 als Empfänger haben.
tcp.port == 80	Pakete anzeigen welche TCP Port 80 verwenden.
udp.port == 5353	Pakete anzeigen welche UDP Port 5353 verwenden.
!(arp or icmp)	Alle Pakete außer ARP oder ICMP anzeigen. Sehr nützlich um uninteressanten Traffic zu beseitigen.