Professionelle Netzwerk-Analyse mit Wireshark, Teil 6

4 unverzichtbare Tricks für die Arbeit mit Wireshark

Seite: 2/2

Firmen zum Thema

2. Das PCAPng-Dateiformat

Seit Version 1.8 verwendet Wireshark anstelle des alten (und ungenügenden) libpcap-Formats ein neues Dateiformat namens PCAPng für die Speicherung von Paketmitschnitten. Denn da Wireshark seit der Version 1.8 nun auf mehreren Netzwerk-Interfaces gleichzeitig aufzeichnen kann, muss dies auch für die Pakete samt Kennzeichnung der jeweiligen Netzwerkkarte im Tracefile-Format abgespeichert werden können.

Dies ist mit libpcap genauso wenig möglich wie das Speichern von Kommentaren zu Paketen, oder die Speicherung der Anzahl an Dropped Frames (d.h. Paketeverlust durch mangelnde Aufzeichnungsgeschwindigkeit). Nur das PCAPng-Format bietet diese Möglichkeiten.

Bildergalerie
Bildergalerie mit 8 Bildern

Zu beachten ist hierbei, dass PCAPng nur bei Neuinstallationen von Wireshark automatisch zum Einsatz kommt; wenn eine ältere Version überschrieben wird, behält das Programm meist die alte Einstellung bei. Es ist absolut empfehlenswert, diese auf PCAPng zu ändern, was durch einen Aufruf der Preferences im Bereich der Capture-Einstellungen schnell gemacht ist.

PCAPng kann unter anderem mehrere Netzwerk-Interfaces parallel zur Aufzeichnung verwenden, Kommentare zur gesamten Datei oder auch zu einzelnen Paketen speichern und wird sich mit großer Wahrscheinlichkeit als Standard-Dateiformat durchsetzen.

Natürlich lassen sich Dateien im alten pcap-Format später als PCAPng-Format speichern, allerdings gehen hierbei die Zusatzinformationen verloren, die PCAPng schon bei der Aufzeichnung gesammelt hätte, zum Beispiel Daten über die verwendeten Netzwerkkarten und deren Performance.

Einziger Nachteil von PCAPng ist momentan noch, dass viele Zusatz-Tools zu diesem Dateiformat noch nicht kompatibel sind und man sich anders behelfen muss.

3. Spaltendefinitionen hinzufügen

Oftmals möchte man in der Liste der Pakete eine zusätzliche Spalte für weitere Informationen hinzufügen, zum Beispiel den jeweiligen Wert für das TCP Receive Window. Damit könnte man recht einfach sehr niedrige Pufferwerte erkennen, was gerade bei langsamen Netzwerkverbindungen von Vorteil ist.

Früher musste man dazu in die Preferences wechseln und umständlich von Hand eine Custom-Definition erstellen. Seit Version 1.6 lassen sich Spalten einfach direkt aus dem Decodierbereich heraus erstellen, indem man auf dem gewünschten Feld das Kontextmenü verwendet (siehe Abbildung 5).

Zusätzlich zum schnellen Hinzufügen von Spalten ist es möglich, durch einen Rechtsklick auf den Spaltenkopf die Spalte auch wieder zu entfernen oder temporär auszublenden (siehe Abbildung 6).

4. Filter-Tricks

Die am meisten eingesetzten Filtervarianten sind mit Sicherheit die Display-Filter. Jeder, der routinemäßig mit Wireshark arbeitet, hat vermutlich einige Standardfilter im Repertoire, die immer wieder eingesetzt werden.

Seit Version 1.8 unterstützt den Anwender hier ein komfortables Feature, mit dem sich in den Preferences im Bereich „Filter Expressions“ die wichtigsten Filter vordefinieren lassen. Sie stehen danach als Buttons neben der Filtereingabezeile zur Verfügung.

Display-Filter eignen sich übrigens nicht nur zum Filtern auf die gerade geladenen Pakete, sondern man kann sie auch zu anderen Zwecken bspw. beim Laden einer Datei einsetzen. Dies führt dazu, dass während des Ladevorgangs nur diejenigen Pakete geladen werden, die nicht vom Filter ausgeblendet werden. Dadurch gelangen nur die Pakete in den Speicher, die benötigt werden. Je weniger Pakete im Speicher sind, desto schneller kann man im weiteren Verlauf mit Filtern und Statistikwerkzeugen arbeiten.

Lust auf mehr?

Wer sich intensiv mit Wireshark und Netzwerkanalyse auseinandersetzen will, ist bei den Wireshark-Kursen von Fast Lane gut aufgehoben: www.flane.de/wireshark.

Über den Autor

Jasper Bongertz ist Senior Consultant und Instructor bei Fast Lane.

Artikelfiles und Artikellinks

(ID:36025800)