Wireshark: Gerätekommunikation analysieren. Grafische Auswertungen
Mit Wireshark können Sie herausfinden, welche Geräte miteinander kommunizieren und wie sich diese Information grafisch auswerten lässt.
Wireshark ist ein beliebtes Werkzeug bei IT-Administratoren und bei Netzwerkverantwortlichen. Die Gründe hierfür sind vielfältig: einerseits ist das Tool kostenlos und recht einfach zu bedienen und auf der anderen Seite erlaubt es auch eine nachträgliche Analyse von mitgeschnittenen Protokollen. Der IT-Profi hat so die Möglichkeit, auch nach dem Besuch beim Kunden den Netzwerkverkehr genauer zu betrachten. Eine hier sehr wichtige Frage: Wer kommuniziert eigentlich mit wem?
Wer kommuniziert mit wem?
Diese Frage beantwortet Wireshark dem Benutzer entweder jetzt und sofort beim Mitschnitt oder bei einer nachträglichen Analyse des Netzwerkverkehrs. Es gibt keine Unterschiede zwischen der Echtzeitauswertung und der Bearbeitung aus einer Aufzeichnungsdatei.
Die Statistik „Conversations“ zeigt dem IT-Profi, welche Geräte in dem Mitschnitt miteinander kommunizierten.
Wireshark stellt zwei Statistikfenster zur Verfügung, um festzustellen, welche Hosts miteinander kommunizieren: Conversations (zu Deutsch Unterhaltungen) und Endpoints (zu Deutsch Endpunkte).
Das Fenster zur Anzeige der Unterhaltungen zwischen den einzelnen Hosts öffnen Sie über:
- Klick auf Statistics im Menü von Wireshark
- Auswahl Conversations
Es kann, je nach Größe der Aufzeichnungsdatei oder des aktuellen Mitschnitts einige Augenblicke dauern, bis die Software die Übersicht darstellt. Das Statistikfenster ist in der Standardeinstellung möglicherweise zu klein um alle Spalten gleichzeitig darzustellen.
In diesem Fall gilt es, das Fenster horizontal zu erweitern. Nur so ist sichergestellt, dass der IT-Profi Informationen wie die relative Startzeit (Rel Start) und die Kommunikationsdauer (Duration) auf einen Blick sieht. Wie bei allen Ansichten in Wireshark ist eine Sortierung über einen Doppelklick auf den Spaltenbezeichner möglich.
Im Abschnitt Ethernet greift die Option Name resolution unten links im Fenster. Wird das Häkchen entfernt, so zeigt die Software die MAC-Adresse des Kommunikationspartners direkt an.
Sollte im Eingabefeld ein Anzeigefilter aktiv sein, so kann der Anwendern diesen mit einem Klick auf das Optionsfeld Limit to display filter auf die aktuelle Ansicht anwenden. In den Registerkarten UDP und TCP erscheint zudem die Schaltfläche Follow Stream – den Datenstrom nachverfolgen.
Mit „Follow the stream“ können Sie dem Dialog auch bis in das Detail folgen: Hier das Update für den Spotify-Client über Amazon S3.
Weitere Artikel zu Wireshark:
Wireshark richtig einsetzen: Vier Schlüssel-Funktionen im Überblick
Best Practices für das Network-Sniffing mit Wireshark
WiFi-Sniffer Wireshark: Netzwerk-Verkehr richtig mitschneiden
Wireshark: Netzwerk-Protokolle mit Dissektoren richtig interpretieren
Wireshark: Anwendung von Anzeigefiltern
Wireshark: So schreiben Sie Filter für Netzwerk-Traffic
Diese Funktionalität erleichtert es, die Kommunikation zwischen zwei Hosts schneller zu erfassen, ohne einen manuellen Filter anlegen zu müssen.
Nach dem Klick springt Wireshark in die Datenpaketübersicht mit dem generierten Anzeigefilter. Ein Klick auf Clear zeigt wieder den kompletten Mitschnitt an.
Die Conversations-Übersicht bietet sich förmlich dazu an, um von hier aus die gewünschten Daten einzugrenzen. Klickt der Benutzer mit der rechten Maustaste auf eine der dargestellten Unterhaltungen und wählt die Funktionen Apply as Filter oder Prepare A Filter, so besteht die einfachste Möglichkeit, die mitgeschnittenen Pakete auf die Kommunikation zwischen diesen beiden „Gesprächspartnern“ zu beschränken.
Im Gegensatz zum herkömmlichen Anzeigefilter kann der Administrator an dieser Stelle auch noch die Kommunikationsrichtung angeben. Die Einträge A und B stehen hier stellvertretend für die beiden Gesprächspartner.
Wer kommuniziert am meisten?
Nicht selten interessiert sich der IT-Profi für die Systeme, die am meisten Traffic im Netzwerk produzieren. Das hier beschriebene Dialogfenster Conversations ist für diese Aufgabe besonders gut geeignet, da es nicht nur die Paketanzahl pro Kommunikationsknotenpunkt zeigt, sondern auch die dahintersteckenden tatsächlichen Bytes, die über das Netzwerk zu bewegen sind. Der Doppelklick auf den Spaltenbezeichner sorgt für die notwendige Sortierung.
Wer am fleißigsten redet, ist über die Sortierung im Zeilenkopf per Doppelklick schnell ermittelt.
Etwas anders ist die Darstellung in dem bereits zu Anfang benannten Endpoints-Dialogfenster, ebenfalls im Menü Statistics zu finden. Grundsätzlich unterscheidet sich die Funktionalität des Fensters nicht vom bisherigen Conversations-Dialog.
Jedoch fehlt die Möglichkeit, die beiden Kommunikationspartner mit A und B zu wählen. Bei Endpoints geht es ausschließlich um das einzelne System. Eine Sortierung auf Bytes in diesem Fenster zeigt somit wirklich den „Kommunikationsmeister“ des Mitschnitts. Die Erfahrung lehrt zudem: In der Regel ist das System mit den meisten Paketen gleichzeitig der Knoten mit den meisten Bytes!
Was wird kommuniziert?
Zu wissen, welcher Host am gesprächigsten ist, dürfte in vielen Fällen schon einmal sehr hilfreich sein. Nicht minder von Interesse ist jedoch der verwendete Dialekt: Mit was sprechen die Netzwerkgeräte in meinem Netzwerk denn überhaupt? Auch hierfür hat Wireshark gleich das passende Statistikfenster zur Hand.
- Klick auf Statistics im Menü von Wireshark
- Auswahl Protocol Hierarchy
Das anschließende Dialogfenster ist glücklicherweise weitgehend selbsterklärend. In Abhängigkeit zum gewählten Display-Filter wertet Wireshark in diesem Fenster den Netzwerkverkehr aus und visualisiert diesen in einer Hierarchie wie Frame – Ethernet – IPv4 oder IPv6. Über das Plussymbol ist der Benutzer jederzeit in der Lage, die Auswertung weiter herunterzubrechen – stets mit prozentualen Angaben.
Ein Bild sagt mehr als 10 Zahlen
Mit nur wenigen Mausklicks haben Sie bei Wireshark die Möglichkeit, sich den mitgeschnittenen Netzwerkverkehr auch grafisch anzeigen zu lassen. Mit
- Klick auf Statistics im Menü von Wireshark
- Auswahl IO Graphs
zeigt die Software den zeitlichen Verlauf grafisch an. In der Standardeinstellung nimmt das Programm alle ermittelten Informationen und baut die Zeitachse und die Datenachse auf. Mit welchen Einstellungen die X- beziehungsweise Y-Achse von Wireshark dargestellt wird, legen Sie in den Einstellungen unten rechts im Fenster fest. Wie das im Detail funktioniert, ist glücklicherweise wieder selbsterklärend.
Grafische Darstellungen bietet Wireshark auch für verschiedene aktive Filter an.
Spannend ist die Möglichkeit im linken, unteren Fensterbereich bis zu fünf unterschiedliche Grafen mit verschiedenen Filtern zu definieren. Möchten Sie beispielsweise das Zusammenspiel zweier IP-basierter Computer, Server oder Workstations auch als Bild sehen, so wäre die bereits bekannte Syntax (exemplarisch)
ip.addr == 192.168.0.200
für den Graph 1 und
ip.addr == 192.168.0.179
für Graph 2. Durch einen Klick auf die Schaltfläche Graph wird die jeweilige Filterung aktiv – die selektierten Schaltflächen bleiben blau hinterlegt.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!
