Nach dem Start sehen Sie die Liste aller Netzwerkschnittstellen des Computers. Wählen Sie die relevante oder einfach alle (any) durch Doppelklick aus. Wireshark setzt sich auf die Netzwerkschnittstelle und protokolliert alles, was daran vorbeikommt.
Wireshark gehört nicht zum Standardumfang von Linux und wird bei Debian, Ubuntu und Linux Mint mit dem folgenden Befehl installiert.
# apt-get install wiresharkWireshark muss auf die Netzwerkschnittstellen direkt zugreifen können. Dieser Zugriff erfolgt über das Programm dumpcat. Das ist allerdings normalerweise nur dem Administrator (root) erlaubt. Darauf weist ein Dialog hin. Anschließend wird gefragt, ob der Zugriff für alle Benutzer erlaubt werden soll.
Should non-superusers be able to capture packets?
Hier wird mit <Yes> bzw. <Ja> geantwortet. Allerdings genügt das nicht. Jeder Benutzer, der Wireshark verwenden soll (hier im Beispiel user) muss auch zur Gruppe wireshark hinzugefügt werden. Der folgende Befehl erreicht dies.
sudo usermod -a -G wireshark userDanach muss sich der Benutzer mindestens ein Mal neu anmelden, besser einen Reboot durchführen. Nach dem Start von Wireshark müssen jedenfalls die Netzwerkschnittstellen sichtbar sein.
Will man alle Schnittstellen überwachen, klickt man doppelt auf any. Weitere Hinweise zur Installation findet man in der beigefügten Doku.
zless /usr/share/doc/wireshark-common/README.Debian.gzSollte man nachträglich die Entscheidung bei der Installation ändern wollen, hilft eine Neuinstallation wenig, da sie ggf. nicht die Frage nach den non-superusers bringt. Hier hilft eine Nachkonfiguration mit dem Befehl:
sudo dpkg-reconfigure wireshark-commonWenn gar nichts hilft, funktioniert natürlich die brutale Methode, den Wireshark mit root-Rechten zu starten.
sudo wireshark
Aufteilung des Bildschirms
Nachdem die Schnittstelle ausgewählt ist, beginnt Wireshark sofort damit, die Schnittstellen zu überwachen. In der obersten Zeile kann ein Filter gesetzt werden. In der Abbildung wurde hier http gewählt. Im Hintergrund wurde Firefox als Browser gestartet. Dann wurde in der oberen Liste die Zeile mit dem GET-Befehl des Browsers markiert.
- Ganz oben gibt es eine Eingabezeile für die Filter.
- Im oberen Teil des Bildschirms sehen Sie die Liste aller Pakete, die Wireshark auf der Schnittstelle sehen kann.
- Im mittleren Feld wird das ausgewählte Paket anhand der Kenntnisse, die Wireshark über das Protokoll hat, in seine Bestandteile zerlegt. Damit ist beispielsweise die Struktur eines HTTP-Pakets leicht zu untersuchen.
- Das ausgewählte Paket wird in dem untersten Teil in seiner rohen Darstellung als hexadezimale Zahlen und Buchstaben dargestellt.
Die Paketliste
Im Folgebildschirm erscheint eine Liste aller Pakete, die Wireshark über die Schnittstelle laufen sieht. Die Spalten zeigen folgende Angaben:- No: Die Pakete werden von Wireshark durchnummeriert.
- Time: Millisekunden seit dem Start von Wireshark
- Source: Der Absender
- Destination: Der Empfänger
- Protocol
- Length
- Info: Nähere Informationen über die Art des Pakets
Filter
Unter der Symbolleiste finden Sie eine Filterzeile. Hier können Sie filtern, welche Pakete Sie sehen wollen.Beispiel: ip.add==192.168.0.1 && tcp.port==25
Informationen darüber, wie Sie einen Filter aufsetzen, finden Sie unter der folgenden URL:
Start und Stopp
Mit Klick auf die Haifischflosse wird die Protokollierung der Pakete gestartet. Mit dem Klick auf das rote Rechteck wird sie wieder gestoppt.