Mit Wireshark auf Ubuntu
Wireshark ist ein leistungsstarker Open-Source-Netzwerkanalysator, der verwendet werden kann, um die Daten in einem Netzwerk abzufragen, als Hilfe bei der Analyse von Netzwerkverkehrsanalysen, aber auch als Lehrmittel, um die Prinzipien von Netzwerken und Kommunikationsprotokollen zu verstehen.
Es ist für fast jede Linux-Distribution verfügbar und für Ubuntu kann es über das Ubuntu Software Center oder das Terminal installiert werden:
sudo apt-get installieren wireshark
Vor der Verwendung von wireshark muss dem Dienstprogramm dumpcap
die Berechtigung zur Ausführung als root erteilt werden. Ohne diesen kann Wireshark den Netzwerkverkehr nicht erfassen, wenn Sie als normaler Benutzer angemeldet sind (was immer in Distributionen wie Ubuntu der Fall ist). Verwenden Sie den folgenden Befehl, um das Bit " setuid
" zu dumpcap
hinzuzufügen:
sudo chmod 4711 `which dumpcap`
Beachten Sie, dass die Anführungszeichen um die "which dumpcap" keine normalen einfachen Anführungszeichen sind, sondern die gravierenden Akzentzeichen. Auf Unix-ähnlichen Systemen ruft dies die Befehlsersetzung auf, wobei die Ausgabe von dumpcap
Befehl ein Parameter für den chmod
Befehl wird, dh der vollständige Pfad der dumpcap
Binärdatei.
Starten Sie Wireshark und klicken Sie dann auf die Netzwerkschnittstelle, die Sie zum Erfassen der Daten verwenden möchten. In einem verkabelten Netzwerk ist es wahrscheinlich eth0
. Klicken Sie nun auf Start.
Wireshark beginnt damit, den Datenverkehr zu erfassen und im Hauptfenster als farbcodierte Liste anzuzeigen. TCP-Verkehr ist grün, UDP-Pakete sind hellblau, ARP-Anforderungen sind gelb und DNS-Verkehr wird in dunkelblau angezeigt.
Direkt unter der Symbolleiste befindet sich die Filterbox. Um nur bestimmte Arten von Netzwerkpaketen anzuzeigen, geben Sie den Protokollnamen in das Bearbeitungsfeld ein und klicken Sie auf Übernehmen. Um beispielsweise nur die ARP-Meldung (Address Resolution Protocol) arp
, geben Sie arp
in das Feld Filter ein und klicken Sie auf arp
. Die Liste wird so geändert, dass nur ARP-Nachrichten angezeigt werden. ARP wird in einem LAN verwendet, um festzustellen, welcher Computer eine bestimmte IP-Adresse verwendet. Andere Beispielfilter sind HTTP, ICMP, SMTP, SMB und so weiter.
Wireshark kann nach erweiterten Kriterien filtern, die über den Protokolltyp hinausgehen. Um beispielsweise den gesamten DNS-Verkehr ip.src==192.168.1.101 and dns
, der von einem bestimmten Host stammt, verwenden Sie den Filter ip.src==192.168.1.101 and dns
wobei 192.168.1.101
die Quelladresse ist, die Sie filtern möchten.
Wenn Sie eine interessante Interaktion zwischen zwei Hosts sehen, die Sie in ihrer Gesamtheit sehen möchten, dann hat Wireshark eine "Follow Stream" -Option. Klicken Sie mit der rechten Maustaste auf ein beliebiges Paket in der Vermittlungsstelle und klicken Sie anschließend auf "Folgen Sie dem TCP-Stream" (oder folgen Sie dem UDP-Stream, folgen Sie dem SSL-Stream je nach Protokolltyp). Wireshark zeigt dann eine vollständige Kopie der Konversation.
Versuche dies
Die Verwendung von Wireshark kann so komplex oder so einfach sein, wie Sie es benötigen. Es gibt viele erweiterte Funktionen für Netzwerkexperten, aber auch diejenigen, die etwas über Netzwerke lernen möchten, können davon profitieren. Hier ist etwas zu versuchen, wenn Sie mehr über Wireshark erfahren möchten. Starten Sie ein Capture und setzen Sie den Filter auf ICMP. Pingen Sie nun Ihren Linux-Rechner mit einem Befehl wie diesem von einem anderen Linux-Rechner oder sogar von einer Windows-PC-Shell aus:
Ping 192.168.1.10
Wobei 192.168.1.10
die IP-Adresse des Linux- 192.168.1.10
ist. Sehen Sie sich nun die Paketliste an und sehen Sie, ob Sie den Netzwerkverkehr für den Ping erkennen.