Sniffer

Mit Wireshark Netzwerk-Probleme finden

Samstag, 09.08.2014 | 07:44 von Johann Baumeister
Mit dem kostenlosen Netzwerk-Sniffer Wireshark gehen Sie Netzwerk-Problemen auf den Grund.
Vergrößern Mit dem kostenlosen Netzwerk-Sniffer Wireshark gehen Sie Netzwerk-Problemen auf den Grund.
© iStockphoto.com/s_john79
Ein Sniffer wie Wireshark ist das Mittel der Wahl, wenn es Probleme mit der Netzwerk-Verbindung gibt. Unser Workshop zeigt, wie Sie mit dem kostenlosen Wireshark Ihr Netzwerk analysieren und Fehler aufspüren.

Mit Wireshark die Netzwerk-Kommunikation auswerten

Ob Desktop-PC, Notebook, Server, Tablet, Router oder Smartphone - sie alle tauschen Nachrichten untereinander aus. Damit unterschiedliche Netzwerk-Geräte miteinander kommunizieren können, müssen sie die gleiche Sprache sprechen und sich an einige Regeln halten. Für die Kommunikation von IT-Systemen wurden diese Regeln deshalb schon vor Jahrzehnten in dem ISO/OSI-Modell festgeschrieben. Es regelt die Art und Weise, wie IT-Geräte beziehungsweise Systeme miteinander kommunizieren und welche Netzwerk-Protokolle, zum Beispiel TCP/IP oder UDP, sie für welche Zwecke verwenden. Diese Netzwerkkommunikation können Sie bis ins kleinste Detail verfolgen. Mit einem genialen Gratis-Tool namens Wireshark, das auch professionelle Netzadministratoren einsetzen, um den Netzwerk-Traffic zu analysieren.

Installation von Wireshark

Die Installation von Wireshark ist schnell durchlaufen.
Sie können die Standardeinstellungen einfach übernehmen.
Vergrößern Die Installation von Wireshark ist schnell durchlaufen. Sie können die Standardeinstellungen einfach übernehmen.

Wireshark ist ein ausgefeiltes Analysetool zur Überwachung und Kontrolle des Datenaustausches in Netzwerken, das sich als Standard-Werkzeug für die Fehleranalyse und das Aufspüren von Netzwerk-Problemen etabliert hat. Sie können sich diesen Netzwerk-Sniffer kostenlos aus dem Internet herunterladen (Software, mit der man die die Netzwerk-Kommunikation mitschneiden und auswerten kann, bezeichnet man als Netzwerk-Sniffer oder kurz als Sniffer - das englische Wort für "Schnüffler"). 

Für Aufgaben rund um die Protokollanalyse, der Lastermittlung oder um zu prüfen, welche Datenpakete versandt oder empfangen werden, stellt es eine wertvolle Hilfe dar. Verfügbar ist Wireshark für Linux und Windows. Laden Sie sich die für Ihr Betriebssystem passende Version herunter und richten Sie Wireshark auf Ihrem Rechner ein.

beitrag_id link stoerer 23468 Ratgeber: Mit Wireshark den Netzwerkverkehr analysieren _blank

Nach dem Setup des Programmes können Sie sogleich die Verwaltungskonsole starten.

Die Verwaltungskonsole von Wireshark

Der Einstiegsbildschirm liefert einige Hilfen und die
wichtigsten Optionen
Vergrößern Der Einstiegsbildschirm liefert einige Hilfen und die wichtigsten Optionen

Nach dem Start öffnet sich ein Übersichtsbildschirm. Unter Capture finden Sie die beiden Zweige „Interface List“ und „Capture Options“. Als „Interface“ werden die Netzwerkschnittstellen bezeichnet (also die im PC eingebauten Netzwerkkarten oder Netzwerkchips). Über eine dieser Schnittstellen liest Wireshark die Kommunikation im Netzwerk mit. Die „Options“ erlauben eine weitere Konfiguration der Arbeitsweise des Tools. Unter „Capture Help“ sind Hilfen eingeblendet, die Sie nicht ignorieren sollten. Unter der Rubrik „File“ sind die Möglichkeiten zur Speicherung der Analysedaten hinterlegt. Ferner finden Sie hier einige recht gute Beispiele für die Arbeit mit Wireshark. Ganz rechts sind Hinweise und Links auf die Online-Hilfe und die Website eingeblendet.

Rechtliche Voraussetzungen für Sniffer-Einsatz klären

Bevor Sie nun beginnen mit Wireshark den Netzwerk-Traffic zu analysieren, müssen Sie sich über zwei Dinge im Klaren sein: Ist es in der Netzwerk-Umgebung, in der Sie sich befinden, überhaupt erlaubt, die Datenpakete zu analysieren? Im eigenen privaten Heimnetzwerk wird das kein Problem darstellen, im Unternehmensnetz aber sollten Sie vorher die datenschutzrechtlichen Vereinbarungen prüfen. Dürfen Sie überhaupt Änderungen am Netzwerk und der Datentransfer vornehmen?

Zum Scannen des Netzwerks müssen sie ein Interface
auswählen. Im Bild befindet sich nur ein aktives Interface im
Rechner.
Vergrößern Zum Scannen des Netzwerks müssen sie ein Interface auswählen. Im Bild befindet sich nur ein aktives Interface im Rechner.

Netzwerk Sniffer Wireshark starten

Wenn Sie beides bejahen – und nur dann - dann können sie ein Interface (siehe nebenstehendes Bild) auswählen, über welches das Tool das Netzwerk scannt. Starten Sie anschließend den Scanlauf mit einem Klick auf „Start“. Wireshark beginnt nun sofort mit dem Scannen des Netzwerks und zeigt dieses in einer Übersichtsmaske mit mehreren Fenstern an. Im oberen Bereich sehen Sie eine Übersicht mit jeweils einer Zeile zu jedem Datentransfer. Darin finden Sie unter anderem die Quelle und das Ziel der Kommunikation, ferner das Protocol (zum Beispiel TCP, UDP, DNS oder ARP) und weitere Angaben. Im mittleren Bereich finden Sie eine detaillierte Darstellung dazu. Das ist die Analyse, die Wireshark vorgenommen hat. Es liefert Ihnen Angaben zu den Protokollen und den Inhalten. Ganz unten sehen Sie die Hexadezimaldarstellung des Datenpaketes eingeblendet.

Durch ARP-Request und ARP-Reply erfolgt die Auflösung der
Namen in MAC-Adressen. Diese sind in den Zeilen 2 und 3 zu
sehen.
Vergrößern Durch ARP-Request und ARP-Reply erfolgt die Auflösung der Namen in MAC-Adressen. Diese sind in den Zeilen 2 und 3 zu sehen.

Netzwerkanalyse am Beispiel ARP

Am Beispiel eines ARP-Requestes wollen wir die Arbeit mit Wireshark aufzeigen. Siehe dazu das nebenstehende Bild. Das Protokoll ARP (Address Resolution Protocol) wird in jedem TCP/IP-Netz benötigt. Sie werden folglich in jedem TCP-Netz ARP-Pakete finden. Durch ARP erfolgt die Auflösung einer IP-Adresse in die MAC-Adresse (die jede Netzwerkkarte besitzt und mit der sich jeder Netzwerkadapter eindeutig identifizieren lässt). Dazu sendet der suchende Knoten (der Sender) zuerst einen Broadcast ARP-Request an alle Systeme im Subnetz mit der Aufforderung, die MAC-Adresse des Empfängers bekannt zu geben. Das System, dessen IP-Adresse mit der IP-Adresse im ARP-Request übereinstimmt, antwortet darauf mit einem ARP-Reply. Auf dem nebenstehenden Screenshot finden Sie diese beiden Pakete, den Arp-Request und ARP-Reply in den Zeilen 2 und 3.


Samstag, 09.08.2014 | 07:44 von Johann Baumeister
Kommentieren Kommentare zu diesem Artikel (7)
  • mittendurch 08:17 | 26.05.2014

    Jedes Jahr...

    ... aufs neue den Artikel veröffentlichen? Hhhmmm, arbeitet PCWelt eigentlich noch?

    Antwort schreiben
  • chipchap 22:39 | 17.09.2013

    Zitat: LeoO
    Jeder Schüler der 3. Klasse Grundschule hat mehr Ahnung von Grafikformaten und Internetseitengestaltung ...
    Die meisten Schüler in diesem Alter können gerade 'mal die 2 ersten Grundrechenarten einigermaßen anwenden ... . Aber nur, wenn es nicht in die großen Zahlen geht (über 100).

    Antwort schreiben
  • LeoO 19:49 | 17.09.2013

    Schlimmer geht's nimmer...

    Jeder Schüler der 3. Klasse Grundschule hat mehr Ahnung von Grafikformaten und Internetseitengestaltung als diese Pseudointelligenzen einer (ehemaligen) Fachzeitschrift. Aber das dürfte Diesen ja egal sein, Geld verdient man heute nicht mehr mit Inhalten, sondern mit Werbung - nur, wer sieht dann noch die Werbung, wenn sich die Leserschaft wegen mangelndem Internet-Allgemeinwissen der verantwortlichen Seitengestalter langsam aber immer mehr verabschiedet? Noch ein Grund: Zitat von tti (Oberzensorin): "Das erkennen Sie am Datum des Artikels." Zitat Ende Genau, Datum dieses Beitrages ist der 04.06.2012! - Und seitdem hat sich, und wurde NICHTS geändert... Grauenhaft!

    Antwort schreiben
  • tti 21:36 | 04.06.2012

    Das erkennen Sie am Datum des Artikels.

    Antwort schreiben
  • Klaus71229 22:13 | 03.06.2012

    Anfrage an die Redaktion: Wie bekomme ich als abonnierter Leser dieses Newsletters mit, wenn der Artikel mit überarbeiteten Bildern auf neuen Stand gebracht wird?

    Antwort schreiben
1328232