Wireshark is de toonaangevende netwerkprotocolanalysator die wordt gebruikt door beveiligingsprofessionals over de hele wereld. Hiermee kunt u anomalieën in computernetwerken detecteren en de onderliggende oorzaken vinden. In de volgende secties zullen we demonstreren hoe u Wireshark kunt gebruiken.
Dus hoe werkt het? En hoe gebruik je Wireshark eigenlijk om datapakketten vast te leggen?
Hoe werkt Wireshark?
De robuuste functieset van Wireshark heeft het tot een van de beste tools om netwerkproblemen op te lossen. Veel mensen gebruiken Wireshark, waaronder netwerkbeheerders, beveiligingsauditors, malware-analisten en zelfs aanvallers.
Heeft u een netwerkprobleem? Of wil je gewoon meer weten over je thuisnetwerk? Met deze zeven hulpprogramma's kunt u uw netwerk analyseren en problemen oplossen.
Hiermee kunt u diepgaande inspecties uitvoeren van live of opgeslagen netwerkpakketten. Als u Wireshark begint te gebruiken, zult u gefascineerd zijn door de hoeveelheid informatie die het te bieden heeft. Te veel informatie maakt het echter vaak moeilijk om op koers te blijven.
Gelukkig kunnen we dit verzachten via de geavanceerde filtermogelijkheden van Wireshark. We zullen ze later in detail bespreken. De workflow bestaat uit het vastleggen van netwerkpakketten en het filteren van de vereiste informatie.
Hoe Wireshark te gebruiken voor het vastleggen van pakketten
Zodra u Wireshark start, worden de netwerkinterfaces weergegeven die op uw systeem zijn aangesloten. Naast elke interface ziet u curven die de netwerkcommunicatie vertegenwoordigen.
Nu moet u een specifieke interface kiezen voordat u kunt beginnen met het vastleggen van pakketten. Selecteer hiervoor de interfacenaam en klik op het blauwe haaienvin icoon. U kunt dit ook doen door te dubbelklikken op de interfacenaam.
Wireshark begint met het vastleggen van de inkomende en uitgaande pakketten voor de geselecteerde interface. Klik op het rood pauze pictogram om het vastleggen te stoppen. U zou tijdens dit proces een lijst met netwerkpakketten moeten zien.
Wireshark toont de bron en bestemming voor elk pakket naast het protocol. Meestal bent u echter geïnteresseerd in de inhoud van het informatieveld.
U kunt individuele pakketten bekijken door erop te klikken. Op deze manier kunt u de volledige pakketgegevens bekijken.
Gevangen pakketten opslaan in Wireshark
Omdat Wireshark veel verkeer vangt, wilt u ze soms bewaren voor latere inspectie. Gelukkig is het opslaan van vastgelegde pakketten met Wireshark moeiteloos.
Stop de actieve sessie om pakketten op te slaan. Klik vervolgens op het het dossier pictogram in het bovenste menu. Je kan ook gebruiken Ctrl + S om dit te doen.
Wireshark kan pakketten in verschillende formaten opslaan, waaronder pcapng, pcap en dmp. U kunt ook vastgelegde pakketten opslaan in een andere indeling netwerkanalysetools kan later gebruiken.
Hoe Captured Packets te analyseren
U kunt eerder vastgelegde pakketten analyseren door het vastlegbestand te openen. Eenmaal in het hoofdvenster klikt u op Bestand> Openen en selecteer vervolgens het relevante opgeslagen bestand.
Je kan ook gebruiken Ctrl + O om dit snel te doen. Nadat u de pakketten heeft geanalyseerd, verlaat u het inspectievenster door naar Bestand> Sluiten.
Hoe Wireshark-filters te gebruiken
Wireshark biedt een overvloed aan robuuste filtermogelijkheden. Er zijn twee soorten filters: weergavefilters en opnamefilters.
Wireshark-weergavefilters gebruiken
Weergavefilters worden gebruikt om specifieke pakketten van alle vastgelegde pakketten te bekijken. We kunnen bijvoorbeeld het weergavefilter gebruiken icmp om alle ICMP-datapakketten te bekijken.
U heeft de keuze uit een groot aantal filters. Bovendien kunt u ook aangepaste filterregels definiëren voor triviale taken. Ga naar om gepersonaliseerde filters toe te voegen Analyseren> Weergavefilters. Klik op de + pictogram om een nieuw filter toe te voegen.
Wireshark Capture Filters gebruiken
Capture-filters worden gebruikt om aan te geven welke pakketten moeten worden vastgelegd tijdens een Wireshark-sessie. Het produceert aanzienlijk minder pakketten dan standaardopnames. U kunt ze gebruiken in situaties waarin u specifieke informatie over bepaalde pakketten nodig heeft.
Typ uw opnamefilter in het veld net boven de lijst met interfaces in het hoofdvenster. Selecteer de interfacenaam uit de lijst en typ de filternaam in het bovenstaande veld.
Klik op het blauw haaienvin pictogram om te beginnen met het vastleggen van pakketten. In het volgende voorbeeld wordt de arp filter om alleen ARP-transacties vast te leggen.
Wireshark-kleurregels gebruiken
Wireshark biedt verschillende kleurregels, die voorheen kleurfilters werden genoemd. Het is een geweldige functie om te hebben bij het analyseren van uitgebreid netwerkverkeer. U kunt ze ook aanpassen op basis van uw voorkeur.
Ga naar om de huidige kleurregels weer te geven Bekijk> Kleurregels. Hier vindt u de standaard kleurregels voor uw installatie.
U kunt ze op elke gewenste manier wijzigen. Bovendien kunt u ook de kleurregels van anderen gebruiken door het configuratiebestand te importeren.
Download het bestand met de aangepaste regels en importeer het vervolgens door te selecteren Beeld> Kleurregels> Importeren. U kunt op dezelfde manier regels exporteren.
Wireshark in actie
Tot nu toe hebben we enkele van de kernfuncties van Wireshark besproken. Laten we enkele praktische bewerkingen uitvoeren om te demonstreren hoe deze integreren.
Voor deze demonstratie hebben we een standaard Go-server gemaakt. Het retourneert een eenvoudig sms-bericht voor elk verzoek. Zodra de server draait, doen we een aantal HTTP-verzoeken en vangen we het live verkeer op. Merk op dat we de server op de localhost draaien.
Eerst starten we het vastleggen van pakketten door te dubbelklikken op de Loopback (localhost) -interface. De volgende stap is om onze lokale server te starten en een GET-verzoek in te dienen. We gebruiken hiervoor krul.
Wireshark zal tijdens dit gesprek alle inkomende en uitgaande pakketten vastleggen. We willen de gegevens zien die door onze server zijn verzonden, dus we gebruiken de http.response display filter voor het bekijken van de responspakketten.
Nu zal Wireshark alle andere vastgelegde pakketten verbergen en alleen de antwoordpakketten weergeven. Als u de pakketdetails goed bekijkt, zou u de gegevens in platte tekst moeten zien die door onze server worden verzonden.
Handige Wireshark-opdrachten
U kunt ook verschillende Wireshark-opdrachten gebruiken om de software vanaf uw Linux-terminal te bedienen. Hier zijn enkele basisopdrachten van Wireshark:
- Wirehark start Wireshark in grafische modus.
- dradenhark -h geeft de beschikbare opdrachtregelopties weer.
- dradenhark -i INTERFACE selecteert INTERFACE als de opname-interface.
Tshark is het opdrachtregelalternatief voor Wireshark. Het ondersteunt alle essentiële functies en is buitengewoon efficiënt.
Analyseer netwerkbeveiliging met Wireshark
De uitgebreide functieset en geavanceerde filterregels van Wireshark maken pakketanalyse productief en ongecompliceerd. U kunt het gebruiken om allerlei informatie over uw netwerk te vinden. Probeer de meest elementaire functionaliteiten uit om te leren hoe u Wireshark kunt gebruiken voor pakketanalyse.
Wireshark is beschikbaar om te downloaden op apparaten met Windows, macOS en Linux.
Wilt u uw netwerk of externe apparaten monitoren? Hier leest u hoe u uw Raspberry Pi met Nagios in een netwerkmonitoringstool verandert.
- Linux
- Mac
- ramen
- Veiligheid
- Online beveiliging
Rubaiat is een afgestudeerde CS met een sterke passie voor open-source. Behalve dat hij een Unix-veteraan is, houdt hij zich ook bezig met netwerkbeveiliging, cryptografie en functioneel programmeren. Hij is een fervent verzamelaar van tweedehands boeken en heeft een oneindige bewondering voor classic rock.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Nog een stap…!
Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.
