Display-Filter nutzen

Die gesammelten Daten können Sie noch filtern: Entweder arbeiten Sie über den Button "Filter" mit vorgefertigten Filtern, oder Sie erstellen über "Expression" selbst einen Filter. Für das Feld "Filter string" bietet Wireshark eine ganze Reihe von fertigen Einträgen an (siehe unter "Mehr Infos"). Sie können die Angaben für den Filter auch direkt in die Eingabezeile tippen, etwa "not tcp". Ein roter Hintergrund in der Eingabezeile bedeutet eine falsche Eingabe, bei grünem Hintergrund sollte Ihr Filter funktionieren. "Leeren" Sie Ihren Filter stets, bevor Sie ihn neu definieren.

Eine andere Möglichkeit für das schnelle Filterbasteln ist das direkte Markieren von Einträgen in der Anzeige. Das funktioniert auch bei Details eines Pakets im unteren Fensterbereich, wie zum Beispiel der Quell-Portnummer ("Source Port"). Über das Menü "Analyze, Prepare a Filter, Not Selected" lassen Sie zum Beispiel künftig diese Pakete nach dem markierten Kriterium nicht mehr anzeigen. Dies kann beispielsweise der Netzwerkverkehr für einen Remote-Zugang zwischen zwei Rechnern in Ihrem Heimnetzwerk sein, den Sie selbst hergestellt haben. Die dadurch reichlich vorhandenen Einträge mit dem Protokoll VNC ("Virtual Network Computing") filtern Sie mit "not vnc" heraus. Mit demselben Verfahren schließen Sie die zugehörigen TCP-Pakete mit dem Filter "not tcp.port == 5900" von der Anzeige aus. Die verwendete Portnummer hängt von den Einstellungen Ihres VNC-Programms ab. Für die Verknüpfung mehrerer Filterkriterien verwenden Sie "and". Der gesamte Filter lautet also in unserem Beispiel

Sicher möchten Sie wissen, ob Programme, die Sie nicht verwenden, bei einer permanenten Internet-Verbindung selbständig ins Web funken. Schließen Sie für einen solchen Test Browser, Mail-Client und Chatprogramme, bevor Sie Wireshark laufen lassen. Das Einzige, was das Tool jetzt aufzeichnen sollte, ist eine eventuell vorhandene Kommunikation zwischen Rechnern in Ihrem Heimnetzwerk und Ihrem Router.

Identifizieren können Sie diese Pakete durch "IGMP" (Internet Group Management Protocol) oder "ARP" (Address Resolution Protocol) in der Spalte "Protocol" von Wireshark. Stellen Sie darüber hinaus noch Netzwerkverkehr fest, verursacht diesen möglicherweise Ihr Netzwerkdrucker oder Ihr Heim-Server. Wireshark zeichnet auch auf, wenn Sie das NTP (Network Time Protocol) nutzen, um Ihre Systemuhr abzugleichen. Dasselbe gilt für die DNS-Abfrage nach dem NTP-Servernamen. Bleibt nach Ihrer Ursachenforschung immer noch rätselhafter Netzwerkverkehr übrig, können Sie mit lsof und grep weiterforschen oder so genannte "Intrusion Detection Systeme" einsetzen.

Verdichten sich die Hinweise auf ein kompromittiertes System, sollten Sie – möglichst von einem anderen Rechner aus – im Internet nach Hilfe suchen. In diesem Zusammenhang ist es praktisch, den von Wireshark aufgezeichneten Netzwerkverkehr zu speichern, damit Sie diese Daten eventuell in einem Forum posten können. Dasselbe gilt für Warnungen, die Tools wie Rootkit Hunter ausgeben.

Ein häufiger Rat lautet: die Festplatte gründlich säubern und das System neu installieren. Das ist grundsätzlich empfehlenswert. Stellt sich aber heraus, dass Ihr System bereits vor Wochen oder gar Monaten gekapert wurde, sollten Sie sich zuvor besser professionellen technischen und eventuell auch juristischen Rat holen – für den Fall, dass Ihr Rechner für Straftaten missbraucht wurde.