Wireshark (ehemals Ethereal): Netzwerk-Verkehr analysieren

Mit dem kostenlosen Netzwerkanalysetool Wireshark für Windows, Linux und andere Betriebssysteme erkennen Sie, welche Datenströme zwischen Ihrem Rechner und dem Internet hin- und herfließen, ob es sich beispielsweise um Browserinhalte, Mails oder Kurznachrichten handelt, und je nach Beschaffenheit der Datenpakete sehen Sie auch, was sich in den Datenpaketen befindet. Sie sehen mit Wireshark auf einen Blick, mit welchen Servern Ihr PC Kontakt aufnimmt. Mit Wireshark können Sie somit unerwünschte Schad- und Schnüffelprogramme, Backdoors und Trojaner, aber auch Spy- und Adware aufzuspüren, die von ihrem Rechner aus Datenpakete verschicken. Administratoren ermitteln mit diesem hervorragenden und für professionelle Zwecke absolut geeigneten Freeware-Tool zudem Flaschenhälse und Fehler im Netzwerk.

Wireshark hat sich im Laufe der Jahre fast schon zum Defacto-Standard für Netzwerksniffer (der Begriff sniffer heißt auf Englisch Schnüffler) entwickelt. Mit dem englischsprachigen Tool können Sie den gesamten Verkehr, der über Ihre Netzwerkschnittstellen läuft, live überwachen, dekodieren, einsehen und mitschneiden. Neben Etherealschnittstellen werden beispielsweise auch Wlan-Schnittstellen, Bluetooth- und USB-Verbindungen überwacht. Damit Sie Wireshark effektiv nutzen können, sollten Sie zwar idealerweise über gewisse Netzwerk- und Protokollkenntnisse verfügen. Aber selbst mit geringem Einarbeitungsaufwand und vergleichsweise wenig Netzwerkkenntnissen können Sie mit Hilfe des Kabel-Hais sofort erkennen, ob ihr Rechner Datenpakete ins Internet sendet beziehungsweise empfängt und auf welchen Ports das passiert.

Wireshark bietet eine Fülle von Einstellmöglichkeiten, Sie können beispielsweise festlegen, ob Wireshark Traffic nur mit bestimmten Protokollen, nur an bestimmten Schnittstellen oder nur mit bestimmten Inhalten, mitschneidet - eine solche Filterung ist unverzichtbar, wenn Sie angesichts der Datenflut, die Ihnen Wireshark auf den Bildschirm zaubert, nicht den Überblick verlieren wollen. Der mitgeschnittene Internettraffic kann bequem in einer Datei gespeichert werden und später analysiert.

Damit Wireshark überhaupt weiß, was es tun soll, müssen Sie den Sniffer vor dem Einsatz konfigurieren. Das geht für einen ersten sichtbaren Erfolg durchaus flott und erfordert kein besonders Fachwissen: Im Menü „Capture, Options“ wählen Sie bei "Interface" die Netz-Schnittstelle, an der Wireshark den Traffic mitschneiden soll (das Menü "Capture/Interfaces" zeigt alle erkannten Netzwerkschnittstellen an. Unter "Edit, Preferences, Capture" können Sie das Default-Interface festlegen). Wichtig: Sie müssen Wireshark unter Linux mit Rootrechten starten (also beispielsweise mit "gksu wireshark" von Gnome aus). Andernfalls bekommen Sie keine Netz-Interfaces zur Auswahl.

Wireshark zeigt Ihnen alle verfügbaren Schnittstellen an, Sie können die auf Ihrem PC vorhandenen Netzwerkschnittstellen zudem mit der Systemverwaltung Ihres Betriebssystems oder alternativ mit geeigneten Kommandozeilenbefehlen wie ifconfig unter Linux beziehungsweise ipconfig unter Windows (Start, ausführen, cmd) ermitteln. Unter Linux könnten Sie also beispielsweise eth0 für die erste Ethernetkarte auswählen. Wenn das Häkchen bei "Capture packets in promiscous mode" gesetzt ist, schneidet Wireshark alles mit, was an Ihrer Netzwerkkarte eintrifft, also auch die Pakete, die nicht an Ihren PC gerichtet sind. Wenn Sie den Traffic-Mitschnitt zudem aufzeichnen wollen, müssen Sie eine Datei dafür angeben. Optional können Sie die Größe oder die Dauer des Mitschnitts begrenzen, was angesichts der schnell wachsenden Datenmenge Sinn macht. Interessant ist noch die Checkbox bei "Hide capture Info Dialog". Wenn Sie das Häkchen wegnehmen, öffnet Wireshark zusätzlich ein weiteres Fenster, in dem die Zahl der mitgeschnittenen Pakete pro Protokoll und deren Anteil am Gesamttraffic angezeigt wird. Ist die Konfiguration abgeschlossen und abgespeichert, starten Sie das Mitschneiden mit „Start“.

Wie Sie richtig mitschneiden und geeignete Filter definieren, lesen Sie auf der nächsten Seite.