Mit Wireshark dem Fehler auf der Spur, Teil 1

Netzwerkanalyse mit Wireshark in der Praxis – erste Schritte

Seite: 2/2

Firma zum Thema

Setup von Wireshark

Um Wireshark einzurichten laden Sie sich nun die passende Version von der Website. Anschließend richten Sie diese auf Ihrem Rechner ein. Das Setup selbst ist wenig spektakulär und sollte keine Probleme bereiten; siehe Abbildung 4. Sie werden im Rahmen des Setups feststellen dass dabei auch das Modul PCAP bzw. WinPCAP eingerichtet wird. Dieses wird zum Lesen der Daten vom Netzwerk benötigt und muss daher mit eingerichtet werden.

Nach dem Start öffnet sich ein Übersichtbildschirm. Unter Capture finden Sie die beiden Zweige „Interface List“ und „Capture Options“. Als „Interface“ werden die Netzwerkschnittstellen bezeichnet. Über eine dieser Schnittstellen liest Wireshark die Kommunikation im Netzwerk mit. Die „Options“ erlauben eine weitere Konfiguration der Arbeitsweise des Tools.

Bildergalerie
Bildergalerie mit 5 Bildern

Adressauflösung mittels ARP

Um die Vielfalt der Wireshark Analysen zu erkunden ist es hilfreich, ein komplexes Netz zu betrachten. Für die ersten Schritte allerdings wollen wir uns auf zwei Rechner konzentrieren.

Verbinden sie die beiden über einen Hub. Selektieren Sie nun ein Interface, wenn der Rechner nur eines hat, dann eben diese eine, das Sie als Scan-Schnittstelle verwenden wollen und starten den Scanvorgang. Anschließend wechselt die Anzeige und sie sehen alle Netzwerkpakete, die Wireshark zu Gesicht bekommt.

Die Anzeige ist mehrfach unterteilt. Ganz oben sind die Nachrichten zeilenweise eingeblendet. Ganz unten sehen Sie den Hex-Code der Nachricht. Im mittleren Bereich ist die eigentlich Analyse von Wireshark zu sehen.

Starten Sie nun einen Ping von einem Gerät auf das andere. Der Ping wird als ICMP-Nachricht versandt. ICMP-Nachrichten sind kurze Datagramm, die direkt über IP (ohne TCP) versendet werden.

Dazu fragt der Sender per Broadcast die MAC-Adresse des Ping-Empfängers ab. Dies passiert über das ARP-Protocol (Adress Resolution Protocol). Das System, dessen IP-Adresse mit der im ARP-Request übereinstimmt, antwortet in einem ARP-Reply darauf. In Abbildung 5 finden Sie diese beiden Pakete, den Arp-Request und das ARP-Reply in den Zeilen 2 und 3 eingeblendet. In den Bildern bzw. der weiteren Daten im mittleren Bereich des Fensters sehen Sie auch die Broadcast-Adresse des ARP-Requests.

In diesem ersten Teil haben wir die Grundlagen für die Arbeit mit Wireshark gelegt, das Setup erläutert und die erste Analyse gestartet. Im zweiten Teil widmen wir uns ganz dem praktischen Teil und der Analyse weitergehender Kommunikationsabläufe wie etwa DNS, sowie der Analyse von Audio- und Videostreams.

Artikelfiles und Artikellinks

(ID:31838530)