Wireshark ist eines der bekanntesten Netzwerkanalysetools der Welt, sowohl weil es kostenlos ist als auch weil es gut funktioniert und nicht zu schwierig zu bedienen ist. Sein Ruhm beruht jedoch auf der Tatsache, dass es mit diesem Programm möglich ist, Pakete und Informationen, die innerhalb eines Computernetzwerks übertragen werden, zu filtern, zu erfassen und auszuspionieren .
Durch das Ausspionieren von Paketen, wie in einem allgemeinen Handbuch beschrieben (Betreten eines geschützten WLAN-Netzwerks zum Erfassen von Paketen und Ausspionieren Ihrer Aktivitäten im Internet), können Sie alle Arten von Informationen lesen, die bei der Kommunikation zwischen dem PC und dem Internet unverschlüsselt weitergegeben werden.
Dies bedeutet, dass, wenn sich zwei Personen im selben Büro oder zu Hause befinden und eine Verbindung zu demselben Netzwerk (oder demselben Router) herstellen, um ins Internet zu gehen, die beiden PCs angezeigt werden können und von einem mit Wireshark aus die Informationen des PCs erfasst werden können andere, einschließlich der von Ihnen besuchten Websites, Klartextkennwörter (auf Nicht-https-Websites), E-Mails, Chats usw.
Wireshark ist jedoch vor allem ein sehr leistungsfähiges Netzwerkanalyseprogramm, das auch von professionellen Technikern verwendet wird. Lassen Sie uns dann sehen, wie man es ernsthaft einsetzt.
Sie können Wireshark für Windows oder Mac OS X von der offiziellen Website herunterladen.
Wenn Sie Linux oder ein anderes UNIX-ähnliches System verwenden, sollte sich Wireshark im Repository der Distributionssoftware befinden.
Nach dem Herunterladen und Installieren von Wireshark können Sie es starten und müssen sofort die richtige Netzwerkschnittstelle für die Analyse auswählen .
Wenn Sie beispielsweise Datenverkehr im drahtlosen Netzwerk erfassen möchten, klicken Sie auf die WLAN-Netzwerkkarte. Wenn das verwendete Netzwerk verkabelt ist, müssen Sie die LAN-Verbindung auswählen und so weiter.
Sobald Sie eine Schnittstelle auswählen, sehen Sie sofort, dass alle Informationen, die über das Netzwerk übertragen werden, in einer fortlaufenden Bildlaufliste angezeigt werden.
Wenn Sie die Steuerung in einem Netzwerk aktivieren, das von mehreren Computern gemeinsam genutzt wird (z. B. WLAN) und die Datenerfassung im Promiscuous-Modus aktiviert haben, werden auch die Pakete anderer Computer angezeigt, die mit demselben Netzwerk verbunden sind .
Die Erfassung im Promiscuous-Modus ist von einem Windows-PC aus nur durch Installation der WinPCap-Treiber möglich, die im Wireshark-Installationspaket enthalten sind.
In der oberen linken Ecke können Sie den Erfassungsprozess in Echtzeit stoppen und die Verkehrserfassung stoppen.
Wireshark zeigt unterschiedlich gefärbte abgefangene Daten an, um Verkehrstypen leichter identifizieren zu können.
Standardmäßig ist der TCP-Verkehr grün, der DNS-Verkehr dunkelblau und der UDP-Verkehr hellblau. Die schwarzen sind TCP-Pakete mit Problemen.
Um zu beginnen und zu sehen, ob es funktioniert, müssen Sie sicherstellen, dass beim Surfen im Internet durch Öffnen einiger Websites Daten und Informationen von Wireshark erfasst werden.
HTTP-Anrufe beziehen sich auf den Internetverkehr. Dies kann am interessantesten sein, wenn Sie Browserinformationen wie die besuchten Websites suchen möchten.
Sie können auch eine Beispieldatei zur Analyse in Wireshark für herunterladen
Um sich nicht im Meer der generierten Daten zu verirren, müssen Sie die Regeln für die Paketfilterung verwenden.
Der einfachste Weg, einen Filter anzuwenden, besteht darin, einen Suchschlüssel in das Filterfeld oben im Fenster einzugeben und auf Übernehmen zu klicken.
Wenn Sie beispielsweise " http " eingeben, werden nur die Verbindungen angezeigt, die über den Browser im Internet hergestellt wurden.
Jedes Paket kann überprüft werden. Klicken Sie einfach mit der rechten Maustaste darauf, um weitere Details und den TCP-Stream oder den Verlauf der durchgeführten Schritte anzuzeigen. Wenn Sie beispielsweise bei Google nach weiteren Informationen suchen, können Sie den gesamten Ablauf überprüfen.
Spezifischere Filter können über das Menü Analysieren angewendet werden.
Beim Erfassen von Paketen kann es unpraktisch und schwierig sein, den Fluss schnupfender Daten und Informationen im Netzwerk zu verstehen, da nur IP-Adressen angezeigt werden.
Es ist jedoch möglich , IP-Adressen in Domain-Namen zu konvertieren (für http-Verkehr bedeutet dies, dass die Namen der Websites angezeigt werden), indem Sie die Funktionalität über das Menü Bearbeiten -> Einstellungen -> Namensauflösung und " Netzwerknamenauflösung aktivieren" aktivieren.
Wenn Sie diese Option aktivieren, werden anstelle von IP-Adressen Domänennamen angezeigt. Da Wireshark jedoch nach jedem Domänennamen suchen muss, erhöhen sich die DNS-Anforderungen, indem der Datenfluss erhöht wird.
Wenn Sie eine automatische Paketerfassung auf Ihrem Computer einrichten möchten, können Sie eine Desktopverknüpfung erstellen, um Wireshark schnell zu starten.
Klicken Sie nach dem Erstellen des Links mit der rechten Maustaste, geben Sie die Eigenschaften ein und fügen Sie, wo " Ziel " geschrieben ist, ein Leerzeichen in die Zeile nach den letzten Anführungszeichen und dann -i # -k ein .
Anstelle von # müssen Sie die Nummer der zu überprüfenden Netzwerkkarte entsprechend der Reihenfolge eingeben, die Wireshark während der Auswahlphase angibt.
Das Erfassen von Datenverkehr von anderen Computern, die mit demselben Netzwerk verbunden sind, ist vielleicht der lustigste Zweck, der uns auf unsere eigene kleine Art zu einem Hacker macht (es ist jedoch nicht so einfach).
Wenn Sie den Netzwerkverkehr aufzeichnen und Informationen ausspionieren möchten, die über einen Router, Server oder einen anderen Computer übertragen werden, müssen Sie die Remote-Erfassung von Wireshark verwenden, die unter Windows den WinPcap-Treiber verwendet.
Nach der Installation müssen Sie das Windows-Dienstfenster öffnen (klicken Sie auf Start und schreiben Sie den Befehl Services.msc in das Feld Suchen oder Ausführen).
Suchen und aktivieren Sie in der Liste der Dienste das sogenannte Remote Packet Capture Protocol .
Dieser Dienst ist standardmäßig deaktiviert.
Klicken Sie im ersten Wireshark-Fenster auf Options Capture und wählen Sie im Feld Schnittstelle die Option Remote aus.
Geben Sie dann die Adresse des Remote-Systems (z. B. 192.168.2.3 ) und den 2002- Port ein.
Um zu arbeiten, müssen Sie Zugriff auf Port 2002 auf dem Remote-System haben, sodass Sie diesen Port auf der Firewall oder dem Router Ihres Computers öffnen müssen.
Nach der Verbindung können Sie eine Schnittstelle auf dem Remote-System aus dem Feld auswählen, in dem die Netzwerkkarten aufgelistet sind, und auf Start klicken, um die von diesem Computer hergestellten Verbindungen aufzuzeichnen.
In diesem Video sehen Sie ein sehr gut eingeführtes Einführungs-Tutorial, um zu lernen, wie man Wireshark benutzt.
Wireshark ist ein äußerst leistungsfähiges Tool, auch wenn nur die erfahrensten es gründlich verstehen und für jede Art von Operation in einem Netzwerk verwenden können.
Dieses Tutorial ist nur eine Einführung in alles, was Sie tun können (hier ist das vollständige Handbuch in englischer Sprache). Sie müssen nur wissen, dass Profis damit Netzwerkprotokollinstallationen debuggen, Sicherheitsprobleme analysieren und den Datenverkehr in Unternehmen steuern können.
Zum Schluss noch eine letzte Empfehlung: Viele Organisationen erlauben Wireshark oder ähnlichen Tools nicht, in ihren Netzwerken zu agieren (Datenschutzproblem). Sie sollten daher nicht riskieren, sie im Büro zu verwenden, es sei denn, Sie haben die Erlaubnis dazu.
Wenn Sie es mit einfacheren Programmen versuchen möchten, empfehle ich, die Nirsoft-Tools herunterzuladen , um das PC-Netzwerk zu durchsuchen und besuchte Websites, Internetsuchen und Kennwörter anzuzeigen .
