Wireshark basics

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Einführung in Wireshark

Wireshark ist das bekannteste Werkzeug zur Analyse von Netzwerkverkehr. Es ermöglicht die detaillierte Untersuchung einzelner Pakete, Protokolle und Kommunikationsabläufe. Wireshark basiert auf libpcap (bzw. npcap unter Windows) und kann sowohl live mitschneiden als auch bestehende Mitschnitte auswerten.

Installation

Debian / Ubuntu
  • apt install wireshark -y
Rocky / Fedora:
  • dnf install wireshark wireshark-cli -y

Start

  • wireshark &
öffnet die grafische Oberfläche

Beim Start wählst du das gewünschte Interface (z. B. enp0s3) und klickst auf „Start Capturing“.

Grundbegriffe

  • Packet List Pane – Übersicht aller Pakete (eine Zeile pro Paket)
  • Packet Details Pane – zeigt den Protokollbaum des markierten Pakets
  • Packet Bytes Pane – zeigt die Rohdaten in Hex- und ASCII-Darstellung

Live-Mitschnitt

• Interface wählen → Start klicken • Verkehr wird in Echtzeit angezeigt • Stop-Button beendet den Mitschnitt

Capture-Filter (vor der Aufzeichnung)

Diese Filter bestimmen, welche Pakete überhaupt aufgezeichnet werden.

Syntax wie bei tcpdump:
  • host 10.0.10.104
  • port 80
  • icmp
  • src net 10.0.10.0/24 and dst port 443

Display-Filter (nach der Aufzeichnung)

Diese Filter steuern, was in der Oberfläche angezeigt wird: ip.addr == 10.0.10.104 tcp.port == 22 icmp dns http or https tcp.flags.syn == 1 and tcp.flags.ack == 0

Mitschnitt speichern und öffnen

  • Datei → Speichern unter → capture.pcap
  • wireshark capture.pcap
öffnet gespeicherten Mitschnitt

Analysefunktionen

  • Follow → TCP Stream – zeigt komplette Sitzung (z. B. HTTP oder SMTP)
  • Statistics → Protocol Hierarchy – Übersicht aller Protokolle
  • Statistics → Conversations – aktive Verbindungen zwischen Hosts
  • Statistics → Endpoints – alle IPs, MACs oder Ports im Mitschnitt

Beispielaufgabe

  • Starte Wireshark und wähle Interface enp0s3
  • Filtere nach ICMP:

icmp

  • Führe einen Ping zu 10.0.10.104 aus
  • Beobachte Echo Request (Typ 8) und Echo Reply (Typ 0)
  • Stoppe die Aufzeichnung und speichere sie als icmp-test.pcap

Tipps

  • Verwende Display-Filter, um gezielt zu analysieren, ohne neu mitzuschneiden
  • Große Dateien lieber mit tcpdump oder tshark erzeugen und später in Wireshark öffnen
  • Farben zeigen verschiedene Protokolle und Zustände an (konfigurierbar unter Ansicht → Farben)
  • Rechtsklick auf ein Paket → „Apply as Filter“ erstellt automatisch den passenden Filter

Kombination mit tcpdump

tcpdump und Wireshark nutzen das gleiche pcap-Format:

  • tcpdump -i enp0s3 -n -w traffic.pcap
  • wireshark traffic.pcap
Analyse des Mitschnitts in der GUI

Wireshark ist damit das zentrale Werkzeug zur visuellen Analyse – ideal zum Verständnis von Netzwerkprotokollen und Fehlersuche im Datenverkehr.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Wireshark_basics&oldid=65531