1724309

Mitschnitt auf ein Gerät beschränken

16.07.2016 | 08:34 Uhr | Arne Arnold

Der Lohn der Mühe: In dem Fenster „IPv4 Endpoints“ zeigt Wireshark die Server an, auf die wir die Analyse aktuell beschränken und die von dem internen Netzwerkteilnehmer kontaktiert wurden.
Vergrößern Der Lohn der Mühe: In dem Fenster „IPv4 Endpoints“ zeigt Wireshark die Server an, auf die wir die Analyse aktuell beschränken und die von dem internen Netzwerkteilnehmer kontaktiert wurden.

Möchten Sie die Paketanalyse auf ein Netzwerkgerät einschränken, müssen Sie zunächst alle anderen Pakete herausfiltern. Geben Sie dazu in Wireshark in das Eingabefeld „Filter“ Folgendes ein: „!ip.addr==“, gefolgt von der IP-Adresse, auf die Sie die Analyse eingrenzen wollen. Beispiel: !ip.addr==192.168.178.20
Bestätigen Sie mit der Eingabetaste. Nun werden alle Pakete angezeigt, in denen diese IP nicht auftaucht. Über „Edit ➞ Ignore All Displayed Pakets (toogle)“ blenden Sie diese nun aus. Ein Klick auf „Clear“ in der Zeile „Filter“ macht den Blick frei auf alle Pakete der gewählten IP – in unserem Beispiel 192.168.178.20. Diese könnten Sie jetzt einzeln anklicken und den Inhalt analysieren. Eine leichter verdauliche Darstellung, die alle kontaktierte Server zusammenfasst, erhalten Sie über „Statistics ➞ Endpoint List ➞ IPv4“ in einem separaten Fenster.

So sichern Sie Ihren Router ab

Detektiv spielen:
Möchten Sie die Kommunikation mit einem speziellen Server genauer unter die Lupe nehmen, klicken Sie den entsprechenden Eintrag mit der rechten Maustaste an und wählen „Apply as Filter ➞ Selected“. Nun zeigt das Hauptfenster von Wireshark nur noch die betreffenden Pakete an. Klicken Sie das erste davon mit der rechten Maustaste an und wählen Sie „Follow TCP Stream“, um den Inhalt des Pakets in einer besser lesbaren Form und zusammen mit dem Inhalt der dazugehörigen anderen Pakete zu sehen. In der Regel handelt es sich um ein Anfrage-Antwort-Pärchen: Am Anfang steht die Anfrage, die Ihr Rechner an einen Server gesendet hat, darauf folgt dessen Antwort. Die gesendeten Daten sind dabei in rot eingefärbt, die empfangenen in blau. Beachten Sie, dass Sie viele Paketinhalte nicht entziffern können werden. Nämlich einerseits, wenn es sich um Binärinhalte wie Bilder handelt – und zum anderen, wenn die Daten verschlüsselt übertragen wurden, zum Beispiel per Https oder VPN.

Übersichtlich: In diesem Beispiel betrachten wir nur die Kommunikation des ausgewählten internen Netzwerkteilnehmers mit dem uns suspekt erscheinenden Server flurry.com.
Vergrößern Übersichtlich: In diesem Beispiel betrachten wir nur die Kommunikation des ausgewählten internen Netzwerkteilnehmers mit dem uns suspekt erscheinenden Server flurry.com.

Auch im Hauptfenster zeigt Wireshark jetzt nur noch die Pakete an, die zu dem im Extra-Fenster dargestellten Datenaustausch gehören. Zum nächsten Anfrage-Antwort-Pärchen der zuvor ausgewählten Server-Verbindung zu gelangen, ist etwas umständlich: Klicken Sie das letzte Datenpaket in der Liste an und wechseln Sie dann ins noch geöffnete Fenster „IPv4 Endpoints“. Klicken Sie mit der rechten Maustaste auf den gleichen Server-Namen wie vorhin und wählen Sie erneut „Apply as Filter ➞ Selected“. Wenn es weitere Verbindungen zu dem Server gab, werden diese im Hauptfenster unter dem zuvor von Ihnen markierten Datenpaket angezeigt. Klicken Sie den darauf folgenden Eintrag mit der rechten Maustaste an und wählen Sie wiederum „Follow TCP Stream“. Wiederholen Sie dieses Vorgehen so lange, bis für den ausgewählten Server-Namen im Hauptfenster von Wireshark keine weiteren Pakete angezeigt werden. Im Anschluss können Sie sich im Fenster „IPv4 Endpoints“ dem nächsten Server-Namen zuwenden, der Ihr detektivisches Gespür weckt.

PC-WELT Marktplatz

1724309