Wireshark

Aus Tuxfutter

Wechseln zu: Navigation, Suche
Wireshark
Logo altes Logo von Ethereal
Hersteller / Programmierer Stefan Taferner

Bildschimfoto von Ethereal

Grundinformationen
Lizenz: GPL
Unterstützte Plattformen: Linux und Windows
Webpräsenz / Download: www.wireshark.org
Aktuelle Version: 1.4.4 (1. März 2011)
Alternativen
Freie Software tcpdump
Proprietäre Software

Wireshark (früher Ethereal genannt) ist ein freies Analyse-Programm für Netzwerk-Protokolle.

Inhaltsverzeichnis

[Bearbeiten] Weitere unterstützte Plattformen

Wireshark wird, neben Linux und Windows, auch für folgende Betriebssystem-Plattformen – in Form von übersetzten Binärpaketen – angeboten:

[Bearbeiten] Versionen und Geschichte

Die letzte Version Ethereal hatte die Nummer 0.99.0. (Stand: 31.05.2006), und unterstützte bereits 759 Protokolle. Trotz dieser niedrigen Versionsnummer arbeitete Ethereal ausgesprochen stabil und zuverlässig.

Am 7. Juni 2006 wurde Ethereal in Wireshark umbenannt und mit der Versionsnummer 0.99.1 veröffentlicht. Und am 31. März 2009 wurde Version 1.0 von Wireshark veröffentlicht.

[Bearbeiten] Eigenschaften und Funktionen

Es existiert ein grafische Benutzeroberfläche für Ethereal, in welcher auch Filterregeln und Ausgabeeinstellungen bearbeitet werden kännen. Weiterhin ermöglicht es die Protokoll-spezifische Auswertung und Erzeugung von Statistiken. So kann beispielsweise das Hypertext Transfer Protocol (HTTP) auf aufgetretene Servermeldungen (2xx, 4xx, 5xx) hin untersucht werden.

Ethereal kann Protokolle von Schicht 2 an (wie z.B. das ARP) aufwärts bis hin zu Protokollen auf der Anwendungsschicht (wie z.B. HTTP, POP3 und NFS) auswerten.

Aufgrund seiner einfachen und intuitiven Bedienung kann Ethereal sehr effektiv für die Analyse von Problemen im Netzwerk-Bereich eingesetzt werden.

  1. mitzulesende Protokolle definieren
  2. zu betrachtende Schnittstelle auswählen (ggf. noch promiscous mode aktivieren)
  3. Erfassung starten
  4. ...
  5. Erfassung stoppen

Nach der Aufnahme der Daten wird dann jedes Paket detailliert aufgelistet. Hier beispielsweise ein Paket, welches eine HTTP-Anfrage enthält: 

 Frame 159 (487 bytes on wire, 487 bytes captured)
 Linux cooked capture
 Internet Protocol, Src Addr: 80.145.19.14 (80.145.19.14), Dst Addr: 134.109.132.162 (134.109.132.162)
     Version: 4
     Header length: 20 bytes
     Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
         0000 00.. = Differentiated Services Codepoint: Default (0x00)
         .... ..0. = ECN-Capable Transport (ECT): 0
         .... ...0 = ECN-CE: 0
     Total Length: 471
     Identification: 0x21e1 (8673)
     Flags: 0x04
         0... = Reserved bit: Not set
         .1.. = Don't fragment: Set
         ..0. = More fragments: Not set
     Fragment offset: 0
     Time to live: 64
     Protocol: TCP (0x06)
     Header checksum: 0xa891 (correct)
     Source: 80.145.19.14 (80.145.19.14)
     Destination: 134.109.132.162 (134.109.132.162)
 Transmission Control Protocol, Src Port: 57218 (57218), Dst Port: http (80), Seq: 3593434755, Ack: 1848859883, Len: 419
     Source port: 57218 (57218)
     Destination port: http (80)
     Sequence number: 3593434755
     Next sequence number: 3593435174
     Acknowledgement number: 1848859883
     Header length: 32 bytes
     Flags: 0x0018 (PSH, ACK)
         0... .... = Congestion Window Reduced (CWR): Not set
         .0.. .... = ECN-Echo: Not set
         ..0. .... = Urgent: Not set
         ...1 .... = Acknowledgment: Set
         .... 1... = Push: Set
         .... .0.. = Reset: Not set
         .... ..0. = Syn: Not set
         .... ...0 = Fin: Not set
     Window size: 34512
     Checksum: 0x966d (correct)
     Options: (12 bytes)
         NOP
         NOP
         Time stamp: tsval 13456073, tsecr 180801194
 Hypertext Transfer Protocol
     GET //tu/inc/06.jpg HTTP/1.1\r\n
         Request Method: GET
     Host: www.tu-chemnitz.de\r\n
     User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.3) Gecko/20030314\r\n
     Accept: video/x-mng,image/png,image/jpeg,image/gif;q=0.2,*/*;q=0.1\r\n
     Accept-Language: de-de,en;q=0.7,en-us;q=0.3\r\n
     Accept-Encoding: gzip,deflate,compress;q=0.9\r\n
     Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\n
     Keep-Alive: 300\r\n
     Connection: keep-alive\r\n
     Referer: http://www.tu-chemnitz.de/\r\n
     \r\n

 0000  00 04 02 00 00 00 13 42 0c 38 00 00 dc c7 08 00   .......B.8......
 0010  45 00 01 d7 21 e1 40 00 40 06 a8 91 50 91 13 0e   E...!.@.@...P...
 0020  86 6d 84 a2 df 82 00 50 d6 2f 76 83 6e 33 5c eb   .m.....P./v.n3\.
 0030  80 18 86 d0 96 6d 00 00 01 01 08 0a 00 cd 52 c9   .....m........R.
 0040  0a c6 ce aa 47 45 54 20 2f 2f 74 75 2f 69 6e 63   ....GET //tu/inc
 0050  2f 30 36 2e 6a 70 67 20 48 54 54 50 2f 31 2e 31   /06.jpg HTTP/1.1
 0060  0d 0a 48 6f 73 74 3a 20 77 77 77 2e 74 75 2d 63   ..Host: www.tu-c
 0070  68 65 6d 6e 69 74 7a 2e 64 65 0d 0a 55 73 65 72   hemnitz.de..User
 0080  2d 41 67 65 6e 74 3a 20 4d 6f 7a 69 6c 6c 61 2f   -Agent: Mozilla/
 0090  35 2e 30 20 28 58 31 31 3b 20 55 3b 20 4c 69 6e   5.0 (X11; U; Lin
 00a0  75 78 20 69 36 38 36 3b 20 65 6e 2d 55 53 3b 20   ux i686; en-US; 
 00b0  72 76 3a 31 2e 33 29 20 47 65 63 6b 6f 2f 32 30   rv:1.3) Gecko/20
 00c0  30 33 30 33 31 34 0d 0a 41 63 63 65 70 74 3a 20   030314..Accept: 
 00d0  76 69 64 65 6f 2f 78 2d 6d 6e 67 2c 69 6d 61 67   video/x-mng,imag
 00e0  65 2f 70 6e 67 2c 69 6d 61 67 65 2f 6a 70 65 67   e/png,image/jpeg
 00f0  2c 69 6d 61 67 65 2f 67 69 66 3b 71 3d 30 2e 32   ,image/gif;q=0.2
 0100  2c 2a 2f 2a 3b 71 3d 30 2e 31 0d 0a 41 63 63 65   ,*/*;q=0.1..Acce
 0110  70 74 2d 4c 61 6e 67 75 61 67 65 3a 20 64 65 2d   pt-Language: de-
 0120  64 65 2c 65 6e 3b 71 3d 30 2e 37 2c 65 6e 2d 75   de,en;q=0.7,en-u
 0130  73 3b 71 3d 30 2e 33 0d 0a 41 63 63 65 70 74 2d   s;q=0.3..Accept-
 0140  45 6e 63 6f 64 69 6e 67 3a 20 67 7a 69 70 2c 64   Encoding: gzip,d
 0150  65 66 6c 61 74 65 2c 63 6f 6d 70 72 65 73 73 3b   eflate,compress;
 0160  71 3d 30 2e 39 0d 0a 41 63 63 65 70 74 2d 43 68   q=0.9..Accept-Ch
 0170  61 72 73 65 74 3a 20 49 53 4f 2d 38 38 35 39 2d   arset: ISO-8859-
 0180  31 2c 75 74 66 2d 38 3b 71 3d 30 2e 37 2c 2a 3b   1,utf-8;q=0.7,*;
 0190  71 3d 30 2e 37 0d 0a 4b 65 65 70 2d 41 6c 69 76   q=0.7..Keep-Aliv
 01a0  65 3a 20 33 30 30 0d 0a 43 6f 6e 6e 65 63 74 69   e: 300..Connecti
 01b0  6f 6e 3a 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a   on: keep-alive..
 01c0  52 65 66 65 72 65 72 3a 20 68 74 74 70 3a 2f 2f   Referer: http://
 01d0  77 77 77 2e 74 75 2d 63 68 65 6d 6e 69 74 7a 2e   www.tu-chemnitz.
 01e0  64 65 2f 0d 0a 0d 0a                              de/....

Diese Daten können dann auf verschiedene Arten exportiert werden. So ist es beispielsweise möglich, nur bestimmte Paketabschnitte (der textuellen Darstellung) in Dateien zu speichern oder auch direkt Binärdaten (empfangene Bytes) zu schreiben.

Außerdem bietet Ethereal die Möglichkeit, die gelesenen Daten in für andere Analysatoren lesbarer Form zu exportieren. Zu den unterstützten Formaten gehören z.B.:

  • libpcap-Format
  • Novell LANalyzer
  • Network Associates sniffer
  • Sun snoop
  • Microsoft network monitor 1.x/2.x
  • Visual networks traffic capture

[Bearbeiten] Hinweis

Der Einsatz von Ethereal ist den Nutzern im Netzwerk – besonders in Firmennetzen – mitzuteilen, da Ethereal in der Lage ist, alle transportierten Daten im Netzwerk mitzuprotokollieren. Dies beinhaltet auch unverschlüsselte Passwörter und digitale Briefe (E-Mails).

Ethereal kann aus diesem Grund auch nur vom Benutzer „root“ (das Hauptadministrator-Konto bei Linux) verwendet werden.

[Bearbeiten] Weblinks

  • Wireshark (englisch) – Entwickler-Webseite

[Bearbeiten] Quellen

Von „http://www.tuxfutter.de/wiki/Wireshark