Netwerkanalyse met Wireshark op Ubuntu 9.10
Versie 1.0
Auteur: Falko Timme
Volg mij op Twitter
Wireshark is een netwerkprotocolanalyzer (of “pakketsniffer”) die kan worden gebruikt voor netwerkanalyse, probleemoplossing, softwareontwikkeling, onderwijs, enzovoort. Deze gids laat zien hoe het te installeren en te gebruiken op een Ubuntu 9.10 desktop om het verkeer op de lokale netwerkkaart te analyseren.
Dit document wordt geleverd zonder enige vorm van garantie! Ik geef geen enkele garantie dat dit voor u zal werken!
1 Wireshark installeren
Ga naar Toepassingen > Ubuntu Software Center…
… en zoek naar wireshark:
Markeer het Wireshark pakket en klik op de pijl aan de rechterkant:
In het volgende scherm, klikt u op de knop Installeren:
Typ uw wachtwoord in:
Wireshark wordt nu gedownload en geïnstalleerd:
U kunt het Ubuntu Software Center venster daarna sluiten:
2 Wireshark gebruiken
We moeten Wireshark met root rechten draaien zodat het voldoende rechten heeft om de netwerk interfaces te monitoren. Omdat de standaard Wireshark launcher Wireshark start met normale gebruikersprivileges, moeten we de launcher nu aanpassen. Klik met de rechtermuisknop op Toepassingen en selecteer Menu’s bewerken:
In de menu-editor, ga naar Internet > Wireshark en klik op de knop Eigenschappen:
In het venster Launcher-eigenschappen voegt u gksu toe in het veld Opdracht, zodat het commando luidt gksu wireshark. Klik daarna op Sluiten en verlaat de menu-editor:
Open de toepassing Wireshark (Toepassingen > Internet > Wireshark):
Omdat we Wireshark met root-rechten draaien, ziet u de volgende waarschuwing (Draaien als gebruiker “root” en groep “root”. Dit kan gevaarlijk zijn.). Klik op OK:
Zo ziet Wireshark er uit als u het voor het eerst start:
Klik op de Lijst van de beschikbare capture interfaces… knop:
Er wordt een nieuw venster geopend met een lijst van beschikbare netwerk interfaces op uw systeem. Normaal gesproken wilt u het verkeer op uw primaire netwerkapparaat (eth0 in dit voorbeeld) vastleggen, dus u klikt op de Start-knop in de eth0-rij om een analyse van het verkeer op die interface te starten:
U kunt nu de vastgelegde pakketten voor verschillende protocollen in het hoofdvenster zien.
De vastlegging gaat door totdat u op de Stop knop klikt:
U kunt nu door de resultaten bladeren, filters toepassen, problemen vinden, etc.
Om toekomstige vastleggingen te verfijnen, kunt u klikken op de Toon de vastleg opties… knop:
Er wordt een nieuw venster geopend waarin u parameters voor de volgende vastlegging kunt instellen. Klik daarna op Start om de vastlegging te starten:
Het resultaat van een vastlegging toont standaard alle gevonden protocollen. Als u zich (bijvoorbeeld) op een bepaald protocol wilt concentreren, kunt u een filter toepassen op het resultaat. Ga naar Analyseren > Filters weergeven…:
Er opent zich een nieuw venster waarin u het gewenste protocol kunt selecteren (TCP bijvoorbeeld). Klik daarna op OK:
In het resultatenvenster zou u nu alleen TCP-verkeer moeten aantreffen – alle andere protocollen zijn uitgefilterd:
Om meer te weten te komen over het gebruik van Wireshark, hoe u de resultaten kunt lezen, enz., raadpleegt u de Wireshark-documentatie.