Logo sync-computers.com
Android

Entdecken Sie Ihr Netzwerk mit wireshark

Inhaltsverzeichnis:

Video: PC hacken und mit Wireshark überwachen (April 2025)

Video: PC hacken und mit Wireshark überwachen (April 2025)
Anonim

Was ist Wireshark?

Schnellzugriff

  • Was ist Wireshark?
  • Wireshark installieren
    • Windows
    • Mac
    • Linux
  • Die Schnittstelle
  • Aufnahmeoptionen
  • Datenverkehr erfassen
  • Daten lesen
  • Pakete filtern
    • Filtern während der Aufnahme
    • Ergebnisse filtern
  • Folgende Paketströme
  • Schlussgedanken

Wireshark ist ein leistungsstarkes Netzwerkanalysetool, mit dem Sie den Netzwerkverkehr überwachen und erfassen können. Es erfasst den Datenverkehr auf Paketebene. Dies bedeutet, dass Sie jede Information sehen können, die in Ihrem Netzwerk übertragen wird, was es enthält und wohin es geht.

Mit diesem Tool können Sie den Verkehrsfluss innerhalb eines Netzwerks visualisieren und verstehen. Indem Sie sehen, welche Daten übertragen werden, erhalten Sie auch Einblick in potenzielle Sicherheitsbedenken sowie in potenziell unerwünschten Datenverkehr, z. B. Malware, Programme, die die Bandbreite überfordern, und sogar in unerwünschte Gäste in Ihrem WiFi.

Wireshark ist auch ein wichtiges Tool, da Sie genau sehen können, wie Daten, die Ihr Netzwerk verlassen, in das größere Internet gesendet werden. Beispielsweise können Sie HTTP-Anforderungen anzeigen und lesen, um festzustellen, welche Daten unverschlüsselt gesendet werden. Das könnte eine sehr große Sache sein, besonders wenn diese Daten so etwas wie ein Bankkennwort sind.

Wireshark installieren

Wireshark ist Open Source und plattformübergreifend. Es ist kostenlos und für alle gängigen Betriebssysteme erhältlich. Die Steuerelemente im Programm sind auf allen Plattformen identisch, sodass Sie sich keine Sorgen machen müssen. Die Bilder stammen von Linux, aber alles, was Sie sehen, funktioniert auch unter Windows und Mac.

Windows

Gehen Sie zur Wireshark-Download-Seite und laden Sie die neueste Version für Ihre Windows-Version herunter. Führen Sie die resultierende .exe aus. Das Installationsprogramm ist ziemlich Standard. Sie können das meiste durchklicken und die Standardeinstellungen verwenden.

Es gibt jedoch eine Sache, auf die Sie achten möchten. Sie werden gefragt, ob Sie WinPcap installieren möchten. WinPcap ist ein zusätzliches Dienstprogramm für Wireshark unter Windows, mit dem der gesamte Datenverkehr in einem Netzwerk und nicht nur der Datenverkehr Ihres Computers erfasst werden kann. Aktivieren Sie das Kontrollkästchen, um WinPcap zu installieren. Sie werden auch nach der USB-Version gefragt. Das ist nicht notwendig, aber Sie können es auch einschließen.

Danach wird die Installation abgeschlossen. Für WinPcap wird eine neue Installation gestartet. Die Standardeinstellungen sind auch dort akzeptabel.

Mac

Gehen Sie zur Wireshark-Download-Seite und laden Sie die neueste .dmg-Datei herunter. Wenn der Download abgeschlossen ist, doppelklicken Sie auf die Datei, um sie zu öffnen. Ziehen Sie die geöffnete Anwendung in Ihren Ordner / Applications, um Wireshark zu installieren.

Linux

Die meisten Linux-Distributionen haben Wireshark in ihren Repositories. Installieren Sie es mit Ihrem Paketmanager.

$ sudo apt install wireshark-gtk

Abhängig von Ihrer Distribution werden Sie gefragt, ob Sie regulären Benutzern erlauben möchten, Pakete zu erfassen. Sie sollten "Ja" sagen. Fügen Sie nach der Installation des Pakets Ihrem Benutzer die Wireshark-Gruppe hinzu. Melden Sie sich ab und wieder an, wenn Sie fertig sind.

$ sudo gpasswd -a Benutzer wireshark

Die Schnittstelle

Wenn Sie Wireshark zum ersten Mal öffnen, wird ein ähnlicher Bildschirm wie oben angezeigt. Es gibt oben in den Symbolleisten einige Schaltflächen, die überwältigend aussehen können, aber es ist viel einfacher, als Sie wahrscheinlich denken.

Die Standarderfassungsoberfläche ist etwas umständlich. Sie können das Layout ändern, um es komfortabler zu gestalten. Klicken Sie auf "Bearbeiten". Suchen Sie das Menü "Einstellungen" und öffnen Sie es. Unter den Einstellungen sehen Sie links eine Registerkarte „Layout“. Wählen Sie es aus. Sie sehen mehrere Symbole mit verschiedenen Layoutoptionen. Wählen Sie die aus, die Ihnen am besten gefällt. Die erste Option mit dem gestapelten Layout funktioniert normalerweise gut.

Machen Sie sich noch nicht zu viele Gedanken über die Symbolleisten. Die ersten fünf Symbole sind die wichtigsten. Damit können Sie eine Schnittstelle für die Erfassung auswählen, die Erfassungseinstellungen ändern, eine Erfassung starten, eine Erfassung stoppen und eine fortsetzen. Die Symbole selbst sind ziemlich intuitiv.

Aufnahmeoptionen

Bevor Sie mit der Erfassung des Datenverkehrs beginnen, sollten Sie die Erfassungsoptionen untersuchen, um zu sehen, was Wireshark kann. Klicken Sie auf das Symbol für die Aufnahmeoptionen. Es sollte wie ein Zahnrad aussehen.

Das erste, was Sie oben im Fenster sehen, ist eine Tabelle, in der alle Ihre Netzwerkschnittstellen aufgelistet sind. Aktivieren Sie das Kontrollkästchen neben der Schnittstelle, auf der Sie erfassen möchten. In den meisten Fällen verwenden Sie die gewünschte Schnittstelle, um eine Verbindung zum Netzwerk herzustellen. Dies ist derjenige, der Ihrem Ethernet-Port oder WLAN-Gerät entspricht.

Darunter sehen Sie ein paar Kontrollkästchen. Sie werden gefragt, ob Sie den Promiscuous-Modus verwenden möchten. Im Promiscuous-Modus können Sie den Austausch zwischen allen Geräten in einem Netzwerk anzeigen, nicht nur zwischen Ihrem eigenen Computer. Möglicherweise möchten Sie dies aktiviert haben. Sei aber vorsichtig . Die Verwendung des Promiscuous-Modus in einem Netzwerk, das Sie nicht besitzen oder nicht testen dürfen, ist illegal .

Der nächste Abschnitt behandelt die Erfassungsdateien. Mit Wireshark können Sie Ihre erfassten Daten speichern. Im ersten Feld können Sie ein einzelnes Ziel für Ihre Erfassung angeben. Darunter können Sie das Kontrollkästchen aktivieren, damit Wireshark das Erfassungsprotokoll aufteilt. Protokolle können sehr groß werden, insbesondere in größeren Netzwerken. Mit dieser Funktion können Sie Ihre Erfassungsdaten automatisch nach Zeit oder Dateigröße aufteilen. In beiden Fällen ist es eine praktische Funktion, wenn Sie mit Langzeitscans oder einem ausgelasteten Netzwerk arbeiten.

Darunter können Sie die Dauer Ihrer Aufnahme steuern. Auch hier können Captures sehr groß werden, sodass Sie eine maximale Größe festlegen können. Sie können auch eine Zeitüberschreitung festlegen, was sehr hilfreich ist, da Sie so einen Snapshot eines bestimmten Zeitrahmens in Ihrem Netzwerk erstellen können.

Datenverkehr erfassen

Sobald Sie Ihre Einstellungen in Ordnung gebracht haben, können Sie den Datenverkehr in Ihrem Netzwerk erfassen. Wenn Sie so etwas noch nie gemacht haben, seien Sie bereit, sich überraschen zu lassen. In Ihrem Netzwerk fließt viel mehr Verkehr, als Sie wissen. Um die Aufnahme zu starten, klicken Sie entweder auf die Schaltfläche „Start“ am unteren Rand des Konfigurationsfensters oder auf das Haifischflossensymbol. So oder so funktioniert.

Wenn Sie mit der Aufzeichnung beginnen, hängt der angezeigte Datenverkehr davon ab, welche Geräte sich in Ihrem Netzwerk befinden. Während die meisten Menschen nicht in der Lage sind, mit der Verkehrslast Schritt zu halten, die sie sehen, ist es durchaus möglich, dass Sie so gut wie nichts sehen. Wenn dies der Fall ist, öffnen Sie einen Webbrowser und beginnen Sie mit der Navigation. Ihr Capture wird schnell gefüllt.

Nachdem Ihr Capture so lange ausgeführt wurde, wie Sie testen möchten, klicken Sie auf die Stopp-Schaltfläche in der Symbolleiste. Was Sie haben, sollte ungefähr so ​​aussehen wie das obige Bild.

Daten lesen

Klicken Sie auf eines der erfassten Pakete. Versuchen Sie, eine HTTP-Anfrage zu finden. Sie sind in der Regel leichter zu lesen. Wenn Sie ein Paket auswählen, werden die anderen beiden Bereiche des Bildschirms mit Informationen zu dem ausgewählten gefüllt.

Der Abschnitt, auf den Sie achten müssen, enthält zusammenklappbare Registerkarten. Diese Registerkarten folgen dem OSI-Modell und sind von der niedrigsten zur höchsten Ebene angeordnet, wobei die niedrigsten Informationen oben angezeigt werden. Das bedeutet, dass sich die für Sie relevantesten Informationen wahrscheinlich in den unteren Registerkarten befinden.

Jede Registerkarte enthält unterschiedliche Informationen zum Paket. In HTTP-Paketen werden Informationen zu der HTTP-Anforderung angezeigt, einschließlich der Antwort, der Header und möglicherweise sogar einiger HTML-Elemente. Andere Pakettypen enthalten möglicherweise Informationen darüber, welche Ports verwendet werden, welche Verschlüsselung verwendet wird, welche Protokolle verwendet werden und welche MAC-Adressen verwendet werden.

Pakete filtern

Es kann schwierig sein, durch eine Vielzahl von Erfassungsdaten zu stöbern, um genau das zu finden, wonach Sie suchen. Es ist ineffizient und eine enorme Zeitverschwendung. Wireshark verfügt über eine Filterfunktion, mit der Sie Pakete schnell sortieren können, um genau zu finden, was zu einem bestimmten Zeitpunkt relevant ist.

Wireshark bietet einige grundlegende Möglichkeiten zum Filtern von Ergebnissen. Erstens hat es viele eingebaute Filter. Wenn Sie in eines der Filterfelder tippen, zeigt Wireshark diese als Vorschläge für die automatische Vervollständigung an. Wenn einer von denen ist, wonach Sie suchen, großartig! Das Filtern wird sehr einfach sein.

Wireshark verwendet auch sogenannte Boolesche Operatoren. Boolesche Operatoren werden verwendet, um zu bewerten, ob eine Aussage wahr ist oder nicht. Wenn Sie beispielsweise möchten, dass zwei Bedingungen erfüllt werden, verwenden Sie den Operator „und“ zwischen ihnen, da Bedingung 1 und Bedingung 2 beide wahr sein müssen. Der Operator "oder" ist ähnlich, nur dass eine Ihrer Bedingungen erfüllt sein muss. Sie können wahrscheinlich vermuten, dass der Operator "nicht" sucht, wenn eine Bedingung nicht vorhanden ist.

Zusätzlich zu den Booleschen Operatoren unterstützt Wireshark Vergleichsoperatoren. Wie der Name schon sagt, vergleichen Vergleichsoperatoren zwei oder mehr Bedingungen. Sie bewerten die Gleichwertigkeit von Bedingungen als größer, kleiner oder gleich.

Filtern während der Aufnahme

Das Filtern Ihrer Ergebnisse während der Aufnahme ist sehr einfach. Öffnen Sie die Aufnahmeoptionen. Suchen Sie in der Mitte des Fensters nach der Schaltfläche "Aufnahmeoptionen". Daneben sollte sich auch ein großes Textfeld befinden.

Sie können Ihren Filter in diesem Feld von Grund auf neu erstellen oder auf die Schaltfläche klicken und die integrierten Filter von Wireshark verwenden. Versuchen Sie, auf die Schaltfläche zu klicken. Ein neues Fenster mit einer Liste von Filtern wird geöffnet. Wenn Sie auf diese Filter klicken, werden die folgenden Felder ausgefüllt. Das untere Feld ist der tatsächlich verwendete Filter. Sie können diesen Filter als Grundlage für Ihre eigenen benutzerdefinierteren Filter ändern. Wenn Sie fertig sind, klicken Sie auf "OK". Führen Sie dann Ihren Scan wie gewohnt aus. Anstatt alles zu erfassen, erfasst Wireshark nur Pakete, die den Bedingungen Ihres Filters entsprechen. Dies erleichtert das Sortieren und Kategorisieren Ihrer Paketdaten erheblich. Sie müssen nicht viele zusätzliche Informationen durchsuchen, um das zu finden, was Sie benötigen.

Ergebnisse filtern

Wenn Sie eine vollständige Aufnahme oder eine robustere Aufnahme gemacht haben, diese aber nachträglich filtern möchten, können Sie dies auch tun. Nachdem Sie eine Aufnahme durchgeführt haben, wird eine zusätzliche Symbolleiste unter den Steuerungssymbolen angezeigt. Diese Symbolleiste enthält ein Feld "Filter". Sie können Ausdrücke in dieses Feld eingeben, um zu filtern, welche Ergebnisse Wireshark anzeigt.

Wie beim Filtern während der Aufnahme gibt es einen einfachen Weg. Klicken Sie auf die Schaltfläche „Ausdruck“, um ein Fenster zu öffnen, in dem Sie Ihre Filterausdrücke zusammenstellen können. Die linke Spalte enthält eine Liste von Feldern. In diesen Feldern können Sie auswählen, auf welche Informationen Sie abzielen. Die nächste Spalte enthält eine Liste möglicher Beziehungen. Die meisten sind die Symbole für weniger als, größer als, gleich und Kombinationen davon. Die letzte Spalte enthält Werte. Dies sind die Werte, mit denen Sie vergleichen. Abhängig von Ihrem Feld können Sie den Wert auswählen oder eingeben, mit dem Sie vergleichen möchten.

Diese können komplexer werden und Sie können weitere Ausdrücke hinzufügen. Das liegt an den booleschen Operatoren. Diese Booleschen sind jedoch unterschiedlich. In diesem Ausdrucksfeld werden die Symbole für und oder und nicht anstelle der Wörter selbst verwendet. || steht für "oder" && ist "und". Eine einfache! ist nicht."

Wenn Sie zum Beispiel alles außer UDP möchten, verwenden Sie! Udp. Wenn Sie HTTP oder TCP möchten, versuchen Sie es mit http || tcp. Sie können sie auch zu komplexeren Ausdrücken kombinieren. Je komplexer Ihr Ausdruck wird, desto verfeinerter wird Ihr Filter.

Folgende Paketströme

Sobald Sie ein Paket oder Pakete haben, die Sie interessieren, können Sie ein fantastisches integriertes Tool in Wireshark verwenden, um die gesamte „Unterhaltung“ zwischen den beiden Computern zu verfolgen, die diese Pakete austauschen. Durch die Verfolgung von Paketströmen kann Wirshark alles zusammenfassen und ein größeres Ergebnis erzielen. Bei HTTP-Paketen stellt Wireshark wahrscheinlich die HTML-Quelle einer Webseite zusammen. Mit bestimmten unverschlüsselten VOIP-Programmen kann Wireshark sogar das ausgetauschte Audio abrufen. Ja, es kann tatsächlich VoIP-Gespräche mithören.

Klicken Sie mit der rechten Maustaste auf ein Paket, dem Sie folgen möchten. Wählen Sie "Follow … Stream", wobei die Punkte durch das Protokoll des Pakets ersetzt werden. Wireshark benötigt einige Sekunden, um alles zusammenzufügen. Nach Abschluss des Vorgangs zeigt Ihnen Wireshark das fertige Ergebnis an. Diese Funktion macht es viel einfacher, genau zu sehen, was über Ihr Netzwerk ausgetauscht wird. Es zeigt auch, wie wichtig die Netzwerkverschlüsselung ist, da diese Funktion nur bei verschlüsselten Paketen den absoluten Unsinn zusammenfasst.

Schlussgedanken

Wireshark ist ein absolut fantastisches Tool für die Netzwerkanalyse. Es gibt Ihnen Zugriff auf alles, was in Ihrem Netzwerk vor sich geht. Mit Wireshark können Sie besser verstehen, wo die Probleme mit Ihrem Netzwerk liegen, sowohl in Bezug auf Geschwindigkeit als auch in Bezug auf Sicherheit. Denken Sie daran, Wireshark immer mit Vorsicht zu verwenden, und verstehen Sie, dass es sehr aufdringlich ist. Machen Sie keine Spione aus und denken Sie daran, die Verwendung von Wireshark im Rahmen der gesetzlichen Bestimmungen zu halten.

Entdecken Sie Ihr Netzwerk mit wireshark

Die Wahl des Herausgebers

So überprüfen Sie Ihren Mac auf Rootkits

Wenn sich Ihr Mac seltsam verhält und Sie ein Rootkit vermuten, müssen Sie sich ans Werk machen, indem Sie verschiedene Tools herunterladen und scannen. Es ist erwähnenswert, dass Sie ein Rootkit installiert haben könnten, ohne es zu wissen

So machen Sie die private Browsing-Funktion von Safari&8217; tatsächlich privat

Sobald Sie Ihren Webbrowser öffnen, können (und werden) alle Ihre Online-Aktivitäten verfolgt werden. Die Websites, die Sie besuchen, die Dinge, die Sie online kaufen, und die Dienste, bei denen Sie sich anmelden

So konvertieren Sie eine MP3- oder M4A-Datei in einen iPhone-Klingelton

Also, was ist überhaupt ein iPhone-Klingelton. Nun, eigentlich ist es einfach nur ein normales iTunes

8 Nützliche Tastenkürzel für OS X

Apple ist die erste Wahl für Benutzer, die produktiver und effizienter arbeiten möchten, und das aus gutem Grund. Immerhin ist macOS mit vielen Tastaturkürzeln ausgestattet, die das Arbeiten erleichtern

Mac-Tastaturkürzel für den Fall, dass Ihr Mac einfriert

Da Macs zu den zuverlässigsten Computern auf dem Markt gehören, erleben nicht viele Benutzer dieses Gefühl, das Sie bekommen, wenn Sie das sich drehende Rad des Todes auf dem Display sehen. Aber wenn es passiert und Ihr Computer einfriert, ist es gut, die Möglichkeit zu haben, das richtige Tastaturkürzel zu verwenden, um das Problem zu lösen.

Erste Schritte mit Subversion unter Verwendung von SvnX

Wenn Sie ein Entwickler sind, können Sie mit Versionskontrollsoftware Änderungen an Ihrem Code nachverfolgen. Dies ist bei Projekten, bei denen Sie als Teil eines Teams arbeiten, unerlässlich, damit Sie Änderungen verfolgen können, sobald sie auftreten