Mit Wireshark dem Fehler auf der Spur, Teil 1 Netzwerkanalyse mit Wireshark in der Praxis – erste Schritte

Autor / Redakteur: Johann Baumeister / Dipl.-Ing. (FH) Andreas Donner

Ein funktionierendes Netzwerk ist das A und O jeglicher Kommunikation. Wenn es dennoch einmal klemmt, helfen Analysetools. IP-Insider zeigt deren Einsatzbereich und gibt Hilfestellungen zur Netzwerkanalyse.

Firma zum Thema

An professioneller Netzwerkanalyse führt ab einer bestimmten Netzgröße kein Weg vorbei
An professioneller Netzwerkanalyse führt ab einer bestimmten Netzgröße kein Weg vorbei
(© shock - Fotolia.com)

Netzwerkanalysetools helfen bei der Suche nach Fehler in der Kommunikation von Systemen. Sie analysieren Protokolle und Datenströme und helfen, Fehler einzugrenzen.

Damit unterschiedliche Geräte überhaupt miteinander kommunizieren können, müssen einige Voraussetzungen gelten. Sie müssen die gleiche Sprache sprechen und sich an einige Regeln halten. Für die Kommunikation von IT-Systemen wurden diese Regeln schon vor Jahrzehnten in dem ISO/OSI-Modell festgeschrieben. Diese Definitionen legen fest, wie IT-Geräte bzw. System miteinander kommunizieren und welche Netzwerk-Protokolle sie dafür verwenden.

Bildergalerie
Bildergalerie mit 5 Bildern

Getreu diesem Modell ging man seinerzeit von 7 Schichten aus. Ganz unten befindet sich die Definition der Kommunikationshardware, das obere Ende dient für Kommunikation der Anwendungen untereinander. Der Protokoll-Stack TCP/IP, der sich mittlerweile als de-facto Standard etabliert hat, gehört zu den mittleren Schichten 3, 4 und ggf. auch höher; siehe Abbildung 1.

TCP/IP wird in unterschiedlichen Bedeutungen verwendet. Mal steht es für ein ganzes Paket an Diensten oder aber auch allein für die beiden Protokolle IP und TCP. Wichtig zu wissen ist aber vor allem eines: Die Kommunikationsschichten des ISO/OSI-Modells bauen aufeinander auf. TCP nutzt IP zur Übertragung der Pakete. Die höheren Dienste wie DHCP, ftp, http oder etwa das Mailprotokoll POP3 nutzen wiederum die Dienste von TCP oder auch direkt IP. Dabei werden die Datenpakete jeweils gekapselt. Diese Tatsache ist wichtig für die Arbeit mit Wireshark.

Voraussetzungen für den Einsatz

Als Hilfsmittel für unsere exemplarische Netzwerkanalyse nutzen wir das Werkzeug Wireshark. Wireshark ist kostenfrei verfügbar. Es wird für Windows und verschiedene Linux-Derivate angeboten.

Wireshark ist ein ausgereiftes Analysetool und steht den kommerziellen Produkten in nichts nach. Wireshark besteht aus zwei Modulen: einem Netzwerkscanner und der nachgeschalteten Analyse.

Der Scanner wird durch PCAP bzw. WinPCAP gebildet. Diese Module lesen jedes übertragene Byte auf den Netzwerken mit. Dies hat ihnen die Bezeichnung Sniffer (Schnüffler) eingebracht. Dazu aktivieren sie den „Promiscous Mode“ der Netzwerkkarte. Wireshark wird daher nur mit Karten funktionieren, die diesen Modus unterstützen. Für die gängigen Netzwerkkarten ist dieses aber gegeben.

Die richtige Position des Sniffers

Wichtig für den Einsatz von Wireshark ist außerdem die Position des Scanners im Netzwerk. Denn der Scanner kann natürlich nur an jene Daten gelangen, die auch in seiner Reichweite sind. Liegt bspw. ein geswitchtes Netzwerk zugrunde, gilt es aufzupassen. Denn Layer-2-Switches sorgen im Normalfall dafür, dass die Datenpakete zwischen einem Sender und Empfänger nicht auf die andern Ports gelangen.

In diesem Fall wird die Funktion des „Port Mirroring“ oder „Port Forwarding“ Abhilfe schaffen. Sie sorgt dafür, dass alle Daten eines Ports auch auf einen andern weitergeleitet („forwarded“) oder gespiegelt werden; siehe Abbildung 3. Alternativ kann Wireshark auch als Man-in-the-Middle platziert werden. Dabei wird jeglicher Datenverkehr über Wireshark geschleust.

Egal für welche Lösung man sich entscheidet, Wireshark benötigt immer eine tiefe Integration in das Netzwerk. Ob diese möglich ist, hängt von der jeweiligen Situation ab. Zwingend beachten werden müssen ferner die datenrechtlichen Bestimmungen. Dabei gilt es im Vorfeld zu klären, ob es in der jeweiligen Umgebung überhaupt zulässig ist Datenpakete zu analysieren? Hierzu müssen zwingend vorher die datenschutzrechtlichen Vereinbarungen geprüft werden. Mitunter ist auch der Betriebsrat zu konsultieren.

weiter mit: Setup und erste Schritte

Setup von Wireshark

Um Wireshark einzurichten laden Sie sich nun die passende Version von der Website. Anschließend richten Sie diese auf Ihrem Rechner ein. Das Setup selbst ist wenig spektakulär und sollte keine Probleme bereiten; siehe Abbildung 4. Sie werden im Rahmen des Setups feststellen dass dabei auch das Modul PCAP bzw. WinPCAP eingerichtet wird. Dieses wird zum Lesen der Daten vom Netzwerk benötigt und muss daher mit eingerichtet werden.

Nach dem Start öffnet sich ein Übersichtbildschirm. Unter Capture finden Sie die beiden Zweige „Interface List“ und „Capture Options“. Als „Interface“ werden die Netzwerkschnittstellen bezeichnet. Über eine dieser Schnittstellen liest Wireshark die Kommunikation im Netzwerk mit. Die „Options“ erlauben eine weitere Konfiguration der Arbeitsweise des Tools.

Adressauflösung mittels ARP

Um die Vielfalt der Wireshark Analysen zu erkunden ist es hilfreich, ein komplexes Netz zu betrachten. Für die ersten Schritte allerdings wollen wir uns auf zwei Rechner konzentrieren.

Verbinden sie die beiden über einen Hub. Selektieren Sie nun ein Interface, wenn der Rechner nur eines hat, dann eben diese eine, das Sie als Scan-Schnittstelle verwenden wollen und starten den Scanvorgang. Anschließend wechselt die Anzeige und sie sehen alle Netzwerkpakete, die Wireshark zu Gesicht bekommt.

Die Anzeige ist mehrfach unterteilt. Ganz oben sind die Nachrichten zeilenweise eingeblendet. Ganz unten sehen Sie den Hex-Code der Nachricht. Im mittleren Bereich ist die eigentlich Analyse von Wireshark zu sehen.

Starten Sie nun einen Ping von einem Gerät auf das andere. Der Ping wird als ICMP-Nachricht versandt. ICMP-Nachrichten sind kurze Datagramm, die direkt über IP (ohne TCP) versendet werden.

Dazu fragt der Sender per Broadcast die MAC-Adresse des Ping-Empfängers ab. Dies passiert über das ARP-Protocol (Adress Resolution Protocol). Das System, dessen IP-Adresse mit der im ARP-Request übereinstimmt, antwortet in einem ARP-Reply darauf. In Abbildung 5 finden Sie diese beiden Pakete, den Arp-Request und das ARP-Reply in den Zeilen 2 und 3 eingeblendet. In den Bildern bzw. der weiteren Daten im mittleren Bereich des Fensters sehen Sie auch die Broadcast-Adresse des ARP-Requests.

In diesem ersten Teil haben wir die Grundlagen für die Arbeit mit Wireshark gelegt, das Setup erläutert und die erste Analyse gestartet. Im zweiten Teil widmen wir uns ganz dem praktischen Teil und der Analyse weitergehender Kommunikationsabläufe wie etwa DNS, sowie der Analyse von Audio- und Videostreams.

Artikelfiles und Artikellinks

(ID:31838530)