×
Outbyte PC Repair
Outbyte Driver Updater

Wie erfasst man Pakete in WireShark?

2022/07/15
Wie erfasst man Pakete in WireShark?

Wireshark ist ein unschätzbares Netzwerkanalysetool, das die Daten, die durch Ihre Netzwerke laufen, in ein für Menschen lesbares Format übersetzt. Sie können Netzwerk- oder Sicherheitsprobleme beheben, eine Protokollimplementierung debuggen oder einfach den Datenverkehr überwachen, indem Sie Pakete mit Wireshark erfassen.

Sehen Sie sich genau an, was in Ihrem Netzwerk passiert, und sammeln Sie genau die Informationen, die Sie benötigen. So erfassen Sie verschiedene Arten von Paketen in Wireshark.

So erfassen Sie Pakete

Das Starten des Erfassungsprozesses in Wireshark dauert nur wenige Klicks. Alles, was Sie tun müssen, ist, den Erfassungsmodus zu starten, und die Daten werden ohne Filterung eingehen. Während dieser ungefilterte Modus großartig ist, wenn Sie einen vollständigen Überblick über das Geschehen benötigen, kann die auf diese Weise gesammelte Datenmenge überwältigend sein. Um es übersichtlicher zu gestalten, können Sie Filter verwenden und nur eine bestimmte Art von Daten erfassen. Nachfolgend finden Sie dazu eine Anleitung.

Lassen Sie uns zunächst sehen, wie Sie mit der Erfassung aller Pakete in Wireshark beginnen:

  • Stellen Sie sicher, dass Sie die neueste Version von Wireshark installiert haben. Sie können das Programm kostenlos von der offiziellen Wireshark-Website herunterladen.
  • Führen Sie das Programm aus. Sie werden mit einem Willkommensbildschirm mit einer Liste der gefundenen Netzwerke begrüßt.
  • Starten Sie das Erfassen von Paketen auf eine der folgenden Arten:
    • Doppelklicken Sie auf das ausgewählte Netzwerk in der Liste.
    • Wählen Sie eine oder mehrere Netzwerkschnittstellen aus und klicken Sie dann auf das Haifischflossen-Symbol in der Symbolleiste oder auf „Erfassen“ und dann auf „Starten“ in der Menüleiste.

Notiz. Sie können Erfassungsoptionen wie den Promiscuous-Modus einrichten, bevor Sie beginnen, indem Sie auf „Erfassen“ und dann auf „Optionen“ klicken.

Sobald Sie die Netzwerkschnittstelle oder die Starttaste drücken, gelangen Sie zum Aufnahmebildschirm. Sie werden sehen, wie Wireshark Datenpakete in Echtzeit erfasst. Wenn Sie mit der gesammelten Datenmenge zufrieden sind, können Sie die Erfassung beenden, indem Sie auf die rote Stopp-Schaltfläche in der oberen Symbolleiste klicken. Beginnen Sie jetzt mit der Analyse Ihrer Daten oder speichern Sie sie für später, indem Sie in der Menüleiste auf „Datei“ und dann auf „Speichern unter…“ klicken.

So erfassen Sie UDP-Pakete

Wenn Sie die obigen Schritte ausführen, wird das Programm aufgefordert, alle Pakete zu erfassen. Während in Wireshark dank Farbcodierung verschiedene Arten von Datenverkehr leicht zu unterscheiden sind, müssen Sie dennoch viele Daten sichten. Wenn Sie nur nach Informationen zu bestimmten Paketen suchen, können Sie Filter verwenden, um sich die Arbeit zu erleichtern.

Wireshark unterstützt Erfassungs- und Anzeigefilter. Die Verwendung eines Erfassungsfilters bedeutet, dass das Programm nur die von Ihnen definierten Pakete erfasst. Anzeigefilter filtern einfach Pakete, die bereits erfasst wurden. Die beiden Filter arbeiten unterschiedlich und verwenden unterschiedliche Befehle, daher müssen Sie entscheiden, welcher Ihren Anforderungen am besten entspricht.

Wenn Sie nur den UDP-Datenverkehr erfassen möchten, verwenden Sie einen Erfassungsfilter, bevor Sie mit dem Erfassungsprozess beginnen.

  • Starten Sie Wireshark.
  • Suchen Sie das Erfassungsfilterfeld auf dem Willkommensbildschirm. Es befindet sich direkt über Ihrer Netzwerkliste.
  • Geben Sie „udp“ in das Feld „Capture Filter“ ein und drücken Sie die Eingabetaste, um mit der Erfassung des UDP-Datenverkehrs zu beginnen. Sie können auch einen bestimmten Port nach „udp“ hinzufügen, wenn Sie Ihren Filter weiter spezifizieren möchten.

Rat. Eine andere Möglichkeit, Erfassungsfilter einzurichten, besteht darin, im Menü auf „Erfassung“ und dann auf „Optionen“ zu klicken. Das Filterfeld befindet sich am unteren Rand der Erfassungsoberfläche.

Wireshark So erfassen Sie DHCP-Pakete

Um ausschließlich DHCP-Pakete zu erfassen, müssen Sie die entsprechende Portnummer in den Erfassungsfilter eintragen. Verwenden Sie den Erfassungsfilter „Port 67“ oder „Port 68“ oder eine Kombination der beiden „Port 67 oder Port 68“, um DHCP-Pakete zu erfassen.

Auf ähnliche Weise kann ein Anzeigefilter DHCP-Pakete auf dem Erfassungsbildschirm herausfiltern. Beachten Sie jedoch, dass Anzeigefilter eine andere Syntax verwenden als Erfassungsfilter. In der Anzeigefilterzeile müssen Sie „udp.port == 68“ eingeben.

So erfassen Sie Ping-Pakete

Die beste Methode zum Erfassen von Ping-Paketen (auch bekannt als ICMP-Echoverkehr (Internet Control Message Protocol)) in Wireshark ist die Verwendung eines Anzeigefilters im Erfassungsmodus. Hier ist der Prozess.

  • Öffnen Sie Wireshark und starten Sie den Erfassungsprozess wie oben beschrieben.
  • Öffnen Sie eine Eingabeaufforderung und pingen Sie die Adresse Ihrer Wahl an.
  • Kehren Sie zu Wireshark zurück und stoppen Sie den Erfassungsprozess.
  • Erstellen Sie einen Ping-Filter, indem Sie „icmp“ in die Anzeigefilterzeile eingeben und dann die Eingabetaste drücken.

In der Paketliste sehen Sie sowohl Anfragen als auch Ping-Antworten.

Wireshark So erfassen Sie Pakete von einer bestimmten IP-Adresse

Wenn Sie die Erfassung auf eine bestimmte IP-Adresse konzentrieren möchten, geben Sie den folgenden Erfassungsfilter ein, bevor Sie mit der Erfassung beginnen: „Host [IP-Adresse, die Sie erfassen möchten]“. Um beispielsweise Pakete zu erfassen, die der IP-Adresse 111.11.1.1 zugeordnet sind, benötigen Sie den Filter „Host 111.11.1.1“ im Bereich „Erfassungsfilter“.

Sie können auch angeben, ob Sie Datenverkehr zu oder von einer bestimmten IP-Adresse erfassen möchten, indem Sie anstelle von „host:“ „src“ für Quelle oder „dst“ für Ziel am Anfang hinzufügen.

  • Geben Sie „src 111.11.1.1“ für Pakete ein, die von der betreffenden IP-Adresse kommen
  • Geben Sie „dst 111.11.1.1“ für Pakete ein, die an die betreffende IP-Adresse gesendet werden

Natürlich können Sie diese Filter kombinieren, um den Datenverkehr anzugeben, den Sie als nächstes erfassen möchten. Verbinden Sie die beiden Filter mit „und“, um Pakete zwischen den beiden von Ihnen angegebenen IP-Adressen zu verschieben. Beispielsweise erfasst „src 111.11.1.1 and dst 222.22.2.2“ nur Pakete, die von 111.11.1.1 an 222.22.2.2 gesendet werden.

Verwenden Sie Anzeigefilter, um Pakete zu filtern, die einer bestimmten IP-Adresse in einem bereits erfassten Datensatz zugeordnet sind. Geben Sie für obige IP-Adresse „ip.addr == 111.11.1.1“ in die Anzeigefilterzeile ein und so weiter.

Häufig gestellte Fragen

Wie erfasse ich Router-Pakete in Wireshark?

Sie können Router-Pakete nur dann mit Wireshark erfassen, wenn Ihr Router Portspiegelung unterstützt. Zunächst müssen Sie den Datenverkehr auf den LAN-Port spiegeln. Der Vorgang kann je nach Gerät variieren.

1. Gehen Sie zum LAN-Bereich und dann zum LAN-Port-Mirror.

2. Aktivieren Sie die Portspiegelung.

3. Richten Sie die Start- und Endpunkte ein.

Wenn Sie Ihren Datenverkehr auf diese Weise spiegeln können, sollten Sie Router-Pakete normal im Wireshark-Erfassungsmodus erfassen können.

Warum kann ich keine Pakete in Wireshark erfassen?

Wenn Ihr Wireshark keine Pakete erfasst, ziehen Sie die folgenden Fehlerbehebungsoptionen in Betracht:

• Stellen Sie sicher, dass Sie keine übermäßig spezifischen Erfassungsfilter aktiviert haben.

• Suchen Sie im Hilfemenü nach Updates für Wireshark.

• Stellen Sie sicher, dass die Firewall Ihre Wireshark-Anwendung nicht blockiert.

Wenn keiner der oben genannten Faktoren auf Sie zutrifft, hängt das Problem höchstwahrscheinlich mit Ihrer Hardware zusammen.

Muss alles übernehmen

Das Erfassen von Paketen mit Wireshark erfordert nur wenige Klicks. Dies wird wahrscheinlich der einfachste Teil Ihrer Fehlerbehebungsaufgabe sein. Erfassen Sie den gesamten Datenverkehr und filtern Sie Pakete später oder verwenden Sie Erfassungsfilter, um nur einen bestimmten Datentyp zu erfassen.

Konnten Sie mit diesen Tipps die richtigen Pakete erfassen? Welche Wireshark-Capture-Filter finden Sie am nützlichsten? Lassen Sie es uns in den Kommentaren unten wissen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert