Wireshark ist ein kostenloses und quelloffenes Tool für Netzwerk-Monitoring und Troubleshooting. Administratoren können damit den Datenverkehr überwachen und analysieren. Wireshark eignet sich dabei für verschiedene Zwecke, zum Beispiel, um:

• Sicherheitsprobleme zu identifizieren,

• Netzwerk-Performance-Probleme zu beheben,

• den Datenverkehr zu optimieren oder

• Anwendungsentwicklung und Testing zu verbessern.

Das kann Wireshark

In erster Linie wird Wireshark dazu verwendet, Datenpakete zu erfassen, die sich durch ein Netzwerk bewegen. Das Tool befähigt seine Benutzer, Network Interface Controller (NICs) in den Promiscuous-Modus zu versetzen, um das Gros des Traffics zu beobachten - unter anderem auch den Unicast-Datenverkehr, der nicht an die MAC-Adresse eines Controllers gesendet wird. Diese Funktion erfordert jedoch im Regelfall eine Superuser-Berechtigung und kann in einigen Netzwerken eingeschränkt sein. Doch auch ohne dieses Feature ist Wireshark in der Lage, die meisten Datenpakete im Netz "auszuschnüffeln" - unabhängig von Betriebssystem, Netzwerkprotokoll, Verschlüsselungsmethode oder Dateiformat.

Wireshark wurde ursprünglich für Solaris und Linux geschrieben. Inzwischen läuft es aber unter nahezu allen Betriebssystemen, einschließlich Windows und macOS. Für alle, die Wireshark auf spezifische Umgebungen anpassen möchten, steht der Quellcode zur freien Verfügung. Alle Versionen sind vollständig quelloffen und stehen kostenlos zum Download bereit.

Das Tool kann Daten in Echtzeit lesen, die sich gerade durch ein Netzwerk oder Device bewegen und unterstützt dabei alle gängigen Protokolle. Zum Beispiel:

• kabelgebundenes Ethernet,

• drahtloses IEEE 802.11,

• WAN PPP/HDLC,

• Bluetooth oder

• USB.

Wireshark ist auch in der Lage, einen verschlüsselten Datenverkehr automatisch zu entschlüsseln und unterstützt auch in diesem Bereich diverse Protokolle, darunter:

• IPsec,

• ISAKMP,

• Kerberos,

• SNMPv3,

• SSL/TLS,

• WEP und

• WPA/WPA2.

Inzwischen unterstützt Wireshark auch die meisten Capture-Dateiformate, um den Datenverkehr zu einem späteren Zeitpunkt zu analysieren. Dazu gehören:

• tcpdump (libpcap),

• Pcap NG,

• Catapult DCT2000,

• Cisco Secure IDS iplog,

• Microsoft Network Monitor,

• Network General Sniffer (komprimiert und unkomprimiert),

• Sniffer Pro,

• NetXray,

• Network Instruments Observer,

• NetScreen snoop,

• Novell LANalyzer,

• RADCOM WAN/LAN Analyzer,

• Shomiti/Finisar Surveyor,

• Tektronix K12xx,

• Visual Networks Visual UpTime,

• WildPackets,

• EtherPeek,

• TokenPeek,

• AiroPeek und andere.

Der Output kann auch im XML-, PostScript-, CSV-Format oder als Textdatei exportiert werden.

Wireshark nutzen - auch ohne Anleitung

Es gibt zwei verschiedene Versionen des Tools. Die Utility-Version TShark verwendet eine kommandozeilenartige Oberfläche. Die populärere Wireshark-Version verfügt über eine grafische Benutzeroberfläche und ist so konzipiert, dass sie von Personen mit unterschiedlichem Kenntnisstand eingesetzt werden kann, nicht nur von Technik-Experten oder Entwicklern.

Die Tatsache, dass Wireshark kostenlos und quelloffen ist, trägt sicherlich zu seiner Popularität bei. Aber auch das Graphical User Interface (GUI) ist ein Pluspunkt - vor allem für diejenigen, die keine Übung mit Kommandozeilen-Interfaces haben oder darauf keinen Wert legen. Während Daten über alle Pakete und den Netzwerkverkehr für eine spätere Analyse zur Verfügung stehen, ermöglicht die GUI den Benutzern zu beobachten, wie die Pakete in Echtzeit durch ihr Netzwerk fließen. Dabei ist das Interface selbst konfigurierbar.

Wireshark kann so eingestellt werden, dass bestimmte Pakete auf der Grundlage von Regeln farblich gekennzeichnet werden. Auf einer höheren Ebene kann das hilfreich sein, um verschiedene Pakettypen zu trennen und Aufschluss darüber zu geben, wie ein Netzwerk genutzt wird. Wireshark bietet einen umfassenden Satz von Regeln, um Datenpakete farblich zu markieren, erlaubt es aber auch, eigene Regeln aufzustellen und die Standardwerte zu verändern.

Wireshark lässt sich auch verwenden, um sehr spezifische Datenpakete zu finden und hervorzuheben, zum Beispiel solche, die bekannten Angriffsmustern entsprechen. Das macht es zu einem nützlichen Tool, um Bedrohungen aufzuspüren.

Making of… Wireshark

Das Tool wurde ursprünglich von Gerald Combs im Jahr 1998 entwickelt. Der arbeitete damals für einen kleinen Internet Service Provider und suchte eine Möglichkeit, den Datenverkehr zu analysieren und zu optimieren. Auch damals gab es zwar bereits Programme, um Datenpakete und Traffic zu untersuchen, allerdings waren diese Tools für sein damaliges Unternehmen zu teuer. Darüber hinaus unterstützten die damaligen, kommerziellen Tools nicht die von seinem Arbeitgeber maßgeblich verwendeten Serversysteme Solaris und Linux.

Deshalb entschied sich Combs kurzerhand dazu, sein eigenes Tool zu entwickeln. Das hörte ursprünglich noch auf den Namen "Ethereal", und obwohl Combs den Quellcode geschrieben hatte, besaß er nicht die Rechte an diesem Namen. Als der Entwickler schließlich im Jahr 2006 seinen Job wechselte, nutzte er das Gros des Quellcodes, um den Fork Wireshark zu entwickeln. Ethereal und Wireshark wurden eine ganze Zeit lang parallel weiterentwickelt - inzwischen wurde Ethereal jedoch eingestellt.

Während Combs immer noch eine aktive Rolle bei der Entwicklung von Wireshark spielt, kümmert sich nun im Wesentlichen eine aktive Developer-Community darum, das Tool weiterzuentwickeln. Die Wireshark-Community veranstaltet sogar ein jährliches Event - das SharkFest - um Fortschritte zu diskutieren und zu feiern.

#SharkFest'22 US starts in a month! Sign up today and learn #Wireshark - the de facto standard network and packet analysis tool downloaded over 1M+ times/month by IT Professionalshttps://t.co/JQbADhZ7kl @WiresharkNews #sf22us #packetanalysis pic.twitter.com/wFjCXVSO3T

— WireSharkFest (@wiresharkfest) June 6, 2022

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.