Verwendung von Wireshark unter Ubuntu – Machen Sie die Technik einfacher

Wireshark ist ein leistungsstarker Open-Source-Netzwerkanalysator, der zum Aufspüren der Daten in einem Netzwerk verwendet werden kann, als Hilfe bei der Fehlerbehebung bei der Analyse des Netzwerkverkehrs, aber auch als Lehrmittel zum Verständnis der Prinzipien von Netzwerken und Kommunikationsprotokollen.

Es ist für nahezu jede Linux-Distribution verfügbar und kann für Ubuntu über das Ubuntu Software Center oder das Terminal installiert werden:

sudo apt-get install wireshark

Vor der Verwendung von Wireshark muss dem Dienstprogramm dumpcap die Berechtigung zur Ausführung als Root erteilt werden. Ohne diese Funktion kann Wireshark den Netzwerkverkehr nicht erfassen, wenn Sie als normaler Benutzer angemeldet sind (was bei Distributionen wie Ubuntu immer der Fall ist). Um das „setuid“-Bit zu dumpcap hinzuzufügen, verwenden Sie den folgenden Befehl:

sudo chmod 4711 `which dumpcap`

Beachten Sie, dass die Anführungszeichen um das „which dumpcap“ keine normalen einfachen Anführungszeichen sind, sondern das Akzentzeichen Graves. Auf Unix-ähnlichen Systemen ruft dies eine Befehlsersetzung auf, bei der die Ausgabe des Befehls which zu einem Parameter für den Befehl chmod wird, dh zum vollständigen Pfad der Dumpcap-Binärdatei.

Starten Sie Wireshark und klicken Sie dann auf die Netzwerkschnittstelle, die Sie zum Erfassen der Daten verwenden möchten. In einem kabelgebundenen Netzwerk wird es wahrscheinlich eth0 sein. Klicken Sie nun auf Start.

Wireshark beginnt mit der Erfassung des Datenverkehrs und zeigt ihn als farbcodierte Liste im Hauptfenster an. TCP-Verkehr ist grün, UDP-Pakete sind hellblau, ARP-Anfragen sind gelb und DNS-Verkehr ist dunkelblau dargestellt.

Direkt unter der Symbolleiste befindet sich das Filterfeld. Um nur bestimmte Arten von Netzwerkpaketen anzuzeigen, geben Sie den Protokollnamen in das Bearbeitungsfeld ein und klicken Sie auf „Übernehmen“. Um beispielsweise nur die ARP-Nachricht (Address Resolution Protocol) anzuzeigen, geben Sie „arp“ in das Feld „Filter“ ein und klicken Sie auf „Übernehmen“. Die Liste ändert sich und zeigt nur noch ARP-Nachrichten an. ARP wird in einem LAN verwendet, um herauszufinden, welcher Computer eine bestimmte IP-Adresse verwendet. Weitere Beispielfilter sind HTTP, ICMP, SMTP, SMB usw.

Wireshark kann anhand erweiterter Kriterien filtern, die über den Protokolltyp hinausgehen. Um beispielsweise den gesamten DNS-bezogenen Datenverkehr anzuzeigen, der von einem bestimmten Host stammt, verwenden Sie den Filter ip.src==192.168.1.101 und dns, wobei 192.168.1.101 die Quelladresse ist, die Sie filtern möchten.

Wenn Sie eine interessante Interaktion zwischen zwei Hosts entdecken, die Sie in ihrer Gesamtheit sehen möchten, bietet Wireshark die Option „Stream verfolgen“. Klicken Sie mit der rechten Maustaste auf ein beliebiges Paket im Austausch und klicken Sie dann auf „TCP-Stream folgen“ (oder UDP-Stream folgen, SSL-Stream folgen, je nach Protokolltyp). Wireshark zeigt dann eine vollständige Kopie der Konversation an.

Versuche dies

Die Verwendung von Wireshark kann so komplex oder so einfach sein, wie Sie es benötigen. Es gibt viele erweiterte Funktionen für Netzwerkexperten, aber auch diejenigen, die etwas über Netzwerke lernen möchten, können von der Verwendung profitieren. Hier können Sie etwas ausprobieren, wenn Sie mehr über Wireshark erfahren möchten. Starten Sie eine Erfassung und stellen Sie den Filter auf ICMP ein. Pingen Sie nun Ihren Linux-Rechner mit einem Befehl wie diesem von einem anderen Linux-Rechner oder sogar von einer Windows-PC-Befehlsshell aus:

Dabei ist 192.168.1.10 die IP-Adresse des Linux-Computers. Sehen Sie sich nun die Paketliste an und prüfen Sie, ob Sie den Netzwerkverkehr für den Ping erkennen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Go up