Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Wireshark praktisch

Das Ergebnisfenster zeigt hauptsächlich häufig wiederkehrende Pakete, die stets zur gleichen Protokoll-Gruppe gehören wie etwa Cups-Broadcast, IGMP-Pakete, DHCP-Anforderungen oder ARP-Anfragen, mit deren Hilfe die Netzwerkinterfaces die zu einer IP gehörende MAC-Adresse ermitteln. Außerdem tauschen Router oder Switches untereinander Informationen aus, ebenso wie Samba- oder Windows-Hosts Browser-Nachrichten im Netz verbreiten: alles Vorgänge, die man getrost als "normalen" Netzwerkverkehr betrachten darf.

Bei diesem einfachen Beispiel fällt aber auch auf, dass der lokale Host, der im Beispiel die IP-Adresse 192.168.0.30 hat, SIP-Pakete an das Ziel 66.151.151.20 sendet. Da auf dem betreffenden Rechner aber keine Internet-Telefonie zum Einsatz kommt, forschen wir weiter nach. Ein Doppelklick auf das Paket öffnet ein neues Wireshark-Fenster mit einer Detailansicht, dessen Titel aus Quell-IP, Ziel-IP, Protokoll und Infotext besteht.

Schon aus der Info-Spalte in der Listenansicht geht hervor, dass SIP-Anfragen an die Webseite »sip.sightspeed.com« gerichtet sind. Ein Klick auf das Pluszeichen im Detailfenster bei »Session Initiation Protocol« bestätigt den Sachverhalt. Zurück im Hauptfenster lässt sich per Rechtsklick auf das betreffende Paket aus dem Kontextmenü mit »Apply as Filter« direkt ein Display-Filter erstellen. Sollen alle Pakete von oder an diesen Host untersucht werden, ist der Menü-Eintrag »Selected« die richtige Wahl. Wireshark zeigt die Syntax des so erstellten Display-Filters in der Filter-Zeile oben grün hinterlegt an.

ip.src == 192.168.0.30

Wendet man den Filter mit »Apply« an, zeigt Wireshark nur noch Pakete von oder zu dieser Station an.

Der Service »sip.sightspeed.com« wird von der Firma Logitech betrieben, was nach weiterer Nachforschung den folgenden Sachverhalt aufdeckte: Der Nutzer des Arbeitsplatzes hatte vor einiger Zeit eine Webcam installiert, deren mitgelieferte Software unter anderem Logitechs eigene Videotelefonie-Lösung Vid HD den US amerikanischen Videotelefonie-Provider Sightspeed nutzt. Zu diesem Fall ist noch zu bemerken, dass Wireshark im Menü »Telephony« eine Reihe leistungsfähiger Funktionen und Filter explizit zum Analysieren von Telefonie-Problemen mitbringt.

Filter nutzen

Nutzt der Admin keinen Filter, zeichnet Wireshark den kompletten Datenverkehr auf und präsentiert als Ergebnis dann auch alle Pakete, die für das ganz alltägliche Management im Netzwerk notwendig sind wie etwa ARP-Requests, NetBIOS- und Cups-Broadcast sowie IGMP- und STP-Pakete (Spanning Tree Protocol). Im Bezug auf die Netzwerkanalyse sind solche Pakete meist nicht relevant, es sei denn der Admin vermutet einen Hacker-Angriff mittels ARP-Poisoning. Daher empfiehlt es sich, solche Pakete mithilfe eines Capture-Filters unmittelbar bei der Aufzeichnung auszufiltern, wozu der Admin den Dialog »Capture | Options« erneut aufruft und rechts neben der Schaltfläche »Capture-Filter« einen Capture-Filter gemäß der oben beschriebenen libpcap-Syntax einträgt. Mit

host IP-Adresse

beschränkt er das aufkommende Datenvolumen ausschließlich auf Pakete, die von oder zum Host mit der angegebenen IP-Adresse fließen (Abbildung 4).

Abbildung 4: Capture-Filter lassen sich direkt im Options-Dialog formulieren.

Möchte er die erwähnten Management-Pakete ausschließen, genügt ein

host IP-Adresse and not arp and not igmp

Zahleiche weitere nützliche Praxisbeispiele für Capture-Filter [2] und Display-Filter [3] finden sich im Wireshark-Wiki [4]. Ein sehr gutes Handbuch hat außerdem Ludwig Hein von Lupocom verfasst [5]. Trotz relativ gut verständlicher und gut dokumentierter Syntax ist das Erstellen von Filtern eine komplexe Angelegenheit. Wireshark unterstützt den Admin dazu mit einer Filter-Toolbar im Menü »Analyze | Display Filters« .

Das Tool erlaubt neben der Auswahl einer ganzen Reihe vordefinierter Display-Filter mit der »New« -Schaltfläche auch die direkte Eingabe von Filterausdrücken. Der Admin kann mit einem Klick auf die Schaltfläche »Expression« seinen Wunschfilter so im Dialog-Verfahren zusammenklicken (Abbildung 5). Zwar gibt es analog für Capture-Filter einen Menüeintrag »Capture | Capture-Filters« , dieser bietet allerdings keine Expression-Schaltfläche.

Abbildung 5: Display-Filter lassen sich in Wireshark auch im Dialog-Verfahren zusammenklicken.

Der Filter-Dialog zeigt übrigens nicht nur die verfügbaren Protokollfelder an, sondern auch die mit dem jeweiligen Protokoll anwendbaren Operatoren, die der erfahrene Admin zu individuellen Ausdrücken kombinieren kann. Mit »OK« überträgt er den Ausdruck dann in die Filterliste, um ihn dort auszuwählen und mit »Apply« anzuwenden.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019