So erfassen Sie Pakete in WireShark

Wireshark ist ein unschätzbares Netzwerkanalysetool, das die durch Ihre Netzwerke übertragenen Daten in ein lesbares Format übersetzt. Sie können Netzwerk- oder Sicherheitsprobleme identifizieren, Protokollimplementierungen debuggen oder einfach den Datenverkehr überwachen, indem Sie Pakete mit Wireshark erfassen.

Sehen Sie sich das Geschehen in Ihrem Netzwerk genauer an, indem Sie genau die Informationen erfassen, die Sie benötigen. So erfassen Sie verschiedene Pakettypen in Wireshark.

So erfassen Sie Pakete

Der Beginn des Erfassungsprozesses in Wireshark dauert nur wenige Klicks. Sie müssen lediglich den Erfassungsmodus starten, und die Daten werden ungefiltert einfließen. Obwohl dieser ungefilterte Modus großartig ist, wenn Sie einen vollständigen Bericht über das Geschehen benötigen, kann die Menge der auf diese Weise erfassten Daten überwältigend sein. Um die Verwaltung zu vereinfachen, können Sie Filter verwenden und nur einen bestimmten Datentyp erfassen. Die Schritte dazu finden Sie weiter unten.

Sehen wir uns zunächst an, wie Sie mit der Erfassung aller Pakete in Wireshark beginnen:

1. Stellen Sie sicher, dass Sie die neueste Version von Wireshark installiert haben. Sie können das Programm kostenlos von der offiziellen Wireshark- Website herunterladen.
   
   
2. Starten Sie das Programm. Sie werden vom Begrüßungsbildschirm mit der Liste Ihrer erkannten Netzwerke begrüßt.
   
3. Beginnen Sie mit der Paketerfassung auf eine der folgenden Arten:
   • Doppelklicken Sie in der Liste auf das Netzwerk Ihrer Wahl.
     
   • Wählen Sie eine oder mehrere Netzwerkschnittstellen aus und klicken Sie dann auf das Haifischflossen-Symbol in der Symbolleiste oder auf „Erfassen“ und dann auf „Start“ in der Menüleiste.
     
     

Hinweis: Sie können die Aufnahmeoptionen – wie den Promiscuous-Modus – vor dem Start anpassen, indem Sie ebenfalls auf „Aufnahme“ und dann auf „Optionen“ klicken.

Sobald Sie auf die Netzwerkschnittstelle oder die Startschaltfläche klicken, gelangen Sie zum Aufnahmebildschirm. Sie werden sehen, wie Wireshark Datenpakete in Echtzeit abgreift. Sobald Sie mit der erfassten Datenmenge zufrieden sind, können Sie die Erfassung beenden, indem Sie in der oberen Symbolleiste auf die rote Stopp-Schaltfläche klicken. Beginnen Sie sofort mit der Analyse der Daten oder speichern Sie sie für später, indem Sie in der Menüleiste auf „Datei“ und dann auf „Speichern unter…“ klicken.

So erfassen Sie UDP-Pakete

Wenn Sie die oben genannten Schritte ausführen, wird das Programm aufgefordert, alle Pakete zu erfassen. Während in Wireshark dank der Farbcodierung verschiedene Arten von Datenverkehr leicht zu unterscheiden sind, müssen Sie dennoch viele Daten durchsuchen. Wenn Sie nur Informationen zu bestimmten Paketen suchen, können Sie Filter verwenden, um Ihre Arbeit zu erleichtern.

Wireshark unterstützt sowohl Aufnahme- als auch Anzeigefilter. Die Verwendung eines Erfassungsfilters bedeutet, dass das Programm nur die von Ihnen definierten Pakete erfasst. Anzeigefilter filtern lediglich bereits erfasste Pakete. Die beiden Filter funktionieren unterschiedlich und verwenden unterschiedliche Befehle. Sie müssen also entscheiden, welcher Filter Ihren Anforderungen am besten entspricht.

Wenn Sie nur UDP-Verkehr erfassen möchten, verwenden Sie einen Erfassungsfilter, bevor Sie mit dem Erfassungsprozess beginnen.

1. Starten Sie Wireshark.
   
2. Suchen Sie auf dem Begrüßungsbildschirm nach der Aufnahmefilterleiste. Es befindet sich direkt über Ihrer Netzwerkliste.
   
3. Geben Sie „udp“ in die Erfassungsfilterleiste ein und drücken Sie die Eingabetaste, um mit der Erfassung des UDP-Verkehrs zu beginnen. Sie können nach „udp“ auch einen bestimmten Port hinzufügen, wenn Sie Ihren Filter weiter spezifizieren möchten.
   

Tipp: Sie können Ihre Aufnahmefilter auch anpassen, indem Sie im Menü auf „Aufnahme“ und dann auf „Optionen“ klicken. Die Filterleiste befindet sich unten in der Capture-Oberfläche.

Wireshark So erfassen Sie DHCP-Pakete

Um ausschließlich DHCP-Pakete zu erfassen, müssen Sie die entsprechende Portnummer im Erfassungsfilter eingeben. Verwenden Sie den Capture-Filter „Port 67“ oder „Port 68“ oder die Kombination der beiden „Port 67 oder Port 68“, um DHCP-Pakete zu erfassen.

Ebenso kann ein Anzeigefilter DHCP-Pakete in Ihrem Aufnahmebildschirm herausfiltern. Bedenken Sie jedoch, dass Anzeigefilter eine andere Syntax verwenden als Erfassungsfilter. Sie müssen „udp.port == 68“ in die Anzeigefilterleiste eingeben.

So erfassen Sie Ping-Pakete

Der beste Weg, Ping-Pakete (auch bekannt als Internet Control Message Protocol (ICMP) Echo-Verkehr) in Wireshark zu erfassen, ist die Verwendung eines Anzeigefilters im Erfassungsmodus. Hier ist der Prozess.

1. Öffnen Sie Wireshark und starten Sie den Aufnahmevorgang wie oben beschrieben.
   
2. Öffnen Sie Ihre Eingabeaufforderung und pingen Sie die Adresse Ihrer Wahl an.
   
3. Gehen Sie zurück zu Wireshark und stoppen Sie den Erfassungsvorgang.
   
4. Erstellen Sie einen Filter für Ping-Pakete, indem Sie „icmp“ in die Anzeigefilterleiste eingeben und dann die Eingabetaste drücken.
   

In der Paketliste werden sowohl die Anfragen als auch die Antworten auf den Ping angezeigt.

Wireshark So erfassen Sie Pakete von einer bestimmten IP-Adresse

Wenn Sie Ihre Erfassung auf eine bestimmte IP-Adresse konzentrieren möchten, geben Sie den folgenden Erfassungsfilter ein, bevor Sie mit der Erfassung beginnen: „Host [die IP-Adresse, die Sie aufzeichnen möchten].“ Zum Erfassen von Paketen mit Bezug zur IP-Adresse 111.11.1.1 wäre beispielsweise der Filter „Host 111.11.1.1“ in der Erfassungsfilterleiste erforderlich.

Sie können auch festlegen, ob Sie den Datenverkehr zu oder von einer bestimmten IP-Adresse erfassen möchten, indem Sie am Anfang „src“ für Quelle oder „dst“ für Ziel anstelle von „host:“ hinzufügen.

• Geben Sie „src 111.11.1.1“ für Pakete ein, die von der betreffenden IP-Adresse stammen
• Geben Sie „dst 111.11.1.1“ für Pakete ein, die an die betreffende IP-Adresse gesendet werden

Natürlich können Sie diese Filter kombinieren, um den Datenverkehr festzulegen, den Sie weiter erfassen möchten. Verbinden Sie die beiden Filter mit „und“, um die Pakete zu erhalten, die zwischen den beiden von Ihnen definierten IP-Adressen übertragen werden. Beispielsweise erfasst „src 111.11.1.1 und dst 222.22.2.2“ nur die Pakete, die von 111.11.1.1 an 222.22.2.2 gesendet werden.

Verwenden Sie Anzeigefilter, um Pakete zu einer bestimmten IP-Adresse in einem bereits erfassten Datensatz zu filtern. Geben Sie für die oben genannte IP-Adresse „ip.addr == 111.11.1.1“ in Ihre Anzeigefilterleiste ein und so weiter.

FAQs

Wie erfasse ich Router-Pakete in Wireshark?

Sie können Router-Pakete mit Wireshark nur dann erfassen, wenn Sie einen Router haben, der Port-Spiegelung unterstützt. Zunächst müssen Sie den Datenverkehr in einen LAN-Port spiegeln. Der Vorgang kann je nach Gerät unterschiedlich sein.

1. Gehen Sie zu LAN und dann zu LAN Port Mirror.

2. Aktivieren Sie die Portspiegelung.

3. Konfigurieren Sie die Quell- und Zielpunkte.

Wenn Sie Ihren Datenverkehr auf diese Weise spiegeln können, können Sie Router-Pakete normal im Erfassungsmodus von Wireshark erfassen.

Warum kann ich in Wireshark keine Pakete erfassen?

Wenn Ihr Wireshark keine Pakete erfasst, prüfen Sie die folgenden Möglichkeiten, um das Problem zu beheben:

• Stellen Sie sicher, dass Sie keine allzu spezifischen Aufnahmefilter aktiviert haben.

• Suchen Sie im Hilfemenü nach Wireshark-Updates.

• Stellen Sie sicher, dass Ihre Wireshark-Anwendung nicht durch eine Firewall blockiert wird.

Wenn keiner der oben genannten Faktoren auf Sie zutrifft, liegt das Problem höchstwahrscheinlich bei Ihrer Hardware.

Ich muss alles erfassen

Das Erfassen von Paketen mit Wireshark erfordert nur wenige Klicks. Dies wird wahrscheinlich der einfachste Teil Ihrer Fehlerbehebungsaufgabe sein. Erfassen Sie den gesamten Datenverkehr und filtern Sie die Pakete später oder verwenden Sie Erfassungsfilter, um nur einen bestimmten Datentyp aufzuzeichnen.

Haben Sie es mit diesen Tipps geschafft, die gewünschten Pakete zu erfassen? Welche Wireshark-Erfassungsfilter finden Sie am nützlichsten? Lassen Sie es uns im Kommentarbereich unten wissen.