Suchen

Professionelle Netzwerk-Analyse mit Wireshark, Teil 6 4 unverzichtbare Tricks für die Arbeit mit Wireshark

Autor / Redakteur: Jasper Bongertz / Dipl.-Ing. (FH) Andreas Donner

Wireshark ist ein mächtiges Werkzeug und bietet viele Möglichkeiten, im Rahmen einer Netzwerkanalyse genau das herauszuarbeiten, was die aktuelle Aufgabe erfordert. Kennt man einige Tricks im Umgang mit dem Analyse-Tool wird die Arbeit deutlich einfacher und produktiver!

Firmen zum Thema

Speziell für den Umgang mit neueren Wireshark-Versionen gibt es einige Tipps & Tricks – Schulungsanbieter Fast Lane zeigt welche!
Speziell für den Umgang mit neueren Wireshark-Versionen gibt es einige Tipps & Tricks – Schulungsanbieter Fast Lane zeigt welche!
(Bild: Fast Lane)

Nachdem die vorherigen Artikel dieser Serie (die Links zu den anderen Teilen finden Sie am unteren Seitenende) auf verschiedene Aspekte der Analysearbeit eingegangen sind, werden wir uns diesmal einige nützliche Tipps und Tricks für die produktive Arbeit mit Wireshark ansehen.

1. Die Farbregeln

Wireshark kann Pakete nach beinahe beliebigen Kriterien einfärben, um die Orientierung innerhalb der Paketflut zu erleichtern. Es ist jedoch ratsam, die Werkseinstellung hinsichtlich der Farbauswahl individuell auf die eigenen Anforderungen anzupassen, um den maximalen Nutzen zu erzielen. Die mitgelieferte Default-Einstellung verwirrt durch ihre Farbvielfalt eher, als dass sie zur Transparenz beiträgt.

Bildergalerie
Bildergalerie mit 8 Bildern

Die Erfahrung zeigt, dass Farbregeln sehr hilfreich sind, solange man sie sinnvoll konfiguriert. Dabei können IT-Mitarbeiter grundsätzlich nach jedem Kriterium einfärben, zu dem sich ein Displayfilter erstellen lässt. Die Standardfarbregeln sind eine brauchbare Vorlage, auf der man eigene Regeln aufbauen kann.

Dazu löscht man die vorhandenen Regeln gegebenenfalls erst einmal komplett und fügt anschließend nach und nach eigene Regeln hinzu. Das Löschen der Regeln ist dabei nicht ganz einfach, denn der „Clear“-Knopf dient nicht zum Entfernen, sondern stellt lediglich die Default-Einstellung wieder her.

Um alle Regeln auf einmal zu entfernen, klickt man auf eine der Regeln und benutzt die Tastenkombination STRG+A, um sämtliche Zeilen zu markieren. Danach löscht man die markierten Regeln mithilfe des Delete-Buttons.

Eine Möglichkeit für das sinnvolle Einfärben wäre zum Beispiel, diejenigen Pakete farblich zu markieren, mit denen eine neue TCP-Verbindung startet. Dazu eignet sich ein Filter, der auf ein gesetztes SYN-Flag filtert – und da wir nur das erste Paket der Verbindung markieren möchten, fordern wir noch ein nicht gesetztes ACK-Flag. Als zweites könnte man alle Pakete rot markieren, die bei einer Diagnose beanstandet werden.

Zu beachten ist dabei, dass Wireshark Farbfilter von oben nach unten abarbeitet, d.h. sobald eine Filterregel passt, wird die entsprechende Farbe verwendet, um die Paketliste zu färben. Mit den beiden einfachen Regeln würde ein entsprechender Trace dann größtenteils schwarz auf weiß markiert werden, und nur die relevanten Pakete würden in Farbe auftauchen.

Mit den eigenen Regeln ist es für den Netzwerkverantwortlichen wesentlich leichter, auf den ersten Blick interessante Dinge in der Menge an Paketen zu entdecken. Dabei ist es gut zu wissen, dass er im ersten Abschnitt des Decode nachsehen kann, nach welcher Regel ein Paket eingefärbt wurde, falls die Regeln noch etwas verfeinert werden müssen.

weiter mit: PCAPng-Dateiformat, Spaltendefinitionen und Filter-Tricks

Artikelfiles und Artikellinks

(ID:36025800)