Linux Bibel online

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Nicht-kommerziell - Weitergabe unter gleichen Bedingungen 3.0 Österreich Lizenz.

Change language by Google translator: ...

Wenn man wissen will was so im Netzwerk passiert, welche Daten dort fließen, welche Daten das System wohin sendet liegt man mit der Software Wireshark richtig. Der Netzwerk-Hai überwacht nicht nur die eingestellte Netzwerkkarte sondern das gesamte lokale Netzwerk, zudem zeigt die Software welche Daten von wo wohin gesendet werden oder auch woher welche Daten kommen, zudem zeigt die Software wenn möglich auch noch an was das System sendet. Egal welches Betriebssystem die Software überwachen soll - Wireshark kommt damit klar. In diesem Beitrag werden wir diese Software nun ein wenig näher kennen lernen.

Wireshark installieren

Um die Software unter auf DebianDie Distribution Debian basierenden Systemen wie natürlich auch UbuntuDie Distribution Ubuntu, KubuntuDie Distribution Kubuntu, Linux Mint und so weiter zu installieren nutzen Sie einfach die Paket-VerwaltungSoftware installieren, aktualisieren & löschen - darüber installieren Sie das Paket "wireshark".

Wireshark nutzen

Wireshark ist eine Software die alle möglichen Daten erfasst, welcher Nutzer mit welcher Software von welchem System welche Daten wohin sendet und welche Daten in das System / Netzwerk gelangen - darum ist diese Software eine Anwendung für den AdministratorAls Nutzer "root" arbeiten.

Sie finden die Software im Anwendungsmenü im Bereich "Internet", auf manchen Desktop-Umgebungen auch unter "System", alternativ starten Sie über den SchnellstarterEinführung zum Schnellstarter (Alt + F2) oder über das TerminalArbeiten mit dem Terminal durch den Befehl:

wireshark

Wireshark - der Netzwerk-Sniffer unter Linux

Wireshark - der Netzwerk-Sniffer unter Linux

In dieser Version zeigt die Software bereits alle aktiven Netzwerkschnittstellen an - man muss diese nur noch anklicken, in älteren müssen Sie diese erst über das Menü "Aufzeichnen / Optionen" auswählen:

Wireshark - der Netzwerk-Sniffer unter Linux

Wireshark - der Netzwerk-Sniffer unter Linux - Schnittstelle wählen

Hier haben Sie wie man sieht auch mehrere Schnittstellen zur selben Zeit die Sie alle wenn gewünscht zum Aufzeichnen aktivieren können, in der Startseite haben Sie nur die Möglichkeit eine einzelne zu wählen.

Hier besteht nun auch schon die Möglichkeit diverse Filter anzugeben die die Ausgabe etwas übersichtlicher machen, darum kümmern wir uns aber etwas später. Zum Aufzeichnen aktiviert man nun die gewünschten Schnittstellen, schließt die Einstellungen und startet über die Schaltfläche "Aufzeichnen von Paketen starten", wird nur eine einzelne Schnittstelle gewünscht genügt in neueren Versionen auch ein Doppelklick auf die gewünschte:

Wireshark - der Netzwerk-Sniffer unter Linux

Wireshark - der Netzwerk-Sniffer unter Linux - Daten

Wireshark zeichnet nun jegliche Kommunikation über die gewählten Schnittstellen (also auch das komplette Netzwerk) auf und zeigt die Informationen in den Feldern an. Das erste Feld von oben zeigt nun jedes einzelne Paket von oben nach unten an, reiht diese von "1" (das erste Paket seit der Aufzeichnung) bis unendlich auf. Das Feld "No." zeigt die Nummer der Paketes der Reihe nach an, "Time" die Zeit in Millisekunden seit der Aufzeichnung, "Source" die IP-Adresse des Rechners / der Schnittstelle von dem das Paket gesendet wurde und "Destination" das Ziel des Paketes, also die IP-Adresse des Ziel-Rechners / der Ziel-Schnittstelle. "Protocol" gibt das Übertragungsprotokoll - also "tcp" oder "udp" an, "Lengt" die Größe des Paketes in Bit und "Info" zeigt zusätzliche Informationen:

Wireshark - der Netzwerk-Sniffer unter Linux

Wireshark - der Netzwerk-Sniffer unter Linux - Quelle & Ziel

Klicken Sie eine einzelne Paket-Zeile mit der rechten Maustaste an haben Sie mehrere Möglichkeiten die jetzt mehr an absolute Profis gehen, über "Paket in neuem Fenster anzeigen" bekommen Sie jedoch alle Daten über dieses Paket in ein einzelnes Fenster was die Übersicht stark verbessert:

Wireshark - der Netzwerk-Sniffer unter Linux

Wireshark - der Netzwerk-Sniffer unter Linux - einzelnes Paket

Markieren Sie nun eine Paket-Zeile in diesem Feld sehen Sie im Feld darunter die Einzelheiten, also den Inhalt des markierten Paketes das sich wiederum in verschiedene Informationen aufteilt:

Wireshark - der Netzwerk-Sniffer unter Linux

Wireshark - der Netzwerk-Sniffer unter Linux - Paket-Inhalt

Im Grunde genommen gibt es die Daten des obersten Feldes wieder, jedoch um vieles genauer. Das unterste Feld wiederum zeigt den tatsächlichen Inhalt des Paketes in seine unterschiedlichen Segmente unterteilt:

Wireshark - der Netzwerk-Sniffer unter Linux

Wireshark - der Netzwerk-Sniffer unter Linux - ASCII-Ausgabe

Dieses Feld zeigt den tatsächlichen Inhalt, also was wirklich im Paket steckt, nimmt man das richtige Paket finden sich darin Passwörter, übertragene Daten und vieles mehr.

Damit sich die Daten auch später wieder verwerten lassen lässt sich die komplette Aufzeichnung ganz einfach in eine Datei speichern, dies gelingt ganz einfach über das Menü "Datei / Speichern".

Besonders die Statistiken zeigen sehr übersichtlich in unterschiedlichen Variationen was während der Aufzeichnung wirklich geschehen ist, wer mit wem kommuniziert hat und vieles mehr.

Filter

Alleine wenn man nur wenige Minuten den Netzwerkverkehr mitgeschnitten hat kommen Unmengen von Paketen zusammen die dann alles andere als übersichtlich sind. Um hier Daten wie gewünscht auszuwerten lässt man sich von den aufgezeichneten Daten nur solche anzeigen die man sehen will, hier helfen nun "Filter" die man ganz einfach in das Eingabefeld für die Filter ein gibt. Hier jetzt anzufangen die Filter zu beschreiben wäre etwas extrem, die Seite würde nie enden. Sie haben jedoch eine ausgezeichnete ManpageHilfe im System finden durch die Installation von Wireshark mit auf das System bekommen die Sie einfach auf dem TerminalArbeiten mit dem Terminal durch den Befehl:

man wireshark-filter

öffnen.

Suche Nach oben Startseite Mail an den Autor Links rund um Linux

SiteLock