Cisco Networking: Installation von Wireshark - Dummies

Wireshark ist ein Netzwerkprotokollanalysator oder Netzwerksniffer, der ein Tool zur Anzeige der Details des Netzwerkverkehrs darstellt. Wenn Sie Wireshark installieren, werden Sie während der Installation aufgefordert, WinPcap zu installieren. Dies ist der eigentliche Capture-Treiber, der für Wireshark das Schwergewicht aufbringt. Wireshark kümmert sich um die Datenanzeige und -analyse, während WinPcap der Erfassungstreiber ist, der den Live-Netzwerkverkehr aus dem Netzwerk erfasst.

Sie können alle Standardwerte für die Installation auswählen. die einzige echte Frage, die Sie haben können, ist, ob WinPcap mit dem Betriebssystem starten soll. Wenn Sie WinPcap mit dem Betriebssystem starten lassen, verbraucht es immer einige Ressourcen Ihres Computers, auch wenn Wireshark kein WinPcap benötigt.

Normalerweise startet WinPcap nach Bedarf bei der Ausführung von Wireshark. Wenn Sie jedoch Windows 7 verwenden, verhindern die standardmäßigen Sicherheitsfunktionen von Windows 7, dass der WinPcap-Treiber beim Ausführen von Wireshark gestartet wird. In diesem Fall soll WinPcap mit dem Betriebssystem gestartet werden.

Gehen Sie folgendermaßen vor, um eine grundlegende Erfassung von Daten einzurichten:

1. Wählen Sie die Netzwerkkarte aus, die Sie zum Erfassen verwenden möchten, indem Sie Erfassen → Schnittstellen wählen.

   Das unten abgebildete Fenster Capture Interfaces zeigt Ihnen nicht nur die aufgelisteten Schnittstellen, sondern auch die Daten, die über die Schnittstellen auf Ihrem Computer empfangen und gesendet werden.

   

2. Klicken Sie auf die Schaltfläche Start neben Ihrer aktiven Netzwerkschnittstelle, um eine Aufnahmesitzung zu starten.

Auf dem angezeigten Bildschirm scrollt die Daten vorbei. Sie sehen die folgenden drei grundlegenden Bereiche:

• Paketliste: In diesem Bereich werden alle Netzwerkrahmen angezeigt, die von Ihrer Netzwerkkarte erkannt wurden. Wenn Ihre Netzwerkkarte mit einem Hub verbunden ist, ist dies der gesamte Datenverkehr im Netzwerk. Wenn die Karte jedoch an einen Switch angeschlossen ist, überträgt sie nur Frames und die Netzwerk-Frames, die an die MAC-Adresse der Karte adressiert sind.

  Die Informationen, die Sie hier sehen, enthalten die Frame-Nummer sowie Folgendes:

  • Time: Die Anzahl der Millisekunden, die seit dem Start der Netzwerkaufnahme verstrichen sind.

  • Quelladresse: Die Adresse des Geräts, das den Netzwerkrahmen an das Netzwerk gesendet hat. Dies kann eine IP-Adresse wie 192. 168. 1. 123 oder eine MAC-Adresse wie 00: 1D: 7E: F8: 23: D6 sein.

  • Zieladressen: Die Adresse, an die der Netzwerkrahmen gesendet wird. Die Werte und Optionen sind die gleichen wie die Quelladresse.

  • Protokoll: Das Protokoll der höchsten Schicht, das im Rahmen vorhanden ist.In Abbildung 4.10 sehen Sie ARP, TCP und

  • Info: Diese Spalte zeigt zusammenfassende Informationen über den Rahmen an. Dies ist eine WireShark-Interpretation, welche Daten sich im Rahmen befinden. Damit soll es für Sie einfacher werden zu verstehen, welche Art von Daten sich im Netzwerkrahmen befinden.

• Paketdetails: Der Bereich, der sich auf das aktuell ausgewählte Paket im mittleren Frame bezieht, mit einer expandierenden Hierarchie. Auf diese Weise können Sie in die Abschnitte dieser Daten bohren - z. B. durch die OSI-Ebenen. Wenn Sie den Abschnitt Ethernet II erweitern, können Sie die Daten mit der Ethernet-Frame-Struktur vergleichen. Wenn Sie den Internet Protocol-Abschnitt erweitern, können Sie die Daten mit der Paketstruktur vergleichen.

• Packet Bytes: In diesem Bereich werden ASCII- und Hexadezimal-Daten angezeigt, die sich im Rahmen befinden. Denken Sie daran, dass alle im Netzwerkrahmen gesendeten Daten binär sind und dass Sie diese Binärdaten in Hexadezimal konvertieren können.

  Schließlich können alle acht Bits oder ein Byte durch ein ASCII-Zeichen dargestellt werden. In diesem Fenster werden alle Binärdaten im Ethernet-Frame sowohl in hexadezimaler als auch in ASCII-Entsprechung angezeigt. Dies kann manchmal hilfreich sein, wenn Sie nach ASCII-Zeichenketten in den Daten suchen. Diese Daten werden in einem ordentlicheren Format im Bereich "Paketdetails" angezeigt.

Wenn Sie im Bereich "Paketdetails" verschiedene Abschnitte des Frames auswählen, wird der entsprechende Abschnitt des Bereichs "Paketbytes" markiert. Dies kann hilfreich sein, wenn Sie versuchen, ein Hexadezimal- oder ASCII-Äquivalent für das zu finden, was Sie im Bereich "Paketdetails" sehen. Wenn Sie mit Wireshark folgen, versuchen Sie, verschiedene Teile des Rahmens im Bereich "Paketdetails" auszuwählen.