Zoeken op website

10 tips voor het gebruik van Wireshark om netwerkpakketten te analyseren

In elk pakketgeschakeld netwerk vertegenwoordigen pakketten gegevenseenheden die tussen computers worden verzonden. Het is de verantwoordelijkheid van zowel netwerkingenieurs als systeembeheerders om de pakketten te controleren en te inspecteren op het gebied van beveiliging en probleemoplossing.

Om dit te doen, vertrouwen ze op softwareprogramma's die netwerkpakketanalysers worden genoemd, waarbij Wireshark misschien wel het meest populair is en wordt gebruikt vanwege de veelzijdigheid en het gebruiksgemak. Bovendien kunt u met Wireshark niet alleen het verkeer in realtime volgen, maar het ook opslaan in een bestand voor latere inspectie.

Gerelateerd lezen: de beste Linux-bandbreedtebewakingstools om netwerkgebruik te analyseren

In dit artikel delen we 10 tips over hoe u Wireshark kunt gebruiken om pakketten in uw netwerk te analyseren en we hopen dat u, wanneer u de Samenvatting-sectie bereikt, geneigd zult zijn om deze aan uw bladwijzers toe te voegen.

Wireshark installeren onder Linux

Om Wireshark te installeren, selecteert u het juiste installatieprogramma voor uw besturingssysteem/architectuur op https://www.wireshark.org/download.html.

Vooral als u Linux gebruikt, moet Wireshark rechtstreeks beschikbaar zijn vanuit de repository's van uw distributie, zodat u deze gemakkelijker kunt installeren. Hoewel versies kunnen verschillen, moeten de opties en menu's vergelijkbaar zijn, of zelfs identiek in elk ervan.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

Er is een bekende bug in Debian en afgeleiden die ervoor kan zorgen dat de netwerkinterfaces niet worden weergegeven, tenzij u sudo gebruikt om Wireshark te starten. Om dit op te lossen, volgt u het geaccepteerde antwoord in dit bericht.

Zodra Wireshark actief is, kunt u onder Capture de netwerkinterface selecteren die u wilt monitoren:

In dit artikel gebruiken we eth0, maar je kunt desgewenst een andere kiezen. Klik nog niet op de interface – we zullen dit later doen zodra we een paar opnameopties hebben bekeken.

Opnameopties instellen

De nuttigste opnameopties die we zullen overwegen zijn:

  1. Netwerkinterface – Zoals we eerder hebben uitgelegd, analyseren we alleen pakketten die via eth0 binnenkomen, zowel inkomend als uitgaand.
  2. Capture filter – Met deze optie kunnen we aangeven welk soort verkeer we willen monitoren, per poort, protocol of type.

Voordat we verder gaan met de tips, is het belangrijk op te merken dat sommige organisaties het gebruik van Wireshark in hun netwerken verbieden. Dat gezegd hebbende, als u Wireshark niet voor persoonlijke doeleinden gebruikt, zorg er dan voor dat uw organisatie het gebruik ervan toestaat.

Selecteer voorlopig gewoon eth0 in de vervolgkeuzelijst en klik op Start bij de knop. Je zult al het verkeer door die interface zien gaan. Niet echt nuttig voor monitoringdoeleinden vanwege het grote aantal geïnspecteerde pakketten, maar het is een begin.

In de bovenstaande afbeelding zien we ook de pictogrammen om de beschikbare interfaces weer te geven, om de huidige opname te stoppen en om deze te herstarten (rood vak aan de links), en om een filter te configureren en te bewerken (rood vak aan de rechts). Wanneer u over een van deze pictogrammen beweegt, wordt er een tooltip weergegeven om aan te geven wat deze doet.

We beginnen met het illustreren van de opnameopties, terwijl de tips #7 tot en met #10 bespreken hoe je daadwerkelijk iets nuttigs kunt doen met een opname.

TIP #1 – Inspecteer HTTP-verkeer

Typ http in het filtervak en klik op Toepassen. Start uw browser en ga naar elke gewenste site:

Om elke volgende tip te starten, stopt u de live-opname en bewerkt u het opnamefilter.

TIP #2 – Inspecteer HTTP-verkeer vanaf een bepaald IP-adres

In deze specifieke tip voegen we ip==192.168.0.10&& toe aan de filterregel om HTTP-verkeer tussen de lokale computer en 192.168.0.10 te monitoren:

TIP #3 – Inspecteer HTTP-verkeer naar een bepaald IP-adres

Nauw verwant met #2, zullen we in dit geval ip.dst als volgt gebruiken als onderdeel van het opnamefilter:

ip.dst==192.168.0.10&&http

Om tips #2 en #3 te combineren, kunt u ip.addr in de filterregel gebruiken in plaats van ip.src of ip.dst.

TIP #4 – Houd Apache- en MySQL-netwerkverkeer in de gaten

Soms bent u geïnteresseerd in het inspecteren van verkeer dat aan een van de (of beide) voorwaarden voldoet. Om bijvoorbeeld het verkeer op de TCP-poorten 80 (webserver) en 3306 (MySQL/MariaDB-databaseserver) te monitoren, kunt u een OR-voorwaarde gebruiken in het opvangfilter:

tcp.port==80||tcp.port==3306

In tips #2 en #3 leveren || en het woord of dezelfde resultaten op. Hetzelfde geldt voor && en het woord en.

TIP #5 – Weiger pakketten naar een gegeven IP-adres

Om pakketten uit te sluiten die niet aan de filterregel voldoen, gebruikt u ! en plaatst u de regel tussen haakjes. Om bijvoorbeeld pakketten uit te sluiten die afkomstig zijn van of gericht zijn op een bepaald IP-adres, kunt u het volgende gebruiken:

!(ip.addr == 192.168.0.10)

TIP #6 – Controleer lokaal netwerkverkeer (192.168.0.0/24)

De volgende filterregel geeft alleen lokaal verkeer weer en sluit pakketten uit die van en naar internet gaan:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

TIP #7 – Houd de inhoud van een TCP-gesprek in de gaten

Om de inhoud van een TCP-gesprek (gegevensuitwisseling) te bekijken, klikt u met de rechtermuisknop op een bepaald pakket en kiest u TCP-stream volgen. Er verschijnt een venster met de inhoud van het gesprek.

Dit omvat HTTP headers als we webverkeer inspecteren, en eventuele inloggegevens in platte tekst die tijdens het proces worden verzonden.

TIP #8 – Kleurregels bewerken

Ik weet zeker dat je inmiddels al hebt opgemerkt dat elke rij in het opnamevenster gekleurd is. Standaard wordt HTTP-verkeer weergegeven op de groene achtergrond met zwarte tekst, terwijl checksum-fouten worden weergegeven in rode tekst met een zwarte achtergrond.

Als u deze instellingen wilt wijzigen, klikt u op het pictogram voor kleurregels Bewerken, kiest u een bepaald filter en klikt u op Bewerken.

TIP #9 – Sla de opname op in een bestand

Door de inhoud van de opname op te slaan, kunnen we deze met meer detail inspecteren. Ga hiervoor naar Bestand → Exporteren en kies een exportformaat uit de lijst:

TIP #10 – Oefen met het vastleggen van monsters

Als u denkt dat uw netwerk “saai” is, biedt Wireshark een reeks voorbeeldopnamebestanden die u kunt gebruiken om te oefenen en te leren. U kunt deze SampleCaptures downloaden en importeren via het menu Bestand → Importeren.

Samenvatting

Wireshark is gratis en open-source software, zoals je kunt zien in het gedeelte met veelgestelde vragen op de officiële website. U kunt een opvangfilter configureren voor of na het starten van een inspectie.

Voor het geval je het nog niet gemerkt hebt: het filter heeft een functie voor automatisch aanvullen waarmee je eenvoudig naar de meest gebruikte opties kunt zoeken, die je later kunt aanpassen. Daarmee is de sky de limit!

Aarzel zoals altijd niet om ons een bericht te sturen via het onderstaande opmerkingenformulier als u vragen of opmerkingen over dit artikel heeft.