Das Internet besteht aus Hardware, IP-Adressen und Datenpaketen. Jeder Rechner hat eine IP-Adresse, diese wechselt im privaten Umfeld zwar hin und wieder – aber man kann sie als Hausnummer betrachten. Das Betriebssystem nutzt zusätzlich Ports – diese kann man wieder als einzelne Wohnungen in einem Mehrparteien-Haus sehen:
Alles, was über das Internet läuft, besteht nun aus vielen Datenpaketen – dies kann man sich vorstellen wie eine Paketlieferung, die in mehreren kommt. Wird im Webbrowser eine Webseite geöffnet, sendet der Server mehrere solcher Pakete, aus denen die Webseite besteht und am lokalen Rechner werden diese wieder zusammen gesetzt. Ein solches Datenpaket muss im großen Internet natürlich wissen, wo es hin soll – so beinhaltet dieses nicht nur die eigentlichen Daten, sondern auch einige weitere Informationen. Hier der grobe Aufbau:
Wie schon beschrieben, es handelt sich um den groben Aufbau – ein solches Datenpaket beinhaltet um vieles mehr an Informationen. Bei dieser kurzen Beschreibung geht es nur um zu verstehen, wie die folgende Software ihre Informationen erhält.
Inhaltsverzeichnis
Wireshark – Netzwerk-Sniffer
Gibt es im Netzwerk Probleme gilt es zu erfahren, wo die Probleme liegen – hin und wieder versucht man es mit dem Umverteilen von Netzwerkkabeln, den Router neu starten und anderen brutalen Geschichten. Will man jedoch professionell herangehen braucht man die richtige Software um herauszufinden wo es hakt.
Auch ist es hin und wieder ganz interessant, welcher Rechner, mit welchem im lokalen Netzwerk oder im Internet kommuniziert. Auch so mancher Malware kann man auf die Spur kommen, wenn man sie den Netzwerk-Verkehr genauer ansieht. Wireshark ist eine solche Software.
Wireshark überwacht das komplette Netzwerk, analysiert die sich darin bewegenden Datenpakete und zeigt die darin liegenden Daten, aus denen man wieder die Informationen gewinnen kann.
Wireshark installieren
Unter auf Debian basierenden Linux-Distributionen installieren Sie diese Software wie üblich ganz einfach über die Paket-Verwaltung durch das Paket „wireshark„. Alternativ finden Sie diese Software auch unter Wireshark.
Wireshark nutzen
Sie starten diese Software als Administrator am Terminal durch den Befehl:
wireshark
Am einfachsten beginnt man ganz einfach mit der Aufzeichnung des Datenverkehrs durch einen Klick auf den Schalter „Aufzeichnen von Paketen starten“ – ganz links oben, das Icon mit der Haifisch-Flosse:
Nun zeichnet die Software so lange, bis Sie auf „Aufzeichnen von Paketen stoppen“ klicken, den kompletten Netzwerk-Verkehr des Netzwerkes auf.
Die Software ist dreigeteilt – ganz oben finden Sie die eigentlichen Verbindungen, also die Kommunikation zwischen verschiedenen Rechnern im lokalen Netzwerk und dem Internet:
Wichtig sind hier vor allem die Informationen:
- Source – Die IP-Adresse des Absenders
- Destination – Die IP-Adresse des Empfängers
- Protocol – Das Kommunikationsprotokoll
Jede Zeile präsentiert ein Datenpaket. Markieren Sie eine solche Zeile per Mausklick, finden Sie darunter weitere Informationen:
Die darin liegenden Informationen lassen sich aufklappen, bieten dieselben Angaben wie oben – jedoch viel genauer. Ganz unten finden Sie wieder den eigentlichen Inhalt des Datenpaketes:
Hier sehen Sie jetzt auch, warum Verschlüsselung und sichere Verbindungen so wichtig sind – würde es sich um keine sichere Verbindung handeln, wären hier etwa auch eingegebene Passwörter sichtbar.
Mit Wireshark lässt sich nun etwa ermitteln, warum eine Verbindung zu einem Server oder einem anderen Rechner nicht zustande kommt, auch viele andere Probleme lassen sich mit dieser Software schnell lösen.
Die Software zeigt jedoch sehr viele Daten an – im Netzwerk wird viel kommuniziert, auch wenn Sie meinen gerade würde sicher nicht viel passieren. Wollen Sie eine Aufzeichnung auswerten, wird es extrem übersichtlicher, wenn Sie die Aufzeichnung filtern. So lassen sich etwa nur bestimmte Protokolle oder IP-Adressen anzeigen – hierzu geben Sie einfach entsprechende Angaben im Feld „Filter“ ein:
Mehr zu den Filtern finden Sie etwa unter Wireshark – Filter.
2 Reaktionen
[…] man sich unter Linux mit den Problemen im Netzwerk befasst, nutzt man meist den Software-Boliden Wireshark. Doch diese Software ist vor allem einfachen Anwendern ganz einfach zu überladen. Sniffnet ist so […]
[…] zu überwachen – meist handelt es sich dabei jedoch um sehr ausgefeilte Software, etwa Wireshark. Solche Software wäre für eine längerfristige Netzwerk-Überwachung aber sehr übertrieben […]