Professionelle Netzwerk-Analyse mit Wireshark, Teil 6 4 unverzichtbare Tricks für die Arbeit mit Wireshark

Autor / Redakteur: Jasper Bongertz / Dipl.-Ing. (FH) Andreas Donner

Wireshark ist ein mächtiges Werkzeug und bietet viele Möglichkeiten, im Rahmen einer Netzwerkanalyse genau das herauszuarbeiten, was die aktuelle Aufgabe erfordert. Kennt man einige Tricks im Umgang mit dem Analyse-Tool wird die Arbeit deutlich einfacher und produktiver!

Firmen zum Thema

Speziell für den Umgang mit neueren Wireshark-Versionen gibt es einige Tipps & Tricks – Schulungsanbieter Fast Lane zeigt welche!
Speziell für den Umgang mit neueren Wireshark-Versionen gibt es einige Tipps & Tricks – Schulungsanbieter Fast Lane zeigt welche!
(Bild: Fast Lane)

Nachdem die vorherigen Artikel dieser Serie (die Links zu den anderen Teilen finden Sie am unteren Seitenende) auf verschiedene Aspekte der Analysearbeit eingegangen sind, werden wir uns diesmal einige nützliche Tipps und Tricks für die produktive Arbeit mit Wireshark ansehen.

1. Die Farbregeln

Wireshark kann Pakete nach beinahe beliebigen Kriterien einfärben, um die Orientierung innerhalb der Paketflut zu erleichtern. Es ist jedoch ratsam, die Werkseinstellung hinsichtlich der Farbauswahl individuell auf die eigenen Anforderungen anzupassen, um den maximalen Nutzen zu erzielen. Die mitgelieferte Default-Einstellung verwirrt durch ihre Farbvielfalt eher, als dass sie zur Transparenz beiträgt.

Bildergalerie
Bildergalerie mit 8 Bildern

Die Erfahrung zeigt, dass Farbregeln sehr hilfreich sind, solange man sie sinnvoll konfiguriert. Dabei können IT-Mitarbeiter grundsätzlich nach jedem Kriterium einfärben, zu dem sich ein Displayfilter erstellen lässt. Die Standardfarbregeln sind eine brauchbare Vorlage, auf der man eigene Regeln aufbauen kann.

Dazu löscht man die vorhandenen Regeln gegebenenfalls erst einmal komplett und fügt anschließend nach und nach eigene Regeln hinzu. Das Löschen der Regeln ist dabei nicht ganz einfach, denn der „Clear“-Knopf dient nicht zum Entfernen, sondern stellt lediglich die Default-Einstellung wieder her.

Um alle Regeln auf einmal zu entfernen, klickt man auf eine der Regeln und benutzt die Tastenkombination STRG+A, um sämtliche Zeilen zu markieren. Danach löscht man die markierten Regeln mithilfe des Delete-Buttons.

Eine Möglichkeit für das sinnvolle Einfärben wäre zum Beispiel, diejenigen Pakete farblich zu markieren, mit denen eine neue TCP-Verbindung startet. Dazu eignet sich ein Filter, der auf ein gesetztes SYN-Flag filtert – und da wir nur das erste Paket der Verbindung markieren möchten, fordern wir noch ein nicht gesetztes ACK-Flag. Als zweites könnte man alle Pakete rot markieren, die bei einer Diagnose beanstandet werden.

Zu beachten ist dabei, dass Wireshark Farbfilter von oben nach unten abarbeitet, d.h. sobald eine Filterregel passt, wird die entsprechende Farbe verwendet, um die Paketliste zu färben. Mit den beiden einfachen Regeln würde ein entsprechender Trace dann größtenteils schwarz auf weiß markiert werden, und nur die relevanten Pakete würden in Farbe auftauchen.

Mit den eigenen Regeln ist es für den Netzwerkverantwortlichen wesentlich leichter, auf den ersten Blick interessante Dinge in der Menge an Paketen zu entdecken. Dabei ist es gut zu wissen, dass er im ersten Abschnitt des Decode nachsehen kann, nach welcher Regel ein Paket eingefärbt wurde, falls die Regeln noch etwas verfeinert werden müssen.

weiter mit: PCAPng-Dateiformat, Spaltendefinitionen und Filter-Tricks

2. Das PCAPng-Dateiformat

Seit Version 1.8 verwendet Wireshark anstelle des alten (und ungenügenden) libpcap-Formats ein neues Dateiformat namens PCAPng für die Speicherung von Paketmitschnitten. Denn da Wireshark seit der Version 1.8 nun auf mehreren Netzwerk-Interfaces gleichzeitig aufzeichnen kann, muss dies auch für die Pakete samt Kennzeichnung der jeweiligen Netzwerkkarte im Tracefile-Format abgespeichert werden können.

Dies ist mit libpcap genauso wenig möglich wie das Speichern von Kommentaren zu Paketen, oder die Speicherung der Anzahl an Dropped Frames (d.h. Paketeverlust durch mangelnde Aufzeichnungsgeschwindigkeit). Nur das PCAPng-Format bietet diese Möglichkeiten.

Zu beachten ist hierbei, dass PCAPng nur bei Neuinstallationen von Wireshark automatisch zum Einsatz kommt; wenn eine ältere Version überschrieben wird, behält das Programm meist die alte Einstellung bei. Es ist absolut empfehlenswert, diese auf PCAPng zu ändern, was durch einen Aufruf der Preferences im Bereich der Capture-Einstellungen schnell gemacht ist.

PCAPng kann unter anderem mehrere Netzwerk-Interfaces parallel zur Aufzeichnung verwenden, Kommentare zur gesamten Datei oder auch zu einzelnen Paketen speichern und wird sich mit großer Wahrscheinlichkeit als Standard-Dateiformat durchsetzen.

Natürlich lassen sich Dateien im alten pcap-Format später als PCAPng-Format speichern, allerdings gehen hierbei die Zusatzinformationen verloren, die PCAPng schon bei der Aufzeichnung gesammelt hätte, zum Beispiel Daten über die verwendeten Netzwerkkarten und deren Performance.

Einziger Nachteil von PCAPng ist momentan noch, dass viele Zusatz-Tools zu diesem Dateiformat noch nicht kompatibel sind und man sich anders behelfen muss.

3. Spaltendefinitionen hinzufügen

Oftmals möchte man in der Liste der Pakete eine zusätzliche Spalte für weitere Informationen hinzufügen, zum Beispiel den jeweiligen Wert für das TCP Receive Window. Damit könnte man recht einfach sehr niedrige Pufferwerte erkennen, was gerade bei langsamen Netzwerkverbindungen von Vorteil ist.

Früher musste man dazu in die Preferences wechseln und umständlich von Hand eine Custom-Definition erstellen. Seit Version 1.6 lassen sich Spalten einfach direkt aus dem Decodierbereich heraus erstellen, indem man auf dem gewünschten Feld das Kontextmenü verwendet (siehe Abbildung 5).

Zusätzlich zum schnellen Hinzufügen von Spalten ist es möglich, durch einen Rechtsklick auf den Spaltenkopf die Spalte auch wieder zu entfernen oder temporär auszublenden (siehe Abbildung 6).

4. Filter-Tricks

Die am meisten eingesetzten Filtervarianten sind mit Sicherheit die Display-Filter. Jeder, der routinemäßig mit Wireshark arbeitet, hat vermutlich einige Standardfilter im Repertoire, die immer wieder eingesetzt werden.

Seit Version 1.8 unterstützt den Anwender hier ein komfortables Feature, mit dem sich in den Preferences im Bereich „Filter Expressions“ die wichtigsten Filter vordefinieren lassen. Sie stehen danach als Buttons neben der Filtereingabezeile zur Verfügung.

Display-Filter eignen sich übrigens nicht nur zum Filtern auf die gerade geladenen Pakete, sondern man kann sie auch zu anderen Zwecken bspw. beim Laden einer Datei einsetzen. Dies führt dazu, dass während des Ladevorgangs nur diejenigen Pakete geladen werden, die nicht vom Filter ausgeblendet werden. Dadurch gelangen nur die Pakete in den Speicher, die benötigt werden. Je weniger Pakete im Speicher sind, desto schneller kann man im weiteren Verlauf mit Filtern und Statistikwerkzeugen arbeiten.

Lust auf mehr?

Wer sich intensiv mit Wireshark und Netzwerkanalyse auseinandersetzen will, ist bei den Wireshark-Kursen von Fast Lane gut aufgehoben: www.flane.de/wireshark.

Über den Autor

Jasper Bongertz ist Senior Consultant und Instructor bei Fast Lane.

Artikelfiles und Artikellinks

(ID:36025800)