Was ist Wireshark?

Wireshark Grundlagen

Wireshark ist ein freies und äußerst beliebtes Analyseprogramm für Netzwerkkommunikationsverbindungen und war früher als Ethereal bekannt. Die Bezeichnung Wireshark stammt aus der englischen Wortzusammensetzung wire = Kabel/ Draht und shark = Hai. Wireshark ist ein sogenannter Network Sniffer- oder eine Network Stumbler Software.

Das auch als Data Logger Software bekannte Tool bietet die Möglichkeit, den Datenverkehr einer Schnittstelle (in der Regel Ethernet TCP/IP) nach oder während der Aufzeichnung als Datenpakete darzustellen. Hierbei erfolgt eine übersichtliche, vereinfachte Datenanalyse, die von Nutzerseite nachvollzogen werden kann. Auf diese Weise besteht die Gelegenheit, einzelne aufgezeichnete Datenpakete zu betrachten oder diese nach spezifischen Inhalten zu sortieren. Neben der Extraktion, von zum Beispiel Bildern (binäre Inhalte), kann Wireshark auch übersichtliche Datenfluss-Statistiken aufbereiten und erstellen. WinPcap ermöglicht die transparente Aufzeichnung vom jeweiligen Datenverkehr unter Microsoft Windows. Doch arbeitet Wireshark auf nahezu jeder Plattform:

  • Windows
  • Mac OS X
  • AIX
  • BSD
  • Linux
  • Solaris

Für den Einsatz von Wireshark ist lediglich eine Netzwerkkarte sowie ein Sniffing Tool wie zum Beispiel unser Ethernet-Data-Sniffer KUNBUS-TAP 2100 erforderlich.

Das für die Messdaten notwendige Format zur Aufzeichnung stellt ein tcpdump dar. Darüber hinaus ist das Einlesen anderer LAN-Analyzer und ihrer Formate mit Wireshark realisierbar.

Die Wireshark Entstehung

Wireshark entstand durch den Arbeitgeberwechsel Gerald Combs, der im Anschluss das Network Stumbler Projekt "Wireshark" startete. Vor dieser Entwicklung standen unterschiedliche, kommerzielle Analyseprodukte für Netzwerke, die von verschiedenen Herstellern angeboten wurden. Doch konnte das allseits erfolgreiche und beliebte sowie freie Netzwerkprojekt Wireshark diese vom Markt verdrängen. Durch kritische Stimmen wird zwar die Frage aufgeworfen, ob Wireshark die Experten-Analyse vollkommen ersetzen könne, jedoch ergänzt tshark als kommandozeilenbasiertes und skriptfähiges Tool die Wireshark Stumbler Software, beinhaltet aber nicht sämtliche Funktionen von Wireshark. Da die Network Sniffer Software Wireshark im Ganzen aber keiner Datenorientierung, sondern einer Paketorientierung unterliegt, beschränkt sich auch sein Fokus auf die stellenweise Problemanalyse.

Der Einsatz von Wireshark

Wireshark ermöglicht also kurz gesagt die Fehlersuche in Netzwerken. Dabei geht der Network Sniffer so vor, dass er zunächst den jeweiligen Datenverkehr im entsprechenden Netzwerk aufzeichnet und diesen bei Bedarf sowohl dekodiert als auch für den Menschen lesbar darstellt. Zum Beispiel können die Inhalt einzelner Datenframes zwischen einer Steuerung bzw. SPS und einem I/O Gerät überprüft werden. Hierbei wir die Leitung zwischen Steuerung und zum Beispiel einem KUNBUS Kommunikationsmodul mitgelesen.Auch das Delay und CRC-Fehler können so gefunden und ausgewertet werden.

Wireshark - Installation

Wie oben erwähnt, kann Wireshark auf nahezu allen gängigen Systemen eingesetzt werden. Hier eine Aufzählung der am meisten genutzten Betriebssysteme:

Windows:

  • Installer steht zur Verfügung
  • WinPcap (Capture-Treiber) installiert Wireshark
  • Selbsterklärende Installation unter wireshark-setup-nn-exe

Linux:

  • Bei nahezu allen Distributionen im Lieferumfang enthalten
  • Nach-Installation unter Suse über Yast
  • Bei Installation unter Debian genügt ein apt-get install wireshark
  • Knoppix oder Backtrack-CD für ersten Test geeignet

Apple Mac OS X:

  • Hier sind Anpassungen notwendig, welche die Rechte der Netzwerkgeräte (/dev/dpv*) betreffen

Eine Wireshark Aufzeichnung beginnen

Der Dialog für Wireshark kann über die Menüauswahl Capture/ Interfaces erreicht werden. Der Dialog wiederum zeigt mitsamt den entsprechenden IP-Adressen die jeweils erkannten Netzwerkschnittstellen an. Darüber hinaus wird die Anzahl der insgesamt übertragenen Pakete und der Übertragung pro Sekunde dargestellt. Die ausschließlich unter Windows verfügbare Details-Funktion kann genutzt werden, um Zusatzinformationen zu den jeweiligen Interfaces abzurufen. Um die Aufzeichnung zu beginnen, muss lediglich die Schaltfläche Capture betätigt werden. Ein Fenster präsentiert im Anschluss die aufgezeichneten Frames sowie deren exakte Anzahl.

Um Traces genau auszuwerten, bietet Wireshark eine Filter-Funktion. Damit ist es möglich, die Anzeige sowie die Analyse auf diejenigen Frames einzuschränken, die am interessantesten sind. Mit dem Filter kann zum Beispiel der ein- und ausgehende Datenverkehr zur eigenen IP-Adresse beobachtet werden. Auch eine ausschließliche Beobachtung des Ping-Kommandos ist mit Wireshark realisierbar.

Die Wireshark Ansicht

Die Haupt-Frames von Wireshark unterliegen einer Drei-Teilung. Darunter sind die Paketliste, die Paketdetails sowie die Hexadezimale Paketanzeige zu finden. Mit Hilfe der Menüauswahl Edit/ Preferences ist eine Spaltenauswahl in der Paketliste möglich.

Die Paketliste
Spalte No.:

  • Anzeige der Frame-Nummer
  • Nummern müssen nicht fortlaufend sein, wenn Filter aktiviert

Spalte Source:

  • Anzeige des Frame-Absenders

Spalte Destination:

  • Anzeige des Frame-Empfängers

Spalte Protocol:

  • Anzeige des Frames im entsprechenden Protokoll

Spalte Info:

  • Anzeige zusätzlicher Frame-Details