Netzwerkanalyse mit Wireshark unter Ubuntu 9.10
Version 1.0
Autor: Falko Timme
Folgen Sie mir auf Twitter
Wireshark ist ein Netzwerkprotokollanalysator (oder „Packet Sniffer“), der für die Netzwerkanalyse, Fehlersuche, Softwareentwicklung, Ausbildung usw. verwendet werden kann. Diese Anleitung zeigt, wie man es auf einem Ubuntu 9.10-Desktop installiert und verwendet, um den Datenverkehr auf der lokalen Netzwerkkarte zu analysieren.
Dieses Dokument kommt ohne jegliche Garantie! Ich gebe keine Garantie, dass es bei Ihnen funktioniert!
1 Installieren von Wireshark
Gehen Sie zu Anwendungen > Ubuntu Software Center…
… und suche nach wireshark:
Markieren Sie das Wireshark-Paket und klicken Sie auf den Pfeil auf der rechten Seite:
Auf dem nächsten Bildschirm klicken Sie auf die Schaltfläche Installieren:
Geben Sie Ihr Passwort ein:
Wireshark wird jetzt heruntergeladen und installiert:
Sie können das Fenster des Ubuntu Software Centers anschließend schließen:
2 Wireshark verwenden
Wir müssen Wireshark mit Root-Rechten ausführen, damit es genügend Rechte hat, um die Netzwerkschnittstellen zu überwachen. Da der standardmäßige Wireshark-Launcher Wireshark mit normalen Benutzerrechten startet, müssen wir den Launcher jetzt ändern. Klicken Sie mit der rechten Maustaste auf Anwendungen und wählen Sie Menüs bearbeiten:
Gehen Sie im Menü-Editor zu Internet > Wireshark und klicken Sie auf die Schaltfläche Eigenschaften:
In dem Fenster Eigenschaften des Launchers fügen Sie gksu in das Feld Befehl ein, so dass der Befehl gksu wireshark lautet. Klicken Sie anschließend auf Schließen und verlassen Sie den Menü-Editor:
Öffnen Sie die Anwendung Wireshark (Anwendungen > Internet > Wireshark):
Da wir Wireshark mit Root-Rechten ausführen, wird die folgende Warnung angezeigt (Running as user „root“ and group „root“. This could be dangerous.). Klicken Sie auf OK:
So sieht Wireshark aus, wenn Sie es zum ersten Mal starten:
Klicken Sie auf die Schaltfläche List the available capture interfaces..:
Es öffnet sich ein neues Fenster mit einer Liste der verfügbaren Netzwerkschnittstellen auf Ihrem System. Normalerweise möchten Sie den Datenverkehr auf Ihrem primären Netzwerkgerät (in diesem Beispiel eth0) erfassen, also klicken Sie auf die Schaltfläche Start in der Zeile eth0, um eine Analyse des Datenverkehrs auf dieser Schnittstelle zu starten:
Sie können nun die erfassten Pakete für verschiedene Protokolle im Hauptfenster sehen.
Die Erfassung läuft weiter, bis Sie auf die Schaltfläche Stop klicken:
Sie können nun die Ergebnisse durchsuchen, Filter anwenden, Probleme finden usw.
Um künftige Erfassungen feinabzustimmen, können Sie auf die Schaltfläche Erfassungsoptionen anzeigen klicken:
Es öffnet sich ein neues Fenster, in dem Sie die Parameter für die nächste Erfassung festlegen können. Klicken Sie anschließend auf Start, um die Erfassung zu starten:
Das Ergebnis einer Erfassung listet standardmäßig alle gefundenen Protokolle auf. Wenn Sie sich z.B. auf ein bestimmtes Protokoll konzentrieren möchten, können Sie einen Filter auf das Ergebnis anwenden. Gehen Sie zu Analysieren > Filter anzeigen…:
Ein neues Fenster öffnet sich, in dem Sie das gewünschte Protokoll (z. B. TCP) auswählen können. Klicken Sie anschließend auf OK:
Im Ergebnisfenster sollten Sie nun nur noch TCP-Verkehr finden – alle anderen Protokolle wurden herausgefiltert:
Wenn Sie mehr über die Verwendung von Wireshark erfahren möchten, wie Sie die Ergebnisse lesen können usw., werfen Sie einen Blick in die Wireshark-Dokumentation.