Pakketten lezen in Wireshark

Voor veel IT-experts is Wireshark de tool bij uitstek voor netwerkpakketanalyse. Met de open-sourcesoftware kunt u de verzamelde gegevens nauwkeurig onderzoeken en de oorzaak van het probleem nauwkeuriger bepalen. Bovendien werkt Wireshark in realtime en gebruikt het kleurcodering om de vastgelegde pakketten weer te geven, naast andere handige mechanismen.

Pakketten lezen in Wireshark

In deze zelfstudie leggen we uit hoe u pakketten vastlegt, leest en filtert met Wireshark. Hieronder vindt u stapsgewijze instructies en uitsplitsingen van de basisfuncties voor netwerkanalyse. Zodra u deze fundamentele stappen onder de knie heeft, kunt u de verkeersstroom van uw netwerk inspecteren en problemen efficiënter oplossen.

Pakketten analyseren

Zodra de pakketten zijn vastgelegd, organiseert Wireshark ze in een gedetailleerd paneel met pakketlijsten dat ongelooflijk gemakkelijk te lezen is. Als u toegang wilt tot de informatie over een enkel pakket, hoeft u het alleen maar in de lijst te zoeken en te klikken. U kunt de structuur ook verder uitbreiden om toegang te krijgen tot de details van elk protocol in het pakket.

Voor een uitgebreider overzicht kunt u elk vastgelegd pakket in een apart venster weergeven. Hier is hoe:

  1. Selecteer het pakket uit de lijst met uw cursor en klik met de rechtermuisknop.

  2. Open het tabblad "Weergave" in de werkbalk hierboven.

  3. Selecteer "Toon pakket in nieuw venster" in het vervolgkeuzemenu.

Opmerking: het is veel gemakkelijker om de vastgelegde pakketten te vergelijken als u ze in afzonderlijke vensters opent.

Zoals vermeld, gebruikt Wireshark een kleurcoderingssysteem voor datavisualisatie. Elk pakket is gemarkeerd met een andere kleur die verschillende soorten verkeer vertegenwoordigt. TCP-verkeer wordt bijvoorbeeld meestal blauw gemarkeerd, terwijl zwart wordt gebruikt om pakketten aan te geven die fouten bevatten.

Natuurlijk hoef je de betekenis achter elke kleur niet te onthouden. In plaats daarvan kunt u ter plaatse controleren:

  1. Klik met de rechtermuisknop op het pakket dat u wilt onderzoeken.

  2. Selecteer het tabblad "Weergave" in de werkbalk bovenaan het scherm.

  3. Kies "Kleurregels" in het vervolgkeuzemenu.

U ziet de optie om de kleur naar wens aan te passen. Als u de kleurregels echter slechts tijdelijk wilt wijzigen, volgt u deze stappen:

  1. Klik met de rechtermuisknop op het pakket in het deelvenster met de pakketlijst.
  2. Selecteer in de lijst met opties 'Inkleuren met filter'.

  3. Kies de kleur waarmee je het wilt labelen.

Nummer

Het pakketlijstvenster toont u het exacte aantal vastgelegde databits. Omdat de pakketten in verschillende kolommen zijn georganiseerd, is het vrij eenvoudig te interpreteren. De standaardcategorieën zijn:

  • Nee. (Aantal): Zoals vermeld, kunt u het exacte aantal vastgelegde pakketten in deze kolom vinden. De cijfers blijven hetzelfde, zelfs na het filteren van de gegevens.
  • Tijd: zoals je misschien al geraden hebt, wordt hier de tijdstempel van het pakket weergegeven.
  • Bron: het laat zien waar het pakket vandaan komt.
  • Bestemming: het toont de plaats waar het pakket zal worden bewaard.
  • Protocol: het geeft de naam van het protocol weer, meestal in een afkorting.
  • Lengte: Het toont het aantal bytes in het vastgelegde pakket.
  • Info: de kolom bevat aanvullende informatie over een bepaald pakket.

Tijd

Terwijl Wireshark het netwerkverkeer analyseert, krijgt elk vastgelegd pakket een tijdstempel. De tijdstempels worden dan opgenomen in het pakketlijstpaneel en zijn beschikbaar voor latere inspectie.

Wireshark maakt de tijdstempels niet zelf. In plaats daarvan haalt de analysetool ze uit de Npcap-bibliotheek. De bron van het tijdstempel is echter eigenlijk de kernel. Daarom kan de nauwkeurigheid van de tijdstempel van bestand tot bestand verschillen.

U kunt het formaat kiezen waarin de tijdstempels in de pakketlijst worden weergegeven. Daarnaast kunt u de gewenste precisie of het aantal weergegeven decimalen instellen. Afgezien van de standaard precisie-instelling, is er ook:

  • seconden
  • Tienden van een seconde
  • Honderdsten van een seconde
  • milliseconden
  • microseconden
  • Nanoseconden

Bron

Zoals de naam al doet vermoeden, is de bron van het pakket de plaats van herkomst. Als u de broncode van een Wireshark-repository wilt verkrijgen, kunt u deze downloaden met behulp van een Git-client. De methode vereist echter dat u een GitLab-account hebt. Het is mogelijk om het zonder te doen, maar het is beter om je aan te melden voor het geval dat.

Nadat u een account heeft geregistreerd, volgt u deze stappen:

  1. Zorg ervoor dat Git functioneel is door dit commando te gebruiken: “$ git --versie.

  2. Controleer nogmaals of uw e-mailadres en gebruikersnaam zijn geconfigureerd.
  3. Maak vervolgens een kloon van de Workshark-bron. Gebruik de "$ git clone -o upstream [e-mail beveiligd] :wireshark/wireshark.git” SSH-URL om de kopie te maken.
  4. Als je geen GitLab-account hebt, probeer dan de HTTPS-URL: “$ git clone -o stroomopwaarts //gitlab.com/wireshark/wireshark.git.

Alle bronnen worden vervolgens naar uw apparaat gekopieerd. Houd er rekening mee dat het klonen even kan duren, vooral als je een trage netwerkverbinding hebt.

Bestemming

Als u het IP-adres van de bestemming van een bepaald pakket wilt weten, kunt u het weergavefilter gebruiken om het te lokaliseren. Hier is hoe:

  1. Binnenkomen "ip.addr == 8.8.8.8" in de Wireshark "Filterbox". Klik vervolgens op 'Invoeren'.

  2. Het paneel met de pakketlijst wordt alleen opnieuw geconfigureerd om de pakketbestemming weer te geven. Zoek het IP-adres waarin u geïnteresseerd bent door door de lijst te bladeren.

  3. Als u klaar bent, selecteert u "Wissen" in de werkbalk om het paneel met de pakketlijst opnieuw te configureren.

Protocol

Een protocol is een richtlijn die de gegevensoverdracht bepaalt tussen verschillende apparaten die op hetzelfde netwerk zijn aangesloten. Elk Wireshark-pakket bevat een protocol en u kunt dit oproepen met behulp van het weergavefilter. Hier is hoe:

  1. Klik bovenaan het Wireshark-venster op het dialoogvenster "Filter".
  2. Voer de naam in van het protocol dat u wilt onderzoeken. Meestal worden protocoltitels in kleine letters geschreven.
  3. Klik op "Enter" of "Toepassen" om het weergavefilter in te schakelen.

Lengte

De lengte van een Wireshark-pakket wordt bepaald door het aantal bytes dat in dat specifieke netwerkfragment is vastgelegd. Dat aantal komt meestal overeen met het aantal onbewerkte databytes dat onderaan het Wireshark-venster wordt vermeld.

Als u de verdeling van lengtes wilt bekijken, opent u het venster "Packet Lengths". Alle info is onderverdeeld in de volgende kolommen:

  • Pakketlengtes
  • Graaf
  • Gemiddeld
  • Min. waarde/max. waarde
  • Tarief
  • procent
  • Burst-snelheid
  • Burst-start

Info

Als er afwijkingen of soortgelijke items zijn in een bepaald vastgelegd pakket, zal Wireshark dit noteren. De informatie wordt dan weergegeven in het pakketlijstpaneel voor verder onderzoek. Zo heb je een duidelijk beeld van atypisch netwerkgedrag, waardoor je sneller kunt reageren.

Aanvullende veelgestelde vragen

Hoe kan ik de pakketgegevens filteren?

Filteren is een efficiënte functie waarmee u de bijzonderheden van een bepaalde gegevensreeks kunt onderzoeken. Er zijn twee soorten Wireshark-filters: vastleggen en weergeven. Capture-filters zijn er om het vastleggen van pakketten te beperken om aan specifieke eisen te voldoen. Met andere woorden, u kunt door verschillende soorten verkeer bladeren door een opnamefilter toe te passen. Zoals de naam al doet vermoeden, kunt u met weergavefilters een bepaald element van het pakket aanscherpen, van pakketlengte tot protocol.

Het toepassen van een filter is een vrij eenvoudig proces. U kunt de filtertitel typen in het dialoogvenster bovenaan het Wireshark-venster. Bovendien vult de software de naam van het filter meestal automatisch aan.

Als u de standaard Wireshark-filters wilt doorzoeken, kunt u ook het volgende doen:

1. Open het tabblad "Analyseren" in de werkbalk bovenaan het Wireshark-venster.

2. Selecteer in de vervolgkeuzelijst 'Weergavefilter'.

3. Blader door de lijst en klik op degene die u wilt toepassen.

Ten slotte zijn hier enkele veelvoorkomende Wireshark-filters die van pas kunnen komen:

• Om alleen het bron- en bestemmings-IP-adres te zien, gebruikt u: “ip.src==IP-adres en ip.dst==IP-adres

• Om alleen SMTP-verkeer te bekijken, typt u: “tcp.poort eq 25

• Om al het subnetverkeer vast te leggen, past u het volgende toe: “netto 192.168.0.0/24

• Om alles behalve het ARP- en DNS-verkeer vast te leggen, gebruikt u: “poort niet 53 en niet arp

Hoe leg ik de pakketgegevens vast in Wireshark?

Nadat u Wireshark naar uw apparaat hebt gedownload, kunt u beginnen met het bewaken van uw netwerkverbinding. Om datapakketten vast te leggen voor een uitgebreide analyse, moet u het volgende doen:

1. Start Wireshark. U ziet een lijst met beschikbare netwerken, dus klik op degene die u wilt onderzoeken. U kunt ook een opnamefilter toepassen als u het type verkeer wilt lokaliseren.

2. Wilt u meerdere netwerken inspecteren, gebruik dan de “shift + left-click” besturing.

3. Klik vervolgens op het uiterst linkse haaienvinpictogram op de werkbalk hierboven.

4. U kunt het vastleggen ook starten door op het tabblad "Capture" te klikken en "Start" te selecteren in de vervolgkeuzelijst.

5. Een andere manier om dit te doen is door de "Control - E" toetsaanslag te gebruiken.

Terwijl de software de gegevens pakt, ziet u deze in realtime in het pakketlijstvenster verschijnen.

Shark Byte

Hoewel Wireshark een zeer geavanceerde netwerkanalysator is, is het verrassend eenvoudig te interpreteren. Het deelvenster met de pakketlijst is zeer uitgebreid en overzichtelijk. Alle informatie is verdeeld in zeven verschillende kleuren en gemarkeerd met duidelijke kleurcodes.

Bovendien wordt de open-sourcesoftware geleverd met een hele reeks gemakkelijk toepasbare filters die de monitoring vergemakkelijken. Door een opnamefilter in te schakelen, kunt u bepalen welk soort verkeer u door Wireshark wilt laten analyseren. En zodra de gegevens zijn verzameld, kunt u verschillende weergavefilters toepassen voor specifieke zoekopdrachten. Al met al is het een zeer efficiënt mechanisme dat niet al te moeilijk te beheersen is.

Gebruikt u Wireshark voor netwerkanalyse? Wat vind je van de filterfunctie? Laat het ons weten in de reacties hieronder als er een handige pakketanalysefunctie is die we hebben overgeslagen.