Mit den sogenannten Protocol Dissectors setzt sich Wireshark vom Rest des Sniffer-Feldes ab. Es enthält eine ganze Reihe dieser Module, die spezifische Abfragen für ein bestimmtes Netzwerkprotokoll erlauben. Für alle wichtigen Netzwerkprotokolle wie SSH, Telnet, NTP ( Abbildung 1 ) und so weiter kann Wireshark die mitgeschnittenen Daten nicht nur übersichtlich aufbereiten, sondern erlaubt auch protokollspezifische Filter. Damit sind nicht nur Filter möglich, die den Datenverkehr auf beispielsweise Webtraffic beschränken,
tcp.dstport == 80 or tcp.dstport == 443
sondern auch die Suche nach Elementen innerhalb eines Protokolls, wie dem Response-Code einer HTTP-Anfrage. Das folgende Beispiel zeigt nur alle Daten mit einem 404-Error-Code:
http.response.code == 404
Oder Sie lassen sich alle Daten anzeigen, in denen ein HTTP-Cookie mit dem String
»sessionid
«
gesetzt wird:
http.cookie contains "sessionid"
Bei der letzten Zählung hatte Wireshark etwa 1000 Protokoll-Dissektoren, auch wenn nicht alle so vollständig sind wie der für HTTP. Leider stellen sie mit über 80 Sicherheitslücken [5] auch ein signifikantes Sicherheitsrisiko dar, das vom einfachen Denial-of-Service bis zu Buffer Overflows mit Code-Ausführung reicht.
Wiresharp unterstützt auch GeoIP und verwendet dazu Bibliotheken, die auf die GeoIP-Datenbanken von Maxmind zurückgreifen. Neben der kommerziellen, kostenpflichtigen Datenbank bietet Maxmind auch eine freie Version mit etwas weniger Genauigkeit an. Damit steht Abfragen wie der folgenden nichts mehr im Weg:
ip and ip.geoip.country == "China"
So können Sie in Wireshark den Traffic beispielsweise nach einem bestimmten Land filtern.
Wenn Sie Wireshark nicht rund um die Uhr laufen lassen, müssen Sie beim Auftreten von Netzwerkproblemen versuchen, das Problem zu reproduzieren, was sich normalerweise als ziemlich schwierig entpuppt. Die gute Nachricht ist, dass Festplatten mittlerweile so billig sind, dass Sie den Traffic wirklich 24 Stunden am Tag mitschneiden können. Festplatten mit einer Kapazität von 1 Terabyte gibt es schon für unter 100 Euro, und wenn Sie 30 GByte am Tag mitschneiden, können Sie das mit einer solchen Platte 30 Tage lang tun.