de.phhsnews.com


de.phhsnews.com / So verwenden Sie Wireshark zum Erfassen, Filtern und Prüfen von Paketen

So verwenden Sie Wireshark zum Erfassen, Filtern und Prüfen von Paketen


Wireshark, ein früher als Ethereal bekanntes Netzwerkanalyse-Tool, erfasst Pakete in Echtzeit und zeigt sie in einem für Menschen lesbaren Format an. Wireshark enthält Filter, Farbcodierung und andere Funktionen, mit denen Sie sich intensiv mit dem Netzwerkverkehr beschäftigen und einzelne Pakete überprüfen können.

Dieses Tutorial wird Sie mit den Grundlagen der Erfassung, Filterung und Inspektion von Paketen vertraut machen. Sie können Wireshark verwenden, um den Netzwerkverkehr eines verdächtigen Programms zu untersuchen, den Datenverkehr in Ihrem Netzwerk zu analysieren oder Netzwerkprobleme zu beheben.

Wireshark abrufen

Sie können Wireshark für Windows oder macOS von der offiziellen Website herunterladen. Wenn Sie Linux oder ein anderes UNIX-ähnliches System verwenden, finden Sie Wireshark wahrscheinlich in seinen Paket-Repositories. Wenn Sie z. B. Ubuntu verwenden, finden Sie Wireshark im Ubuntu Software Center.

Nur eine kurze Warnung: Viele Organisationen lassen Wireshark und ähnliche Tools in ihren Netzwerken nicht zu. Verwenden Sie dieses Tool nur dann, wenn Sie dazu berechtigt sind.

Erfassen von Paketen

Nach dem Herunterladen und Installieren von Wireshark können Sie es starten und unter Capture auf den Namen einer Netzwerkschnittstelle doppelklicken, um mit der Erfassung von Paketen auf dieser Schnittstelle zu beginnen . Wenn Sie beispielsweise Datenverkehr in Ihrem drahtlosen Netzwerk erfassen möchten, klicken Sie auf Ihre drahtlose Schnittstelle. Sie können erweiterte Funktionen konfigurieren, indem Sie auf "Erfassung"> "Optionen" klicken, aber das ist zunächst nicht erforderlich.

Sobald Sie auf den Namen der Schnittstelle klicken, werden die Pakete in Echtzeit angezeigt. Wireshark erfasst jedes an oder von Ihrem System gesendete Paket.

Wenn der Promiscuous-Modus aktiviert ist (standardmäßig aktiviert), werden auch alle anderen Pakete im Netzwerk angezeigt und nicht nur Pakete, die an Ihren Netzwerkadapter adressiert sind. Um zu prüfen, ob der Promiscuous-Modus aktiviert ist, klicken Sie auf Capture> Optionen und vergewissern Sie sich, dass das Kontrollkästchen "Promiscuous-Modus für alle Schnittstellen aktivieren" aktiviert ist.

Klicken Sie auf die rote Schaltfläche "Stop" in der oberen linken Ecke des Fenster, wenn Sie die Erfassung von Datenverkehr beenden möchten.

Farbcodierung

Sie werden wahrscheinlich Pakete in verschiedenen Farben sehen. Wireshark verwendet Farben, um Ihnen zu helfen, die Arten von Verkehr auf einen Blick zu identifizieren. Standardmäßig ist hellviolett der TCP-Verkehr, hellblau der UDP-Verkehr und schwarz Pakete mit Fehlern - sie könnten beispielsweise außerhalb der Reihenfolge geliefert worden sein.

Um genau zu sehen, was die Farbcodes bedeuten, klicken Sie auf Ansicht> Färbung Regeln. Wenn Sie möchten, können Sie die Färberegeln hier anpassen und ändern.

Sample-Captures

Wenn es in Ihrem eigenen Netzwerk nichts Interessantes zu inspizieren gibt, haben wir mit Wiresharks Wiki alles abgedeckt. Das Wiki enthält eine Seite mit Beispiel-Capture-Dateien, die Sie laden und überprüfen können. Klicken Sie auf Datei> In Wireshark öffnen und suchen Sie nach der heruntergeladenen Datei, um sie zu öffnen.

Sie können Ihre eigenen Aufnahmen auch in Wireshark speichern und später öffnen. Klicken Sie auf Datei> Speichern, um die erfassten Pakete zu speichern.

Filterpakete

Wenn Sie bestimmte Daten überprüfen möchten, z. B. den Datenverkehr eines Programms beim Anrufen, werden alle anderen Anwendungen über das Netzwerk geschlossen so können Sie den Verkehr eingrenzen. Trotzdem werden Sie wahrscheinlich eine große Menge an Paketen durchforsten müssen. Hier kommen die Wireshark-Filter ins Spiel.

Die einfachste Methode, einen Filter anzuwenden, besteht darin, ihn in das Filterfeld oben im Fenster einzugeben und auf Übernehmen (oder Drücken der Eingabetaste) zu klicken. Geben Sie beispielsweise "DNS" ein und Sie sehen nur DNS-Pakete. Wenn Sie mit der Eingabe beginnen, hilft Ihnen Wireshark bei der automatischen Vervollständigung Ihres Filters.

Sie können auch auf Analysieren> Filter anzeigen klicken, um einen Filter aus den in Wireshark enthaltenen Standardfiltern auszuwählen. Von hier aus können Sie Ihre eigenen benutzerdefinierten Filter hinzufügen und speichern, um später problemlos auf sie zugreifen zu können.

Weitere Informationen zur Anzeigenfiltersprache von Wireshark finden Sie in der offiziellen Wireshark-Dokumentation auf der Seite Gebäudemanagefilterausdrücke.

Sie können auch mit der rechten Maustaste auf ein Paket klicken und Folgen> TCP-Stream auswählen.

Sie sehen die vollständige TCP-Konversation zwischen dem Client und dem Server. Sie können im Menü "Verfolgen" auch auf andere Protokolle klicken, um ggf. die vollständigen Konversationen für andere Protokolle anzuzeigen.

Schließen Sie das Fenster und Sie werden feststellen, dass ein Filter automatisch angewendet wurde. Wireshark zeigt Ihnen die Pakete, aus denen die Konversation besteht.

Pakete prüfen

Klicken Sie auf ein Paket, um es auszuwählen, und Sie können die Details anzeigen.

Sie können auch Filter von hier aus erstellen - genau richtig - Klicken Sie auf eine der Details und verwenden Sie das Apply als Filter-Untermenü, um einen Filter darauf zu erstellen.


Wireshark ist ein extrem leistungsfähiges Werkzeug, und dieses Tutorial ist nur die Oberfläche dessen, was Sie damit tun können. Fachleute verwenden es, um Netzwerkprotokoll-Implementierungen zu debuggen, Sicherheitsprobleme zu untersuchen und Netzwerk-Interna zu überprüfen.

Weitere Informationen finden Sie im offiziellen Wireshark-Benutzerhandbuch und den anderen Dokumentationsseiten auf der Website von Wireshark.


So verwenden Sie das Snipping-Tool in Windows, um Screenshots zu erstellen

So verwenden Sie das Snipping-Tool in Windows, um Screenshots zu erstellen

Es gibt viele Tools für die Erstellung von Screenshots in Windows. Möglicherweise müssen Sie jedoch keine Drittanbieter-App installieren. Snipping Tool, enthalten in Windows Vista und höher, ermöglicht es Ihnen, Screenshots zu machen, sie zu bearbeiten und mit Anmerkungen zu versehen. In unseren Artikeln haben wir kurz über das Snipping-Tool berichtet, das Screenshots auf fast jedem Gerät erstellt und Screenshots in Windows 10 erstellt.

(how-top)

So überprüfen Sie, ob Ihr Computer über einen Trusted Platform Module-Chip (TPM) verfügt

So überprüfen Sie, ob Ihr Computer über einen Trusted Platform Module-Chip (TPM) verfügt

Die TPM-Hardware bietet eine manipulationssichere Methode zum Speichern von Verschlüsselungsschlüsseln auf einem Computer. Unter Windows 10, 8 und 7 ist normalerweise ein TPM erforderlich, um Verschlüsselungsfunktionen wie BitLocker zu aktivieren und zu verwenden. So prüfen Sie, ob Ihr PC über einen TPM-Chip verfügt, aktivieren Sie das TPM, wenn es deaktiviert ist, oder fügen Sie einen TPM-Chip ohne PC hinzu.

(how-top)