Wireshark basics: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(→Start) |
|||
| (5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
== Installation == | == Installation == | ||
| + | :Debian / Ubuntu | ||
*apt install wireshark -y | *apt install wireshark -y | ||
| − | + | :Rocky / Fedora: | |
*dnf install wireshark wireshark-cli -y | *dnf install wireshark wireshark-cli -y | ||
== Start == | == Start == | ||
*wireshark & | *wireshark & | ||
| − | + | öffnet die grafische Oberfläche | |
Beim Start wählst du das gewünschte Interface (z. B. enp0s3) und klickst auf „Start Capturing“. | Beim Start wählst du das gewünschte Interface (z. B. enp0s3) und klickst auf „Start Capturing“. | ||
| Zeile 48: | Zeile 49: | ||
== Analysefunktionen == | == Analysefunktionen == | ||
| − | + | * '''Follow → TCP Stream''' – zeigt komplette Sitzung (z. B. HTTP oder SMTP) | |
| − | + | * '''Statistics → Protocol Hierarchy''' – Übersicht aller Protokolle | |
| − | + | * '''Statistics → Conversations''' – aktive Verbindungen zwischen Hosts | |
| − | + | * '''Statistics → Endpoints''' – alle IPs, MACs oder Ports im Mitschnitt | |
== Beispielaufgabe == | == Beispielaufgabe == | ||
| − | + | *Starte Wireshark und wähle Interface enp0s3 | |
| − | + | *Filtere nach ICMP: | |
icmp | icmp | ||
| − | + | *Führe einen Ping zu 10.0.10.104 aus | |
| − | + | *Beobachte Echo Request (Typ 8) und Echo Reply (Typ 0) | |
| − | + | *Stoppe die Aufzeichnung und speichere sie als icmp-test.pcap | |
== Tipps == | == Tipps == | ||
| − | + | *Verwende Display-Filter, um gezielt zu analysieren, ohne neu mitzuschneiden | |
| − | + | *Große Dateien lieber mit tcpdump oder tshark erzeugen und später in Wireshark öffnen | |
| − | + | *Farben zeigen verschiedene Protokolle und Zustände an (konfigurierbar unter Ansicht → Farben) | |
| − | + | *Rechtsklick auf ein Paket → „Apply as Filter“ erstellt automatisch den passenden Filter | |
== Kombination mit tcpdump == | == Kombination mit tcpdump == | ||
| Zeile 71: | Zeile 72: | ||
*tcpdump -i enp0s3 -n -w traffic.pcap | *tcpdump -i enp0s3 -n -w traffic.pcap | ||
*wireshark traffic.pcap | *wireshark traffic.pcap | ||
| − | + | Analyse des Mitschnitts in der GUI | |
Wireshark ist damit das zentrale Werkzeug zur visuellen Analyse – ideal zum Verständnis von Netzwerkprotokollen und Fehlersuche im Datenverkehr. | Wireshark ist damit das zentrale Werkzeug zur visuellen Analyse – ideal zum Verständnis von Netzwerkprotokollen und Fehlersuche im Datenverkehr. | ||
Aktuelle Version vom 12. November 2025, 13:01 Uhr
Einführung in Wireshark
Wireshark ist das bekannteste Werkzeug zur Analyse von Netzwerkverkehr. Es ermöglicht die detaillierte Untersuchung einzelner Pakete, Protokolle und Kommunikationsabläufe. Wireshark basiert auf libpcap (bzw. npcap unter Windows) und kann sowohl live mitschneiden als auch bestehende Mitschnitte auswerten.
Installation
- Debian / Ubuntu
- apt install wireshark -y
- Rocky / Fedora:
- dnf install wireshark wireshark-cli -y
Start
- wireshark &
öffnet die grafische Oberfläche
Beim Start wählst du das gewünschte Interface (z. B. enp0s3) und klickst auf „Start Capturing“.
Grundbegriffe
- Packet List Pane – Übersicht aller Pakete (eine Zeile pro Paket)
- Packet Details Pane – zeigt den Protokollbaum des markierten Pakets
- Packet Bytes Pane – zeigt die Rohdaten in Hex- und ASCII-Darstellung
Live-Mitschnitt
• Interface wählen → Start klicken • Verkehr wird in Echtzeit angezeigt • Stop-Button beendet den Mitschnitt
Capture-Filter (vor der Aufzeichnung)
Diese Filter bestimmen, welche Pakete überhaupt aufgezeichnet werden.
- Syntax wie bei tcpdump:
- host 10.0.10.104
- port 80
- icmp
- src net 10.0.10.0/24 and dst port 443
Display-Filter (nach der Aufzeichnung)
Diese Filter steuern, was in der Oberfläche angezeigt wird: ip.addr == 10.0.10.104 tcp.port == 22 icmp dns http or https tcp.flags.syn == 1 and tcp.flags.ack == 0
Mitschnitt speichern und öffnen
- Datei → Speichern unter → capture.pcap
- wireshark capture.pcap
öffnet gespeicherten Mitschnitt
Analysefunktionen
- Follow → TCP Stream – zeigt komplette Sitzung (z. B. HTTP oder SMTP)
- Statistics → Protocol Hierarchy – Übersicht aller Protokolle
- Statistics → Conversations – aktive Verbindungen zwischen Hosts
- Statistics → Endpoints – alle IPs, MACs oder Ports im Mitschnitt
Beispielaufgabe
- Starte Wireshark und wähle Interface enp0s3
- Filtere nach ICMP:
icmp
- Führe einen Ping zu 10.0.10.104 aus
- Beobachte Echo Request (Typ 8) und Echo Reply (Typ 0)
- Stoppe die Aufzeichnung und speichere sie als icmp-test.pcap
Tipps
- Verwende Display-Filter, um gezielt zu analysieren, ohne neu mitzuschneiden
- Große Dateien lieber mit tcpdump oder tshark erzeugen und später in Wireshark öffnen
- Farben zeigen verschiedene Protokolle und Zustände an (konfigurierbar unter Ansicht → Farben)
- Rechtsklick auf ein Paket → „Apply as Filter“ erstellt automatisch den passenden Filter
Kombination mit tcpdump
tcpdump und Wireshark nutzen das gleiche pcap-Format:
- tcpdump -i enp0s3 -n -w traffic.pcap
- wireshark traffic.pcap
Analyse des Mitschnitts in der GUI
Wireshark ist damit das zentrale Werkzeug zur visuellen Analyse – ideal zum Verständnis von Netzwerkprotokollen und Fehlersuche im Datenverkehr.