Wireshark unter Ubuntu verwenden
Wireshark ist ein leistungsfähiger Open-Source-Netzwerkanalysator, der verwendet werden kann, um Daten in einem Netzwerk abzufangen, als Hilfe zur Fehlersuche bei der Analyse des Netzwerkverkehrs, aber auch als Bildungswerkzeug, um die Prinzipien von Netzwerken und Kommunikationsprotokollen zu verstehen.
Es ist für nahezu jede Linux-Distribution leicht verfügbar, und für Ubuntu kann es über das Ubuntu Software-Center oder das Terminal installiert werden:
sudo apt-get install wiresharkBevor Sie Wireshark verwenden, muss das Dienstprogramm dumpcap die Berechtigung erhalten, als Root ausgeführt zu werden. Ohne diese Berechtigung kann Wireshark den Netzwerkverkehr nicht erfassen, wenn Sie als normaler Benutzer angemeldet sind (was in Distributionen wie Ubuntu immer der Fall ist). Um das “ setuid “-Bit zu dumpcap hinzuzufügen, verwenden Sie den folgenden Befehl:
sudo chmod 4711 `which dumpcap`Beachten Sie, dass die Anführungszeichen um “which dumpcap” keine normalen einfachen Anführungszeichen, sondern das Gravezeichen sind. In Unix-ähnlichen Systemen erzeugt dies eine Befehlsersetzung, bei der die Ausgabe des which-Befehls ein Parameter für den chmod-Befehl wird, d. h. der vollständige Pfad der dumpcap-Binärdatei.
Starten Sie Wireshark und klicken Sie dann auf das Netzwerkinterface, das Sie verwenden möchten, um die Daten zu erfassen. In einem kabelgebundenen Netzwerk wird es wahrscheinlich eth0 sein. Klicken Sie jetzt auf Start.
Wireshark beginnt mit der Erfassung des Verkehrs und zeigt ihn als farbkodierte Liste im Hauptfenster an. TCP-Verkehr ist grün, UDP-Pakete sind hellblau, ARP-Anfragen sind gelb und DNS-Verkehr wird in dunkelblau angezeigt.
Direkt unter der Werkzeugleiste befindet sich das Filterfeld. Um nur bestimmte Arten von Netzwerkpaketen zu sehen, geben Sie den Protokollnamen in das Bearbeitungsfeld ein und klicken Sie auf Anwenden. Um beispielsweise nur die ARP (Address Resolution Protocol)-Nachricht anzuzeigen, geben Sie arp in das Filterfeld ein und klicken Sie auf Anwenden. Die Liste ändert sich, sodass nur ARP-Nachrichten angezeigt werden. ARP wird in einem LAN verwendet, um herauszufinden, welches Gerät eine bestimmte IP-Adresse verwendet. Weitere Beispiel-Filter sind HTTP, ICMP, SMTP, SMB usw.
Wireshark kann mit fortgeschritteneren Kriterien filtern als nur dem Protokolltyp. Um beispielsweise allen DNS-bezogenen Verkehr zu sehen, der von einem bestimmten Host kommt, verwenden Sie den Filter ip.src==192.168.1.101 and dns, wobei 192.168.1.101 die Quelladresse ist, die Sie filtern möchten.
Wenn Sie eine interessante Interaktion zwischen zwei Hosts bemerken, die Sie vollständig sehen möchten, bietet Wireshark eine Option “Strom folgen”. Klicken Sie mit der rechten Maustaste auf ein beliebiges Paket in dem Austausch und klicken Sie dann auf „Follow TCP Stream“ (oder Follow UDP Stream, Follow SSL Stream, je nach Protokolltyp). Wireshark zeigt dann eine vollständige Kopie des Gesprächs an.
Probieren Sie das aus
Die Verwendung von Wireshark kann so komplex oder so einfach sein, wie Sie es benötigen. Es gibt viele erweiterte Funktionen für Netzwerkexperten, aber auch diejenigen, die über Netzwerke lernen möchten, können von der Nutzung profitieren. Hier ist etwas, das Sie versuchen können, wenn Sie mehr über Wireshark lernen möchten. Starten Sie eine Erfassung und setzen Sie den Filter auf ICMP. Pingen Sie jetzt Ihren Linux-Computer mit einem Befehl wie diesem von einem anderen Linux-Rechner oder sogar von einer Windows-PC-Befehlszeile:
ping 192.168.1.10Dabei ist 192.168.1.10 die IP-Adresse des Linux-Computers. Schauen Sie sich nun die Paketliste an und sehen Sie, ob Sie den Netzwerkverkehr für das Ping erkennen.
