Kleine Anleitung zur Benutzung von Wireshark - ims-info.ch

1 Service-Handbuch Aktualisiert: durch: RLo Seite 1. Dieser Checkup berpr ft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse St rungen durch externen Netzverkehr stattfinden. 1. Netzverkehr der Adresse aufzeichnen mit " Wireshark ", berpr fen, ob berlastung durch Pakete stattfindet, die nicht von PARITy kommen. Eine Kleine Anleitung zu diesem Tool findet sich untenstehend 2. Falls St rungen bei Netzwerkkomponenten (z. B. Switches) angezeigt werden, gem ss ger tespezifischen Handb chern vorgehen. Kleine Anleitung zur Benutzung von Wireshark Wireshark war ehemals bekannt unter dem Namen Ethereal. Benutzeroberfl che (GUI). Die Oberfl che von " Wireshark " in Aktion sieht in etwa so aus;. Im Wesentlichen besteht die Anwendung aus zwei Fenstern, wobei das Kleine Fenster unten rechts lediglich der Statistik dient und optional ein- oder ausgeblendet werden kann. Der Inhalt der Statistik gibt Auskunft ber die Anzahl aufgezeichneter Netzwerk-Frames und der verwendeten Protokolle.

2 Mittels Stop-Button kann die aktuelle Aufzeichnung gestoppt werden. Service-Handbuch Aktualisiert: durch: RLo Seite 2. Das grosse, in drei Teile gegliederte Fenster, stellt den Hauptteil der Anwendung dar. Am interessantesten ist der oberste der drei Teile. In diesem Teil der Anwendung werden die Netzwerk-Pakete chronologisch korrekt zeilenweise dargestellt. Folgende Informationen k nnen dieser Ansicht entnommen werden: No. Nummer des Paketes. Das erste aufgezeichnetes Paket erh lt die Nummer 1. Time Ankunftszeit des Paketes (je nach Konfiguration Uhrzeit oder vergangene Zeit seit Beginn der Aufzeichnung). Source Absender des Paketes (je nach Konfiguration IP-Adresse, FQDN, Hostname oder MAC-Adresse). Destination Empf nger des Paketes (je nach Konfiguration IP-Adresse, FQDN, Hostname oder MAC-Adresse). Protocol Verwendetes Netzwerk-Protokoll, beispielsweise im Falle eines Ping- Requests typischerweise ICMP (siehe Screenshot). Info Kurze Beschreibung des Inhaltes des Paketes, beispielsweise im Falle eines Ping-Reply typischerweise Echo (ping) reply (siehe Screenshot).

3 Service-Handbuch Aktualisiert: durch: RLo Seite 3. Mit dem Filter-Feld dar ber kann diese Ansicht noch nach bestimmten Kriterien wie Protokoll, IP-Adressen oder anderes gefiltert werden. Wichtig zu wissen ist, dass es sich hier um einen sogenannten Display-Filter handelt. Im Falle einer Filterung der ICMP-Pakete w rde es nachher wie folgt aussehen: Anhand dieser Ansicht hat man also einen guten berblick ber s mtliche aufgezeichneten Pakete und deren wichtigsten Informationen. Des Weiteren kann mit dem Display-Filter schliesslich eine Auswahl getroffen werden, um lediglich die Pakete anzuzeigen, die im Mittelpunkt des Interesses stehen. Hat man nun ein Paket entdeckt, dass man sich etwas genauer anschauen m chte, markiert man es und richtet seine Aufmerksamkeit auf die beiden darunter liegenden Fenster: Im mittleren Bereich kann man erkennen, dass mehr oder weniger die gleichen Informationen dargestellt werden wie beim oben markierten Paket. Tats chlich handelt es sich auch um die gleichen Informationen bzw.

4 Das gleiche Paket. Service-Handbuch Aktualisiert: durch: RLo Seite 4. W hrend oben eine grobe Zusammenfassung der wichtigsten Informationen zu sehen ist, werden im mittleren Bereich s mtliche Informationen in detaillierter Form und zwar nach Layer und Protokoll sortiert ausgewiesen. Wie man auf dem obigen Screenshot erkennen kann, ist das oben markierte Paket das erste Paket eines TCP 3-Way-Handshakes (TCP Verbindungsaufbau). Damit eine solche TCP-Verbindung zustande kommen kann muss zuerst dieser Verbindungsaufbau bestehend aus drei Paketen durchlaufen werden. Um seinem Gegen ber mitzuteilen, dass ein Verbindungsaufbau stattfinden soll, wird ihm ein TCP-Paket mit gesetzter SYN-Flagge gesendet. Dies wird im obersten Bereich unter Info mit [SYN] ausgewiesen. Wenn man nun im mittleren Bereich den TCP-Teil (Transmission Control Protocol) expandiert, werden die SYN-Flagge sowie s mtliche anderen TCP-Optionen ebenfalls ausgewiesen. Wenn man nun noch im mittleren Bereich die ausgewiesene SYN-Flagge markiert, so erkennt man im untersten Bereich, dass sich ein Teil der dargestellten Zahlen und Buchstaben ebenfalls blau verf rbt.

5 Dies ist der Fall, weil es sich dabei wieder um die exakt selben Informationen lediglich in anderer Schreibweise handelt. Beim untersten Bereich handelt es sich um Raw-Data (rohe Daten), n mlich einerseits um den sogenannten HEX-Dump des Paketes und gleichzeitig rechts daneben die bersetzung in ASCII. Hier werden s mtliche Informationen in hexadezimaler Schreibweise bzw. ASCII-Code dargestellt. Dies kann n tzlich sein, wenn man einen Einblick in die Struktur des Paketes erhalten m chte. Meistens jedoch sind die beiden oberen Bereiche von gr sserem Interesse, da diese n mlich bereits s mtliche Informationen ausweisen, die ein Paket hergibt und f r den Betrachter ohne weiteres les- und auswertbar sind. Service-Handbuch Aktualisiert: durch: RLo Seite 5. Aufzeichnung des Netzwerkverkehrs Es gib mehrere M glichkeiten, den Netzwerkverkehr aufzuzeichnen. In der Praxis hat sich folgendes bew hrt: Ausgangslage ist der Screenshot, der sich ergibt, wenn man " Wireshark " neu aufstartet: M chte man jetzt mit einer neuen Aufzeichnung beginnen, so klickt man auf Capture und w hlt Interfaces.

6 Alternativ kann man auch einfach Ctrl+I dr cken. Anschliessend ffnet sich dann eine bersicht mit den verf gbaren Interfaces. Diese bersicht enth lt: jeweils eine Beschreibung zum Interface dessen IP, falls vorhanden den momentanen Verkehr in Form von Anzahl Pakete die das Interface passierten Pakete pro Sekunde. Service-Handbuch Aktualisiert: durch: RLo Seite 6. Dahinter hat man die M glichkeit, mittels Start eine Aufzeichnung zu starten. Mit Options kann man vor dem Start der Aufzeichnung noch einige spezifische Einstellungen vornehmen, und mittels Details kann man sich mehr Informationen zum entsprechenden Interface anzeigen lassen. Hier wird jedoch bewusst der Weg ber die Options gew hlt. Klickt man auf Options, so ffnet sich nun ein weiteres Fenster, mit welchem zus tzliche Einstellungen f r die sp tere Aufzeichnung vorgenommen werden k nnen. Im folgenden werden die wichtigsten Optionen beschrieben. Allen voran und deutlich erkennbar ist der Capture-Filter, nicht zu verwechseln mit dem Display-Filter.

7 Im Gegensatz zum Display-Filter wird mit dem Capture-Filter keine Sortierung vorgenommen, sondern man definiert damit, welche Pakete berhaupt aufgezeichnet werden sollen. W rde man jetzt icmp als Capture-Filter definieren, w rden lediglich s mtliche ICMP-Pakete, die diesen Adapter passieren, aufgezeichnet, und keine weiteren Pakete. Die Syntax des Capture-Filters ist nicht identisch mit der des Display-Filters: host Capture-Filter: Alle Pakete, die mit dem Host zu tun haben Service-Handbuch Aktualisiert: durch: RLo Seite 7. == Gleicher Effekt beim Display-Filter Des Weiteren gibt es die Display Options sowie die Optionen zur Name Resolution : 1 4. 2 5. 3 6. 1. Pakete in Echtzeit anzeigen, nicht erst nach Beendigung der Aufzeichnung 2. Automatischen herunterscrollen w hrend der Aufzeichnung 3. Kleines Statistik-Fenster nicht anzeigen 4. MAC-Name aufl sen: 00:13:d4:17:7a:62 AsustekC_17:7a:62. 5. Hostname aufl sen: 6. Transport-Namen aufl sen: Konvertiert Portnummern in Protokollnamen ("25" zu "smtp").

8 Hat man s mtliche Einstellungen vorgenommen, wird mittels Start-Button unten rechts mit der Aufzeichnung begonnen. M chte man die Aufzeichnung stoppen, so kann dies in der Symbolleiste mit dem vierten Symbol von links gemacht werden: Zum Speichern einer Aufzeichnung klickt man entweder oben links auf File und danach auf Save as , oder man verwendet die Tastenkombination Ctrl+S. Anschliessend gibt man einen Namen sowie den Speicherort an und best tigt die Eingabe.