Wie man
5 Killer-Tricks, um das Beste aus Wireshark herauszuholen
Wireshark hat einige Tricks im Ärmel, von der Erfassung von Remote-Datenverkehr bis hin zur Erstellung von Firewall-Regeln basierend auf erfassten Paketen. Lesen Sie weiter, um weitere Tipps für Fortgeschrittene zu erhalten, wenn Sie Wireshark wie ein Profi verwenden möchten.
Wir haben bereits die grundlegende Verwendung von Wireshark behandelt. Lesen Sie daher unbedingt unseren Originalartikel, um eine Einführung in dieses leistungsstarke Netzwerkanalyse-Tool zu erhalten.
Auflösung des Netzwerknamens
Beim Erfassen von Paketen kann es sein, dass Sie sich ärgern, dass Wireshark nur IP-Adressen anzeigt. Sie können die IP-Adressen selbst in Domainnamen umwandeln, aber das ist nicht allzu bequem.
Wireshark kann diese IP-Adressen automatisch in Domänennamen auflösen, obwohl diese Funktion standardmäßig nicht aktiviert ist. Wenn Sie diese Option aktivieren, werden nach Möglichkeit Domänennamen anstelle von IP-Adressen angezeigt. Der Nachteil ist, dass Wireshark jeden Domainnamen nachschlagen muss, wodurch der erfasste Datenverkehr mit zusätzlichen DNS-Anfragen verschmutzt wird.
Sie können diese Einstellung aktivieren, indem Sie das Einstellungsfenster über -> öffnen, auf das Panel klicken und das Kontrollkästchen „“ anklicken.
Aufnahme automatisch starten
Sie können eine spezielle Verknüpfung mit den Befehlszeilenargumenten von Wirshark erstellen, wenn Sie ohne Verzögerung mit der Erfassung von Paketen beginnen möchten. Sie müssen die Nummer der Netzwerkschnittstelle kennen, die Sie verwenden möchten, basierend auf der Reihenfolge, in der Wireshark die Schnittstellen anzeigt.
Erstellen Sie eine Kopie der Verknüpfung von Wireshark, klicken Sie mit der rechten Maustaste darauf, gehen Sie in das Eigenschaftenfenster und ändern Sie die Befehlszeilenargumente. Hinzufügen -ich k bis zum Ende der Verknüpfung, ersetzen # mit der Nummer der Schnittstelle, die Sie verwenden möchten. Die Option -i gibt die Schnittstelle an, während die Option -k Wireshark anweist, sofort mit der Aufnahme zu beginnen.
Wenn Sie Linux oder ein anderes Nicht-Windows-Betriebssystem verwenden, erstellen Sie einfach eine Verknüpfung mit dem folgenden Befehl oder führen Sie sie von einem Terminal aus aus, um sofort mit der Aufnahme zu beginnen:
Wireshark -i # -k
Weitere Befehlszeilen-Kurzbefehle finden Sie unter Handbuchseite von Wireshark.
Erfassen von Datenverkehr von Remote-Computern
Wireshark erfasst den Datenverkehr standardmäßig von den lokalen Schnittstellen Ihres Systems, dies ist jedoch nicht immer der Ort, von dem aus Sie erfassen möchten. Sie möchten beispielsweise Datenverkehr von einem Router, Server oder einem anderen Computer an einem anderen Standort im Netzwerk erfassen. Hier kommt die Remote-Capture-Funktion von Wireshark ins Spiel. Diese Funktion ist derzeit nur unter Windows verfügbar – die offizielle Dokumentation von Wireshark empfiehlt Linux-Benutzern, einen SSH-Tunnel zu verwenden.
Zuerst musst du installieren WinPcap auf dem Remote-System. WinPcap wird mit Wireshark geliefert, sodass Sie WinPcap nicht installieren müssen, wenn Sie Wireshark bereits auf dem Remote-System installiert haben.
Öffnen Sie nach der Installation das Fenster Dienste auf dem Remote-Computer – klicken Sie auf Start, geben Sie ein dienste.msc in das Suchfeld im Startmenü ein und drücken Sie die Eingabetaste. Suchen Sie den Dienst in der Liste und starten Sie ihn. Dieser Dienst ist standardmäßig deaktiviert.
Klicken Sie in Wireshark auf den Link s und wählen Sie dann aus dem Feld Interface aus.
Geben Sie die Adresse des entfernten Systems ein und 2002 als Hafen. Sie müssen Zugriff auf Port 2002 auf dem Remote-System haben, um eine Verbindung herzustellen, daher müssen Sie diesen Port möglicherweise in einer Firewall öffnen.
Nachdem Sie die Verbindung hergestellt haben, können Sie eine Schnittstelle auf dem Remote-System aus der Dropdown-Liste Schnittstelle auswählen. Klicken Sie nach Auswahl der Schnittstelle auf , um die Remote-Aufnahme zu starten.
Wireshark in einem Terminal (TShark)
Wenn Sie keine grafische Benutzeroberfläche auf Ihrem System haben, können Sie Wireshark von einem Terminal aus mit dem Befehl TShark verwenden.
Geben Sie zuerst die Tshark -D Befehl. Mit diesem Befehl erhalten Sie die Nummern Ihrer Netzwerkschnittstellen.
Sobald Sie dies getan haben, führen Sie die tshark -i # Befehl und ersetzen Sie # durch die Nummer der Schnittstelle, auf der Sie aufnehmen möchten.
TShark verhält sich wie Wireshark und druckt den erfassten Datenverkehr an das Terminal. Verwenden Strg-C wenn Sie die Aufnahme stoppen möchten.
Das Drucken der Pakete an das Terminal ist nicht das nützlichste Verhalten. Wenn wir den Datenverkehr genauer untersuchen möchten, können wir ihn von TShark in eine Datei ausgeben lassen, die wir später überprüfen können. Verwenden Sie stattdessen diesen Befehl, um den Datenverkehr in eine Datei zu übertragen:
tshark -i # -w Dateiname
TShark zeigt Ihnen die Pakete nicht an, während sie erfasst werden, aber es zählt sie, wenn sie erfasst werden. Sie können die Option -> in Wireshark verwenden, um die Capture-Datei später zu öffnen.
Weitere Informationen zu den Befehlszeilenoptionen von TShark finden Sie unter seine Handbuchseite.
Erstellen von Firewall-ACL-Regeln
Wenn Sie ein Netzwerkadministrator sind, der für eine Firewall verantwortlich ist und Wireshark verwenden, um herumzustöbern, möchten Sie möglicherweise basierend auf dem angezeigten Datenverkehr Maßnahmen ergreifen – möglicherweise, um verdächtigen Datenverkehr zu blockieren. Das Tool von Wireshark generiert die Befehle, die Sie benötigen, um Firewall-Regeln auf Ihrer Firewall zu erstellen.
Wählen Sie zunächst ein Paket aus, auf dessen Grundlage Sie eine Firewall-Regel erstellen möchten, indem Sie darauf klicken. Klicken Sie danach auf das Menü und wählen Sie .
Verwenden Sie das Menü, um Ihren Firewall-Typ auszuwählen. Wireshark unterstützt Cisco IOS, verschiedene Arten von Linux-Firewalls, einschließlich iptables, und die Windows-Firewall.
Sie können das Feld verwenden, um eine Regel basierend auf der MAC-Adresse, der IP-Adresse, dem Port oder sowohl der IP-Adresse als auch dem Port zu erstellen. Je nach Firewall-Produkt werden möglicherweise weniger Filteroptionen angezeigt.
Standardmäßig erstellt das Tool eine Regel, die eingehenden Datenverkehr verweigert. Sie können das Verhalten der Regel ändern, indem Sie die Kontrollkästchen oder deaktivieren. Nachdem Sie eine Regel erstellt haben, verwenden Sie die Schaltfläche, um sie zu kopieren, und führen Sie sie dann auf Ihrer Firewall aus, um die Regel anzuwenden.
Sollen wir in Zukunft etwas Konkretes über Wireshark schreiben? Lassen Sie es uns in den Kommentaren wissen, wenn Sie Wünsche oder Ideen haben.
-
Wie man4 años agoWas ist Markdown und wie verwenden Sie es?
-
Tipps4 años agoSie können jetzt eine Verzögerung in Alexa-Routinen festlegen
-
Wie man4 años agoSo erstellen Sie eine Urlaubsnachricht für (fast) jedes E-Mail-Konto
-
Wie man4 años agoSo erstellen Sie eine Punktraster-Papiervorlage in Microsoft Word
-
Wie man3 años agoEin kurzer Blick auf URL-Kürzungsdienste und -Erweiterungen
-
Wie man4 años agoSo wechseln Sie zu einer 24-Stunden-Uhr im Echo Show & Echo Spot
-
Wie man4 años agoSo erstellen Sie Fortschrittsbalken in Excel mit bedingter Formatierung
-
Wie man4 años agoDer How-To-Geek-Leitfaden zum Erlernen von Photoshop, Teil 2: Panels