Definition

Was ist Wireshark?

| Autor / Redakteur: Stefan Luber / Andreas Donner

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)

Mit Wireshark lässt sich Datenverkehr auf unterschiedlichen Kommunikationsschnittstellen mitlesen, aufzeichnen und analysieren. Die Software ist frei erhältlich und für die Protokoll-Analyse, das Netzwerk-Monitoring oder das Troubleshooting einsetzbar.

Bei Wireshark handelt es sich um eine frei erhältliche, quelloffene Software unter GNU General Public License. Die Software ist für unterschiedliche Betriebssysteme wie Windows, Linux, macOS oder Solaris verfügbar und kann für die Protokoll-Analyse von Datenverbindungen eingesetzt werden.

Wireshark ist in der Lage, Datenverkehr auf unterschiedlichen Schnittstellen wie Ethernet-, USB- oder WLAN-Schnittstellen mitzulesen, die Daten aufzuzeichnen und sie zu analysieren. Wichtige Einsatzbereiche sind das Netzwerk-Monitoring, die Fehlersuche und Fehleranalyse, die Protokoll-Analyse und die IT-Sicherheitsüberwachung. Auch bei Hackern ist das Programm ein beliebtes Tool.

Entstanden ist die Software aus dem Vorläufer Ethereal. Sie wurde von einem Team um Gerald Combs entwickelt. Die erste Version von Wireshark war Version 0.99.1 und erschien im Jahr 2006. Version 1.0 folgte im Jahr 2008. Wireshark 2.0 wurde im Jahr 2015 veröffentlicht und mit einer neuen Bedienoberfläche ausgestattet. Der Vorgänger Ethereal existiert noch immer, wird aber nicht mehr weiterentwickelt.

Wireshark erkennt als paketorientierter Sniffer viele verschiedene Protokolle und stellt die wichtigsten Informationen der Protokollheader übersichtlich und leicht lesbar dar. Für das Mitlesen der Daten nutzt Wireshark Zusatzprogramme wie WinPcap, usbpcap oder pcap. Capture-Daten anderer Netzwerk-Analysatoren lassen sich einlesen und analysieren. Zur anschaulichen Darstellung der aufgezeichneten Daten sind Verbindungsübersichten, statistische Informationen zum Datenfluss und Ablaufdiagramme von Kommunikationsverbindungen erstellbar. Darüber hinaus sind binäre Daten aus dem aufgezeichneten Datenstrom extrahierbar.

Im Laufe der Jahre hat sich Wireshark als Standard-Tool für Netzwerkanalysen etabliert. Auf den Download-Seiten von Wireshark sind Quellpakete und Installationsprogramme für Unix-Systeme, Windows und macOS zu finden. Installationsassistenten für Windows sorgen neben der Installation des Hauptprogramms für das Aufspielen der zum Mitlesen benötigten Zusatzprogramme wie WinPcap.

Die technischen Möglichkeiten und Anwendungsbereiche von Wireshark

Die technischen Möglichkeiten der Software sind sehr vielfältig. Die mitgelesenen Daten lassen sich während der Aufzeichnung oder danach in Form von einzelnen Paketen mit leicht lesbaren Headerinformationen darstellen. Über verschiedene Protokollfilter werden die Daten aufbereitet. Auch der tatsächliche Inhalt der Datenpakete ist auswertbar. Am häufigsten wird der Netzwerk-Sniffer für die Protokoll-Analyse auf den Schnittstellen Ethernet und im WLAN für Netzwerkprotokolle der TCP/IP-Familie eingesetzt.

Darüber hinaus ist das Tool in der Lage, Datenverkehr auf anderen Schnittstellen wie Bluetooth oder USB aufzuzeichnen und auszuwerten. Voraussetzung für das Mitlesen auf der jeweiligen Schnittstelle ist die Installation eines entsprechenden Capture-Programmpakets wie WinPcap sowie die Zugriffsberechtigung des Users auf die jeweilige Schnittstelle.

Wireshark extrahiert bei diversen Protokollen Metainformationen aus dem Kontext des Datenflusses und zeigt diese an. Anwendern steht die Möglichkeit zur Verfügung, eigene Module und Filter für ein bestimmtes Netzwerkprotokoll zu erstellen.

Ohne die Verwendung von Filtern zeichnet Wireshark den kompletten Datenverkehr der Schnittstelle auf. Um die Datenmenge zu reduzieren und sich auf das zu analysierende Netzwerkprotokoll zu beschränken, bietet das Tool die Möglichkeit, Capture-Filter zu nutzen. Capture-Filter lassen sich beispielsweise für bestimmte IP-Adressen, Protokolle, Protokollnachrichten und viele weitere Parameter konfigurieren. Ein Filter mit vorgegebenen IP-Adresse beschränkt den aufgezeichneten Verkehr auf die Pakete von und zu einzelnen Netzwerkkomponenten.

Über die Stream-Verfolgung ist es möglich, gezielt einzelne TCP-Streams aufzuzeichnen und zu analysieren. Weitere wichtige Features von Wireshark sind die Statistik-Funktionen. Sie erlauben das Erstellen von Statistiken zum Datenverkehr hinsichtlich Parameter wie Paketlängen, Typen von Netzwerkprotokollen, Verbindungsendpunkten, Antwortzeiten, Kommunikationsbeziehungen oder IP-Adressen. Funktionen zu UDP Multicast-Streams, Signal-Traffic (SIP) und Voice-Traffic (RTP) analysieren den VoIP-Verkehr auf einer Netzwerkschnittstelle sehr genau und tiefgehend. Mit wenigen Klicks sind die verschiedenen RTP-Streams herausgefiltert und grafisch dargestellt. Per Statistikfunktionen sind die für die Qualität der VoIP-Kommunikation wesentlichen Merkmale wie Jitter oder Delay extrahier- und anzeigbar.

Der Einsatz von Wireshark in geswitchten Netzwerken

Wireshark kann nur den Datenverkehr einer bestimmten Schnittstelle des Rechners, auf dem die Software installiert ist, mitlesen. In einer geswitchten Umgebung sind das nur die vom Rechner gesendeten oder empfangenen Pakete sowie die an alle adressierten Broadcast-Pakete. Nur in einem unverschlüsselten WLAN oder am Port eines Hubs ist sämtlicher Netzwerkverkehr, auch der anderer verbundener Rechner, mitlesbar.

Soll in einer geswitchten Umgebung der Verkehr eines bestimmten Rechners mitgeschnitten und analysiert werden, empfiehlt sich die Verwendung der so genannten Mirror-Funktion eines Switches. Sie sorgt dafür, dass der Netzwerkverkehr eines definierten Switchports auf einen anderen Port gespiegelt wird. Dort kann dann ein Rechner mit installiertem Netzwerk-Sniffer angeschlossen werden. Dieser ist in der Lage, den Datenverkehr des gespiegelten Ports aufzuzeichnen und auszuwerten.

Wireshark als Analysetool von Capture-Daten anderer LAN-Analysatoren

Wireshark analysiert nicht nur Datenverkehr, den das Programm selbst aufgezeichnet hat, sondern liest auch Capture-Daten verschiedener Formate anderer LAN-Analysatoren oder Netzkomponenten ein. Zahlreiche Geräte wie Router oder Switches verschiedener Hersteller bieten die Möglichkeit, Datenverkehr in einem für Wireshark lesbaren Format aufzuzeichnen. Dazu zählen beispielsweise die in Deutschland sehr beliebten Fritzbox-Router des Herstellers AVM. Die vom Netzwerkgerät gelieferten Daten lassen sich in Wireshark öffnen und flexibel auswerten.

Die Schwachstellen der IT-Sicherheit mit Wireshark aufspüren

Ein wichtiges Einsatzgebiet des Protokollanalysators ist das Umfeld der Netzwerk-Security. Mit der Software kann die IT-Sicherheit überprüft werden. Schwachstellen lassen sich aufspüren und verdächtiger Datenverkehr identifizieren. So sind sämtliche Kommunikationspartner einer bestimmten Netzwerkstation anhand der IP-Adressen identifizierbar. Verdächtige Pakete zu oder von unbekannten IP-Adressen sind schnell bestimmt. Kommt die Software an zentralen Schnittstellen eines Netzwerks wie beispielsweise auf dem Interface zum Internetanschluss oder an der WAN-Schnittstelle eines Routers zum Einsatz, erfasst die Software sämtlichen ein- und ausgehenden Verkehr mit allen wichtigen Informationen. Der komplette Datenverkehr ist hinsichtlich IT-Sicherheit auswertbar.

Gesetzliche und datenschutzrechtliche Aspekte zum Einsatz von Wireshark

Beim Einsatz von Wireshark sind einige gesetzliche Aspekte zu beachten. In Deutschland ist es verboten, fremde Netzwerkverbindungen mitzulesen und aufzuzeichnen. Während die Verwendung des Netzwerkanalysators im eigenen Netz in der Regel unproblematisch ist, muss für den Einsatz des Tools in fremden Netzwerkumgebungen eine Erlaubnis eingeholt werden. Auch die datenschutzrechtlichen Bestimmungen sind bei der Aufzeichnung, Speicherung und Weitergabe von Mitschnitten unbedingt einzuhalten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

16 Open-Source- und Freeware-Tools zur Netzwerk-Analyse

Schnelle System- und Netzwerkanalyse mit kostenfreier Software

16 Open-Source- und Freeware-Tools zur Netzwerk-Analyse

Um sich einen schnellen Überblick über den aktuellen Netzwerkstatus zu verschaffen, ist es nicht immer notwendig, kommerzielle Software zu kaufen. Aber auch für erweiterte Analysen gibt es im Open-Source- und Freeware-Bereiche die eine oder andere Lösung, die kommerziellen Lösungen in nichts nachsteht. Wir stellen 16 empfehlenswerte Werkzeuge vor. lesen

Cradlepoint unterstützt OBD-2

NetCloud OS 6.5 wird sicherer und empfängt Telemetriedaten

Cradlepoint unterstützt OBD-2

Nutzer des mobilen Routers Cradlepoint IBR1700 können Telemetriedaten von Fahrzeugen nun per OBD-2 auslesen und weiterverarbeiten. Möglich wird das durch ein SDK sowie NetCloud OS 6.5. Das Firmware-Update birgt überdies neue Funktionen für weitere Router. lesen

Fingbox: ARP-Rowdy mit guten Absichten

Nutzer müssen Fingbox in the Middle vertrauen

Fingbox: ARP-Rowdy mit guten Absichten

Für ein einfaches Netzwerkgerät ohne Routingfunktionen bietet die Fingbox einen erstaunlichen Funktionsumfang. Wir haben uns genauer angeschaut, welche technischen Tricks der Anbieter hierfür nutzt. lesen

Ixia unterstützt weitere Public Clouds

CloudLens liefert Visibility für Azure, GCP, Bluemix und Alibaba

Ixia unterstützt weitere Public Clouds

Ixia erweitert die Verfügbarkeit der „CloudLens Visibility Platform“. Die SaaS-Lösung ist nun auch für Microsoft Azure, Google Cloud Platform, IBM Bluemix und Alibaba Cloud zu haben. lesen

Erste Schritte mit Wireshark

So funktioniert die Opensource-Netzwerkanalyse

Erste Schritte mit Wireshark

Geht es um die Analyse von Netzwerken, gehört die Opensource-Lösung Wireshark zu den bekanntesten Lösungen dafür. Das Tool steht für Netzwerkanalysen auch als portable Version zur Verfügung. lesen

So überprüfen Sie Ihre DHCP-Dienste

Automatische Adressvergabe kostenlos testen

So überprüfen Sie Ihre DHCP-Dienste

Administratoren, die im Netzwerk auch DHCP-Server verwalten, sollten die Funktion dieser Server regelmäßig testen. Aber auch direkt nach dem Einrichten eines DHCP-Servers ist es durchaus interessant zu wissen, welche Optionen an die Clients verteilt werden. In gerouteten Netzwerken können Admins kostenlosen Tools testen, ob die DHCP-Pakete überall ankommen. lesen

Wireshark jetzt in Version 2.0

Verbesserte Netzwerk- und Protokollanalyse

Wireshark jetzt in Version 2.0

Das Open-Source-Netzwerk- und Protokollanalyse-Tool Wireshark setzt in der Version 2.0 auf ein aktualisiertes Application Framework. Nach Angaben des Sponsors Riverbed werden mehr Sprachen unterstützt, außerdem gebe es einen verbesserten VoIP-Player und eine neue Wireless-Werkzeugleiste. lesen

eBook Netzwerk-Monitoring und Traffic-Analyse verfügbar

Netzwerke überwachen, analysieren und betreuen

eBook Netzwerk-Monitoring und Traffic-Analyse verfügbar

Ganz gleich ob virtuell oder real: ohne ein zuverlässiges Netzwerk gibt es keine moderne IT. Administratoren und IT-Verantwortliche müssen dieses so wichtige Rückgrat ihrer IT und die darüber wandernden Daten grundsätzlich daher immer im Griff zu behalten – und das geht nicht ohne ein durchdachtes Netzwerk-Monitoring und eine Analyse des Netzwerkverkehrs. lesen

Die 10 besten kostenlosen Netzwerktools für Mac OS X

WLAN-Management, Netzwerk-Analyse und Fernwartung

Die 10 besten kostenlosen Netzwerktools für Mac OS X

In vielen Unternehmen müssen neben Windows- und Linux-Rechnern auch Apple-Geräte ins Netz integriert werden. Mit Zusatztools lässt sich diese Anbindung teilweise besser abwickeln als mit Bordmitteln, vor allem im WLAN. Wir zeigen die besten Werkzeuge, die zudem nichts kosten. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45576715 / Definitionen)