Wireshark - Netzwerk beobachten

Wireshark

Mit Wireshark beobachten Sie das lokale Netzwerk, welcher Rechner mit welchem in diesem kommuniziert oder mit welchem im Internet und welche Daten gesendet werden.

Informationen

Wir wissen zwar das sich unsere Rechner – besser gesagt die Betriebssysteme dieser Rechner immer wieder mit dem Internet verbinden auch wenn wir gerade nicht surfen, mailen oder sonst selbstständig eine Verbindung aufbauen, mit welchen Rechnern sie dies tun – davon haben wir meist wenig Ahnung.

Natürlich gibt es reguläre Dienste, meist sind es auch solche die solche Verbindungen aufbauen, etwa solche die die Zeit mit einem Zeitserver abgleichen, E-Mails abrufen, nach Updates suchen und so weiter und so fort.

Besonders Microsoft Windows verbindet sich äußerst gerne mit dem großen Netz, meist um sich mit irgendwelchen Microsoft-Servern zu verbinden, wie könnte man so etwas überwachen, wie erfährt man mit welchen Rechnern sich unsere verbinden, welche Daten diese senden? Mit der richtigen Software.

Wireshark ist eine solche Software, diese überwacht nicht nur das System auf dem es installiert ist sondern unser komplettes lokales Netzwerk und diese Software werden wir nun etwas näher kennen lernen.

Wireshark installieren

Unter auf Debian basierenden Systemen wie Ubuntu, Kubuntu, Linux Mint und so weiter installieren Sie diese Software ganz einfach über die Paket-Verwaltung durch das Paket “wireshark“.

Wireshark nutzen

Wireshark ist eine Software die wie schon beschrieben nicht nur den eigenen Netzwerk-Verkehr überwacht sondern den des kompletten Netzwerkes und wenn möglich auch den Inhalt dieser Kommunikation anzeigt, so liegt es sehr nahe das nur der Administrator des Systems diese Software nutzen kann. Ein Start auf dem Terminal mit Administrator-Rechten ist also nötig:

wireshark
Wireshark – Netzwerk-Kommunikation unter Linux beobachten

Wireshark – Netzwerk-Kommunikation unter Linux beobachten

Die Software zeigt uns nun die vorhandenen Schnittstellen über die es möglich ist die Kommunikation aufzuzeichnen. Welche wirklich relevant sind zeigt uns der Befehl:

ip a

auf dem Terminal, und hier können wir “lo” schon einmal ausschließen, auf dieser kommuniziert unser Betriebssystem innerhalb des Systems – also Anwendungen untereinander. Um die Netzwerk-Kommunikation aufzuzeichnen nutzen wir nun das Menü “Capture / Start“:

Wireshark – Netzwerk-Kommunikation unter Linux beobachten

Wireshark – Netzwerk-Kommunikation unter Linux beobachten

Die Kommunikation des ganzen Netzwerkes wird nun so lange aufgezeichnet bis Sie in der Werkzeugleiste den Stop-Schalter nutzen. Die Software zeigt uns nun in einem drei geteilten Fenster die aufgezeichneten Daten an. Ganz oben werden die einzelnen Verbindungen aufgelistet:

Wireshark – Netzwerk-Kommunikation unter Linux beobachten

Wireshark – Netzwerk-Kommunikation unter Linux beobachten

Von links nach rechts erst einmal die fort laufende Bezeichnung (No), die Dauer der Verbindung (Time), die Quelle – also der Rechner der die Verbindung gestartet hat, dessen IP-Adresse (Source) sowie die IP-Adresse des Rechners der die Verbindung angenommen hat (Destination). Nun folgt das Protokoll der Verbindung (Protocol) und die Länge in Bit (Lengh), zuletzt folgt die Information im Header des jeweiligen Paketes (Info).

Markiert man ein solches Paket in diesem obersten Bereich werden die entsprechenden Daten im darunter liegenden Feld dazu angezeigt:

Wireshark – Netzwerk-Kommunikation unter Linux beobachten

Wireshark – Netzwerk-Kommunikation unter Linux beobachten

Diese einzelnen Daten rund um dieses Paket sind hier genauer aufgelistet, lassen sich aufklappen, hier findet man die genutzte Schnittstelle, genaue Informationen wie die Uhrzeit und vieles mehr. Ganz unten wiederum wird der genaue Inhalt des oben markierten Paketes angezeigt:

Wireshark – Netzwerk-Kommunikation unter Linux beobachten

Wireshark – Netzwerk-Kommunikation unter Linux beobachten

Fährt man mit dem Mauszeiger über die entsprechenden Daten-Bereiche wird der genaue Inhalt des Paketes angezeigt – in diesem Fall handelt es sich um eine verschlüsselte Verbindung und der Inhalt kann nicht entschlüsselt werden, bei nicht verschlüsselten Verbindungen wird jedoch der Inhalt auch im Klartext angezeigt.

Die komplette Kommunikation lässt sich nun mit dem Menü “File / Save” in eine Datei speichern, etwa für eine spätere Auswertung. Die aufgezeichneten Daten sind selbst bei einer sehr kurzen Aufzeichnung schon sehr viele, um dann nur relevante – etwa zu einer bestimmten IP-Adresse oder andere Daten anzuzeigen nutzt man Filter die man in das Feld oben eingibt. Mehr zu diesen Filtern lesen Sie im Wireshark-Wiki unter Wireshark.