1328232

WireShark 2.0.1: Das ist neu

03.02.2016 | 16:37 Uhr | Hans-Christian Dirscherl

Viele Netzwerk-Profis kennen WireShark als professionelles Sniffer-Programm für Netzwerke. Das Programm steht kostenlos zur Verfügung, und wird ständig weiterentwickelt.
Vergrößern Viele Netzwerk-Profis kennen WireShark als professionelles Sniffer-Programm für Netzwerke. Das Programm steht kostenlos zur Verfügung, und wird ständig weiterentwickelt.

Die aktuelle Version 2 bietet im Vergleich zu den Vorgängerversionen wichtige Verbesserungen. Die Macher entwickelten zum Beispiel die Lokalisierung weiter, denn WireShark verfügt jetzt über bessere Sprachunterstützung. In der neuen Version haben die Entwickler vor allem einen Schwerpunkt darauf gelegt, den Sniffer-Vorgang zu verbessern. Die Entwickler bieten ein einstündiges Webinar welches Ihnen die Neuerungen in der Praxis zeigt:

Vor allem die Benutzeroberfläche wurde in der neuen Version überarbeitet. Sie haben aber die Möglichkeit auszuwählen, ob Sie die neue oder die ältere Oberfläche verwenden wollen. Die Oberfläche wurde dazu über eine neue Bibliothek (Qt) neu geschrieben. Diese Bibliothek wurde bereits in der Vorgängerversion genutzt, allerdings fand hier vor allem Gtk+ Einsatz. Der Grund für diese Änderung liegt vor allem in der breiteren Unterstützung von Plattformen, die Qt bietet. Hier spielt für die Entwickler vor allem der mobile Betrieb auf Android und iOS eine wichtige Rolle.

Natürlich funktioniert die Bedienung im Grunde genommen noch genauso wie bei vorhergehenden Versionen. Aktualisieren Sie also von Vorgängerversionen zur neuesten Version, müssen Sie sich nicht großartig gewöhnen.

WireShark kann auch in der neuen Version als 32-Bit- oder als 64-Bit-Programm auf Windows-Rechnern installiert werden. Zusätzlich stellen die Entwickler auch eine portable Version zur Verfügung. Neben Windows wird auch MacOS X ab Version 10.6 unterstützt. Selbstverständlich steht die neue Version auch für verschiedene Linux-Distributionen zur Verfügung. Vor allem Debian, Ubuntu, Arch Linux, Gentoo, openSUSE, Red Hat, Fedora und Slackware gehören zu den unterstützten Systemen.

Ab Version 2.0 wird WireShark mit einer neuen grafischen Oberfläche ausgeliefert. Die Bedienung entspricht im Grunde genommen noch der alten Version. Diese lässt sich bei der Installation auswählen.
Vergrößern Ab Version 2.0 wird WireShark mit einer neuen grafischen Oberfläche ausgeliefert. Die Bedienung entspricht im Grunde genommen noch der alten Version. Diese lässt sich bei der Installation auswählen.

Neuerungen in WireShark 2.0.1

Viele Verbesserungen in WireShark wurden vor allem in der grafischen Oberfläche und den verschiedenen Menüs vorgenommen. Die Entwickler haben die zahlreichen Aufzeichnungs-Optionen (Capture Options) konsolidiert. Diese sind es vor allem über den Menüpunkt Aufzeichnen/Optionen zu erreichen. Weitere Optionen sind an der gleichen Stelle über die Schaltfläche „Interfaces verwalten“

Die verschiedenen Optionen für die Konfiguration der Capture-Vorgänge wurden in der neuen Version konsolidiert.
Vergrößern Die verschiedenen Optionen für die Konfiguration der Capture-Vorgänge wurden in der neuen Version konsolidiert.

Dadurch lassen sich Einstellungen wesentlich besser vornehmen und Netzwerke auch effizienter überwachen, da die Konfiguration nicht an verschiedenen Stellen versteckt ist. Neben der bereits erwähnten, erweiterten Sprachenunterstützung, bietet die Version 2 auch einen verbesserten VoIP-Player, zusätzliche Werkzeuge für die Überwachung von WLANs und bessere Visualisierung.
WireShark 2.0.1 steht in den Sprachen Englisch, Deutsch, Französisch und Chinesisch zur Verfügung, bietet jetzt aber auch Unterstützung für Italienisch, Japanisch und Polnisch.

Für eine verbesserte Analyse sorgen auch die neuen Statistikbäume für DNS, HPFEEDS und HTTP2. Die meisten Widgets lassen sich jetzt direkt aktivieren oder eben deaktivieren.

Zusätzlich zur Überwachung von Netzwerken lassen sich mit der neuen Version auch Probleme mit USB-Geräten beheben. Dazu wird auf dem Rechner zusätzlich noch USBPcap installiert.

Die Konfigurationsdateien werden in Linux jetzt nicht mehr im Verzeichnis $HOME/.wireshark, sondern in $HOME/.config/wireshark gespeichert.

Netzwerk-Pakete mit Linux und Windows sniffern

Geht es um die schnelle Netzwerküberwachung helfen kleine Tools wie tcpdump http://www.pcwelt.de/ratgeber/5-Tcpdump-und-Wireshark-1464862.html . Der Vorteil des Tools ist es, dass es in so gut wie allen Linux- und Unix-Distributionen integriert ist, auch in Kali-Linux. Außerdem lassen sich mit diesem Tool Dateien erstellen, die mit WireShark analysiert werden können. Sie können in Windows-Netzwerken können auch auf den tcpdump-Klon Windump (https://www.winpcap.org/windump) setzen. Windump benötigt die kostenlose Erweiterung WinPcap (https://www.winpcap.org/install/default.htm) für die Sniffervorgänge. Diese Erweiterung wird aber auch von WireShark benötigt, und zusammen mit WireShark installiert.

Die 10 wichtigsten Linux-Befehle für Netzwerk und Internet

Um Daten von tcpdump mit Wireshark zu analysieren, müssen Sie mit der Option -s 0 die ganzen Pakete mitschneiden und mit -w die Rohdaten speichern. Die Rohdaten werden anschließend in Wireshark eingelesen: tcpdump -s 0 -w outputwire.dmp. 
Sinnvoll ist das zum Beispiel, wenn Sie mit WireShark 2 den SSL-Datenverkehr auf Rechnern nach verfolgen wollen. Auf diesem Weg können Sie auf Windows, aber auch auf Linux und Mac OS Browser wie Chrome und Firefox überwachen. Wollen Sie zum Beispiel in Linux, oder auf einem Mac-Rechner den SSL-Datenverkehr mit WireShark 2 überwachen, starten Sie zunächst die Überwachung mit dem Tool tcpdump:

sudo tcpdump -i en0 -s 0 tcp port https -w ~/Desktop/capture.pcap

Achten Sie aber darauf, die korrekte Netzwerkschnittstelle zu verwenden. Danach können Sie den gespeicherten Datenverkehr in WireShark analysieren. Rufen Sie dazu über „Bearbeiten/Einstellungen/Protocols“ die Einstellungen für SSL auf. Hier können Sie verschiedene Einstellungen vornehmen. Sie haben mit der neuen Version auch die Möglichkeit verschlüsselten Inhalt anzuzeigen. Dazu müssen sie im Terminal von Mac OS folgenden Befehl eingeben:

touch ~/Desktop/session-key.log
export SSLKEYLOGFILE="~/Desktop/session-key.log"

Starten Sie danach in der Konsole zum Beispiel Chrome und öffnen eine URL, wird das session-key.log erstellen. Chrome starten Sie zum Beispiel über das Terminal mit dem Befehl:

open /Applications/Google\ Chrome.app

Nachdem die Daten eingelesen wurden, öffnen Sie Wireshark und lesen die erstellte Dumpdatei ein. Dabei spielt es keine Rolle ob Wireshark auf dem gleichen Rechner oder einem anderen Rechner geöffnet wird. Die Datei lässt sich auf diesem Weg zum Beispiel per Mail versenden und auf anderen Rechnern analysieren. Solche Dateien werden in Wireshark über File\Open geöffnet. Nachdem die Dumpdatei geöffnet wurde, lässt sie sich in Wireshark genauso analysieren wie Livemitschnitte des Netzwerkes.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
1328232