Was ist Wireshark? Open Source Netzwerkanalyse

Mit diesem unverzichtbaren Open-Source-Tool können Sie Probleme bei der Netzwerkleistung in den Griff bekommen [...]

Foto: pixabay.com

Wireshark ist ein beliebtes, kostenloses und Open-Source Tool zur Paketaufzeichnung, das es Netzwerk– und Sicherheitsadministratoren ermöglicht, den durch ein Netzwerk fließenden Datenverkehr genauer zu analysieren. Wireshark kann für eine Vielzahl von Zwecken eingesetzt werden, z. B. zum Aufspüren von Sicherheitsproblemen, zur Behebung von Problemen mit der Netzwerkleistung, zur Optimierung des Datenverkehrs oder als Teil der Anwendungsentwicklung und des Testprozesses.

Was macht Wireshark?

Wireshark wird in erster Linie verwendet, um Datenpakete zu erfassen, die sich durch ein Netzwerk bewegen. Mit dem Tool können Benutzer Netzwerkschnittstellen-Controller (NICs) in den Promiscuous-Modus versetzen, um den meisten Datenverkehr zu beobachten, sogar Unicast-Datenverkehr, der nicht an die MAC-Adresse eines Controllers gesendet wird. Dies erfordert jedoch normalerweise Superuser-Berechtigungen und kann in einigen Netzwerken eingeschränkt sein.

Auch ohne diese Fähigkeit ist Wireshark in der Lage, die meisten Pakete, die durch ein Netzwerk fließen, auszuschnüffeln, unabhängig vom Betriebssystem, dem Netzwerkprotokoll, der Verschlüsselungsmethode oder dem Dateiformat.

Wireshark wurde ursprünglich für Solaris und Linux geschrieben, läuft aber inzwischen auf praktisch allen Betriebssystemen, einschließlich Windows und macOS. Der Quellcode ist auch für diejenigen verfügbar, die Wireshark für die Ausführung in einer bestimmten Umgebung anpassen möchten. Alle Versionen von Wireshark und der Quellcode sind vollständig Open Source und können kostenlos heruntergeladen werden.

Das Tool kann in Echtzeit Daten lesen, die durch ein Netzwerk oder Gerät fließen, mit allen gängigen Protokollen: kabelgebundenes Ethernet, drahtloses IEEE 802.11 [engl.], WAN-Protokoll PPP/HDLC, Bluetooth, USB usw.

Für verschlüsselten Datenverkehr bietet Wireshark automatische Entschlüsselung und Unterstützung für viele Protokolle wie IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP und WPA/WPA2.

Seit der neuesten Version von Wireshark werden auch die meisten Capture-Dateiformate unterstützt, so dass der Datenverkehr später analysiert werden kann. Dazu gehören tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer (komprimiert und unkomprimiert), Sniffer Pro, NetXray, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets, EtherPeek, TokenPeek, AiroPeek und andere. Die Ausgabe kann auch in XML-, PostScript-, CSV- oder einfache Textdateien exportiert werden.

Ist Wireshark einfach zu bedienen?

Es gibt zwei verschiedene Versionen des Tools. Die Dienstprogrammversion TShark verwendet eine Befehlszeilenschnittstelle ohne Grafiken. Die beliebtere Wireshark-Version verfügt über eine grafische Benutzeroberfläche und ist so konzipiert, dass sie von Personen mit unterschiedlichsten Kenntnissen verwendet werden kann, nicht nur von Experten oder Programmierern. Wireshark ist derzeit in der Version 3.6.5 verfügbar, und eine separate Entwicklungsversion mit der Nummer 3.7.0 wird derzeit von der Community entwickelt.

Die Tatsache, dass Wireshark ein kostenloses und Open Source-Programm ist, trägt sicherlich dazu bei, dass es heute eines der beliebtesten Tools seiner Art ist. Aber auch die grafische Benutzeroberfläche ist ein großer Pluspunkt, vor allem für diejenigen, die nicht in der Bedienung geübt sind oder denen die Befehlszeilenschnittstellen vieler Dienstprogramme einfach nicht gefallen.

Während Daten über alle Pakete und den Netzwerkverkehr für eine spätere Analyse zur Verfügung stehen, ermöglicht es die grafische Benutzeroberfläche den Benutzern, sich zurückzulehnen und zu beobachten, wie die Pakete in Echtzeit durch ihr Netzwerk fließen. Die Oberfläche selbst ist außerdem frei konfigurierbar.

Wireshark kann so eingestellt werden, dass bestimmte Pakete auf der Grundlage von Regeln, die bestimmten Feldern in Paketen entsprechen, farblich gekennzeichnet werden. Auf einer hohen Ebene könnte dies helfen, verschiedene Pakettypen zu trennen, was zeigen würde, wie ein Netzwerk genutzt wird. So könnten beispielsweise Voice-over-IP-Daten (VOIP) in der Schnittstelle mit einer Farbe gekennzeichnet werden, während verschlüsselte Datenpakete mit einer anderen Farbe gekennzeichnet werden könnten. Wireshark bietet einen umfassenden Satz von Regeln für die Einfärbung von Paketen, erlaubt es aber auch, eigene Regeln aufzustellen und die Standardwerte zu ändern.

Auf einer höheren Ebene kann Wireshark verwendet werden, um sehr spezifische Pakete zu finden und hervorzuheben, beispielsweise solche, die einem bekannten Angriffsmuster entsprechen. Dies macht es zu einem nützlichen Werkzeug bei der Suche nach Bedrohungen, wobei bestimmte Pakete rot (oder in einer anderen vom Benutzer gewünschten Farbe) hervorgehoben werden, um Ermittler über ihr Vorhandensein im Netzwerk zu informieren.

Wer hat Wireshark erstellt?

Das Tool wurde ursprünglich von Gerald Combs im Jahr 1998 entwickelt. Damals arbeitete er für einen kleinen Internet Service Provider (ISP) und brauchte eine Möglichkeit, den von den vielen Mietern dieses ISP erzeugten Verkehr zu analysieren und zu optimieren.

Damals, 1998, gab es zwar schon Paket- und Verkehrsanalysetools, aber die meisten von ihnen kosteten um die 1.500 Dollar, was für sein Unternehmen zu teuer war, um sie für ihn zu kaufen. Außerdem unterstützten die meisten kommerziellen Tools nicht Solaris und Linux, die von diesem ISP hauptsächlich verwendeten Servertypen.

Da die kommerziellen Programme entweder zu teuer waren oder nicht über die richtigen Funktionen verfügten, beschloss Combs, sein eigenes Tool zu entwickeln, um den Netzwerkverkehr zu analysieren und zu verbessern.

Was ist Ethereal?

Wireshark wurde ursprünglich Ethereal genannt. Obwohl Combs der Eigentümer des Quellcodes war, besaß er jedoch nicht das Urheberrecht für den Namen, das bei Network Integration Services lag.

Als er 2006 den Job wechselte, verwendete er den Großteil des Quellcodes, um Wireshark zu entwickeln, und änderte den Namen aufgrund des Urheberrechtsproblems. Eine Zeit lang wurden sowohl Ethereal als auch Wireshark parallel weiterentwickelt. Die Arbeit an Ethereal wurde jedoch inzwischen eingestellt, und in einem online veröffentlichten Ethereal-Sicherheitsbulletin wird den Benutzern nun empfohlen, zu Wireshark zu wechseln.

Während Combs immer noch eine sehr aktive Rolle bei der Entwicklung von Wireshark spielt, ist ein Großteil der Arbeit heute an eine aktive Gemeinschaft von Entwicklern und Programmierern übergeben worden, die das Tool unterstützen. Diese Bemühungen ähneln denen, die andere äußerst beliebte Open Source-Netzwerk-Tools wie Nmap unterstützen.

Die Wireshark-Community veranstaltet sogar jedes Jahr ein SharkFest, um neue Entwicklungen des Open Source Utility-Tools zu diskutieren und zu feiern. Die letzte SharkFest-Veranstaltung im September 2021 war virtuell, und Combs war dabei der Hauptredner [YouTube Video, englisch].

Die Zukunft von Wireshark

Während Combs immer noch sehr aktiv an der Weiterentwicklung des Tools arbeitet und es relevant hält, ist es auch klar, dass die Entwicklung von Wireshark wahrscheinlich über das hinausgeht, was ein einzelner Programmierer leisten könnte.

Zum Glück für Wireshark hat sich eine lebendige Gemeinschaft talentierter Programmierer gefunden, die dazu beiträgt, dass das 24 Jahre alte Tool nicht nur relevant bleibt, sondern sich in vielen Fällen als das führende Tool für die Paketaufzeichnung und Verkehrsanalyse etabliert hat. Auf der Autorenseite für Wireshark sind inzwischen Hunderte von Namen aufgeführt.

Und nicht jeder in der Wireshark-Community ist ein Programmierer. Laut der Wireshark-Website werden die meisten Community-Mitglieder in drei Gruppen eingeteilt. Zunächst gibt es die Entwickler, die durch die Verbesserung von Wireshark und den damit verbundenen Diensten einen Mehrwert für das Projekt schaffen. Dann gibt es die Ausbilder, die den Menschen beibringen, wie man Wireshark benutzt und Netzwerke analysiert. Und schließlich besteht die Gemeinschaft aus den Benutzern, die Wireshark verwenden, um mehr über ihre Netzwerke zu erfahren und sie zu analysieren.

Die Wireshark-Community ist sehr aktiv und legt im Gegensatz zu anderen Online-Communities großen Wert auf die Durchsetzung eines Verhaltenskodexes unter ihren Mitgliedern. Der Verhaltenskodex ist keineswegs einschränkend, sondern wird von der Benutzergemeinschaft angenommen, was wahrscheinlich einer der Gründe dafür ist, dass die Wireshark-Community weiterhin floriert und wächst.

Die Gemeinschaft wird auch durch Blogs und verschiedene Social-Media-Plattformen wie Twitter unterstützt und über die Entwicklungen des Programms auf dem Laufenden gehalten. Und obwohl die Anwendung Open Source ist und kostenlos heruntergeladen und verwendet werden kann, wird Wireshark auch von einigen Unternehmen unterstützt, die über die Wireshark Foundation zu Bildungs- und Outreach-Programmen beitragen.

Die Kombination aus einem äußerst nützlichen und effizienten Tool, einer benutzerfreundlichen grafischen Oberfläche und einer aktiven Gemeinschaft von Programmierern, Pädagogen und Benutzern sorgt dafür, dass Wireshark stets am Puls der Zeit ist.

*John Breeden II ist ein prämierter Journalist und Rezensent mit über 20 Jahren Erfahrung in der Technologieberichterstattung. Er ist der CEO des Tech Writers Bureau, einer Gruppe, die technologische Vordenker-Inhalte für Unternehmen aller Größenordnungen erstellt.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*