Willemers Informatik Ecke: Wireshark

Wireshark ist ein Tool, um Netzwerkpakete zu beobachten. Es ist auf dem Client installiert und im Menü anhand der großen Haifischflosse leicht zu erkennen.

Nach dem Start sehen Sie die Liste aller Netzwerkschnittstellen des Computers. Wählen Sie die relevante oder einfach alle (any) durch Doppelklick aus. Wireshark setzt sich auf die Netzwerkschnittstelle und protokolliert alles, was daran vorbeikommt.

Wireshark gehört nicht zum Standardumfang von Linux und wird bei Debian, Ubuntu und Linux Mint mit dem folgenden Befehl installiert.

# apt-get install wireshark

Wireshark muss auf die Netzwerkschnittstellen direkt zugreifen können. Dieser Zugriff erfolgt über das Programm dumpcat. Das ist allerdings normalerweise nur dem Administrator (root) erlaubt. Darauf weist ein Dialog hin. Anschließend wird gefragt, ob der Zugriff für alle Benutzer erlaubt werden soll.

Should non-superusers be able to capture packets?

Hier wird mit <Yes> bzw. <Ja> geantwortet. Allerdings genügt das nicht. Jeder Benutzer, der Wireshark verwenden soll (hier im Beispiel user) muss auch zur Gruppe wireshark hinzugefügt werden. Der folgende Befehl erreicht dies.

sudo usermod -a -G wireshark user

Danach muss sich der Benutzer mindestens ein Mal neu anmelden, besser einen Reboot durchführen. Nach dem Start von Wireshark müssen jedenfalls die Netzwerkschnittstellen sichtbar sein.

Will man alle Schnittstellen überwachen, klickt man doppelt auf any. Weitere Hinweise zur Installation findet man in der beigefügten Doku.

zless /usr/share/doc/wireshark-common/README.Debian.gz

Sollte man nachträglich die Entscheidung bei der Installation ändern wollen, hilft eine Neuinstallation wenig, da sie ggf. nicht die Frage nach den non-superusers bringt. Hier hilft eine Nachkonfiguration mit dem Befehl:

sudo dpkg-reconfigure wireshark-common

Wenn gar nichts hilft, funktioniert natürlich die brutale Methode, den Wireshark mit root-Rechten zu starten.

sudo wireshark

Aufteilung des Bildschirms

Nachdem die Schnittstelle ausgewählt ist, beginnt Wireshark sofort damit, die Schnittstellen zu überwachen. In der obersten Zeile kann ein Filter gesetzt werden. In der Abbildung wurde hier http gewählt. Im Hintergrund wurde Firefox als Browser gestartet. Dann wurde in der oberen Liste die Zeile mit dem GET-Befehl des Browsers markiert.

Ganz oben gibt es eine Eingabezeile für die Filter.
Im oberen Teil des Bildschirms sehen Sie die Liste aller Pakete, die Wireshark auf der Schnittstelle sehen kann.
Im mittleren Feld wird das ausgewählte Paket anhand der Kenntnisse, die Wireshark über das Protokoll hat, in seine Bestandteile zerlegt. Damit ist beispielsweise die Struktur eines HTTP-Pakets leicht zu untersuchen.
Das ausgewählte Paket wird in dem untersten Teil in seiner rohen Darstellung als hexadezimale Zahlen und Buchstaben dargestellt.

Die Paketliste

Im Folgebildschirm erscheint eine Liste aller Pakete, die Wireshark über die Schnittstelle laufen sieht. Die Spalten zeigen folgende Angaben:

No: Die Pakete werden von Wireshark durchnummeriert.
Time: Millisekunden seit dem Start von Wireshark
Source: Der Absender
Destination: Der Empfänger
Protocol
Length
Info: Nähere Informationen über die Art des Pakets

Diese werden (im RAM) aufgezeichnet. Das rote Quadrat oben stoppt die Aufzeichnung. Dadurch wird die Haifischflosse links blau, mit der Sie die Aufzeichnung später wieder aufnehmen können. Sie können nun die Filter setzen und deren Auswirkungen bearbeiten.

Filter

Unter der Symbolleiste finden Sie eine Filterzeile. Hier können Sie filtern, welche Pakete Sie sehen wollen.

Beispiel: ip.add==192.168.0.1 && tcp.port==25

Informationen darüber, wie Sie einen Filter aufsetzen, finden Sie unter der folgenden URL:

wiki.wireshark.org/DisplayFilters

Start und Stopp

Mit Klick auf die Haifischflosse wird die Protokollierung der Pakete gestartet. Mit dem Klick auf das rote Rechteck wird sie wieder gestoppt.