Fehler im LAN aufspüren

Workshop: Sniffing mit Wireshark

Erste Schritte mit Wireshark

Am Beispiel von Wireshark zeigen wir die ersten Schritte zu einer erfolgreichen Überwachung des lokalen Netzwerkverkehrs, etwa um eine "Phone Home"-Software zu entlarven oder IP-Verbindungen zu untersuchen, deren Ursache unklar scheint. Je nachdem, ob der Rechner in einem lokalen Netz hängt oder per DFÜ-Verbindung mit dem Internet verbunden ist, sollten Sie zunächst einige grundlegende Filter definieren, die nur den Internet-Traffic des eigenen Rechners akzeptieren. Ansonsten müssen Sie sich aus einem Wust von Protokollen und Broadcasts die Pakete heraussuchen, die von Ihrem System ins Internet gehen.

Bei Wireshark gibt es zwei verschiedene Arten von Filtern: Die Capture-Filter und die Display-Filter. Erstere legen fest, welche Pakete überhaupt mitprotokolliert werden. Aus diesen können Sie dann über die Display-Filter selektieren, welche jeweils für Ihre aktuelle Analyse relevant sind. Ein kleines Problem existiert allerdings bei den beiden Filtervarianten. Sie arbeiten nämlich mit einer komplett unterschiedlichen Syntax.

Beim Capture-Filter, der die Syntax von libpcap verwendet, filtern Sie beispielsweise mit folgender Zeile nach einer MAC-Adresse:

ether host 08:00:08:15:ca:fe

Wollen Sie erst bei der Anzeige nach dieser MAC-Adresse selektieren, definieren Sie dagegen im Display-Filter folgenden Befehl:

eth.addr==08.00.08.15.ca.fe

Der Vorteil des Display-Filters ist zudem, dass er deutlich flexibler ist. So lässt sich beispielsweise nach einzelnen Feldern in allen unterstützten Pakettypen selektieren. Ob Sie nun einen Capture- oder einen Display-Filter verwenden, hängt von einer Reihe von Faktoren ab.