8. Juni 2022 John Breeden II*

Was ist Wireshark? Open Source Netzwerkanalyse

Mit diesem unverzichtbaren Open-Source-Tool können Sie Probleme bei der Netzwerkleistung in den Griff bekommen [...]

Foto: pixabay.com

Wireshark ist ein beliebtes, kostenloses und Open-Source Tool zur Paketaufzeichnung, das es Netzwerk– und Sicherheitsadministratoren ermöglicht, den durch ein Netzwerk fließenden Datenverkehr genauer zu analysieren. Wireshark kann für eine Vielzahl von Zwecken eingesetzt werden, z. B. zum Aufspüren von Sicherheitsproblemen, zur Behebung von Problemen mit der Netzwerkleistung, zur Optimierung des Datenverkehrs oder als Teil der Anwendungsentwicklung und des Testprozesses.

Was macht Wireshark?

Wireshark wird in erster Linie verwendet, um Datenpakete zu erfassen, die sich durch ein Netzwerk bewegen. Mit dem Tool können Benutzer Netzwerkschnittstellen-Controller (NICs) in den Promiscuous-Modus versetzen, um den meisten Datenverkehr zu beobachten, sogar Unicast-Datenverkehr, der nicht an die MAC-Adresse eines Controllers gesendet wird. Dies erfordert jedoch normalerweise Superuser-Berechtigungen und kann in einigen Netzwerken eingeschränkt sein.

Auch ohne diese Fähigkeit ist Wireshark in der Lage, die meisten Pakete, die durch ein Netzwerk fließen, auszuschnüffeln, unabhängig vom Betriebssystem, dem Netzwerkprotokoll, der Verschlüsselungsmethode oder dem Dateiformat.

Wireshark wurde ursprünglich für Solaris und Linux geschrieben, läuft aber inzwischen auf praktisch allen Betriebssystemen, einschließlich Windows und macOS. Der Quellcode ist auch für diejenigen verfügbar, die Wireshark für die Ausführung in einer bestimmten Umgebung anpassen möchten. Alle Versionen von Wireshark und der Quellcode sind vollständig Open Source und können kostenlos heruntergeladen werden.

Das Tool kann in Echtzeit Daten lesen, die durch ein Netzwerk oder Gerät fließen, mit allen gängigen Protokollen: kabelgebundenes Ethernet, drahtloses IEEE 802.11 [engl.], WAN-Protokoll PPP/HDLC, Bluetooth, USB usw.

Für verschlüsselten Datenverkehr bietet Wireshark automatische Entschlüsselung und Unterstützung für viele Protokolle wie IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP und WPA/WPA2.

Seit der neuesten Version von Wireshark werden auch die meisten Capture-Dateiformate unterstützt, so dass der Datenverkehr später analysiert werden kann. Dazu gehören tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer (komprimiert und unkomprimiert), Sniffer Pro, NetXray, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets, EtherPeek, TokenPeek, AiroPeek und andere. Die Ausgabe kann auch in XML-, PostScript-, CSV- oder einfache Textdateien exportiert werden.

Ist Wireshark einfach zu bedienen?

Es gibt zwei verschiedene Versionen des Tools. Die Dienstprogrammversion TShark verwendet eine Befehlszeilenschnittstelle ohne Grafiken. Die beliebtere Wireshark-Version verfügt über eine grafische Benutzeroberfläche und ist so konzipiert, dass sie von Personen mit unterschiedlichsten Kenntnissen verwendet werden kann, nicht nur von Experten oder Programmierern. Wireshark ist derzeit in der Version 3.6.5 verfügbar, und eine separate Entwicklungsversion mit der Nummer 3.7.0 wird derzeit von der Community entwickelt.

Die Tatsache, dass Wireshark ein kostenloses und Open Source-Programm ist, trägt sicherlich dazu bei, dass es heute eines der beliebtesten Tools seiner Art ist. Aber auch die grafische Benutzeroberfläche ist ein großer Pluspunkt, vor allem für diejenigen, die nicht in der Bedienung geübt sind oder denen die Befehlszeilenschnittstellen vieler Dienstprogramme einfach nicht gefallen.

Während Daten über alle Pakete und den Netzwerkverkehr für eine spätere Analyse zur Verfügung stehen, ermöglicht es die grafische Benutzeroberfläche den Benutzern, sich zurückzulehnen und zu beobachten, wie die Pakete in Echtzeit durch ihr Netzwerk fließen. Die Oberfläche selbst ist außerdem frei konfigurierbar.

Wireshark kann so eingestellt werden, dass bestimmte Pakete auf der Grundlage von Regeln, die bestimmten Feldern in Paketen entsprechen, farblich gekennzeichnet werden. Auf einer hohen Ebene könnte dies helfen, verschiedene Pakettypen zu trennen, was zeigen würde, wie ein Netzwerk genutzt wird. So könnten beispielsweise Voice-over-IP-Daten (VOIP) in der Schnittstelle mit einer Farbe gekennzeichnet werden, während verschlüsselte Datenpakete mit einer anderen Farbe gekennzeichnet werden könnten. Wireshark bietet einen umfassenden Satz von Regeln für die Einfärbung von Paketen, erlaubt es aber auch, eigene Regeln aufzustellen und die Standardwerte zu ändern.

Auf einer höheren Ebene kann Wireshark verwendet werden, um sehr spezifische Pakete zu finden und hervorzuheben, beispielsweise solche, die einem bekannten Angriffsmuster entsprechen. Dies macht es zu einem nützlichen Werkzeug bei der Suche nach Bedrohungen, wobei bestimmte Pakete rot (oder in einer anderen vom Benutzer gewünschten Farbe) hervorgehoben werden, um Ermittler über ihr Vorhandensein im Netzwerk zu informieren.

Wer hat Wireshark erstellt?

Das Tool wurde ursprünglich von Gerald Combs im Jahr 1998 entwickelt. Damals arbeitete er für einen kleinen Internet Service Provider (ISP) und brauchte eine Möglichkeit, den von den vielen Mietern dieses ISP erzeugten Verkehr zu analysieren und zu optimieren.

Damals, 1998, gab es zwar schon Paket- und Verkehrsanalysetools, aber die meisten von ihnen kosteten um die 1.500 Dollar, was für sein Unternehmen zu teuer war, um sie für ihn zu kaufen. Außerdem unterstützten die meisten kommerziellen Tools nicht Solaris und Linux, die von diesem ISP hauptsächlich verwendeten Servertypen.

Da die kommerziellen Programme entweder zu teuer waren oder nicht über die richtigen Funktionen verfügten, beschloss Combs, sein eigenes Tool zu entwickeln, um den Netzwerkverkehr zu analysieren und zu verbessern.

Was ist Ethereal?

Wireshark wurde ursprünglich Ethereal genannt. Obwohl Combs der Eigentümer des Quellcodes war, besaß er jedoch nicht das Urheberrecht für den Namen, das bei Network Integration Services lag.

Als er 2006 den Job wechselte, verwendete er den Großteil des Quellcodes, um Wireshark zu entwickeln, und änderte den Namen aufgrund des Urheberrechtsproblems. Eine Zeit lang wurden sowohl Ethereal als auch Wireshark parallel weiterentwickelt. Die Arbeit an Ethereal wurde jedoch inzwischen eingestellt, und in einem online veröffentlichten Ethereal-Sicherheitsbulletin wird den Benutzern nun empfohlen, zu Wireshark zu wechseln.

Während Combs immer noch eine sehr aktive Rolle bei der Entwicklung von Wireshark spielt, ist ein Großteil der Arbeit heute an eine aktive Gemeinschaft von Entwicklern und Programmierern übergeben worden, die das Tool unterstützen. Diese Bemühungen ähneln denen, die andere äußerst beliebte Open Source-Netzwerk-Tools wie Nmap unterstützen.

Die Wireshark-Community veranstaltet sogar jedes Jahr ein SharkFest, um neue Entwicklungen des Open Source Utility-Tools zu diskutieren und zu feiern. Die letzte SharkFest-Veranstaltung im September 2021 war virtuell, und Combs war dabei der Hauptredner [YouTube Video, englisch].

Die Zukunft von Wireshark

Während Combs immer noch sehr aktiv an der Weiterentwicklung des Tools arbeitet und es relevant hält, ist es auch klar, dass die Entwicklung von Wireshark wahrscheinlich über das hinausgeht, was ein einzelner Programmierer leisten könnte.

Zum Glück für Wireshark hat sich eine lebendige Gemeinschaft talentierter Programmierer gefunden, die dazu beiträgt, dass das 24 Jahre alte Tool nicht nur relevant bleibt, sondern sich in vielen Fällen als das führende Tool für die Paketaufzeichnung und Verkehrsanalyse etabliert hat. Auf der Autorenseite für Wireshark sind inzwischen Hunderte von Namen aufgeführt.

Und nicht jeder in der Wireshark-Community ist ein Programmierer. Laut der Wireshark-Website werden die meisten Community-Mitglieder in drei Gruppen eingeteilt. Zunächst gibt es die Entwickler, die durch die Verbesserung von Wireshark und den damit verbundenen Diensten einen Mehrwert für das Projekt schaffen. Dann gibt es die Ausbilder, die den Menschen beibringen, wie man Wireshark benutzt und Netzwerke analysiert. Und schließlich besteht die Gemeinschaft aus den Benutzern, die Wireshark verwenden, um mehr über ihre Netzwerke zu erfahren und sie zu analysieren.

Die Wireshark-Community ist sehr aktiv und legt im Gegensatz zu anderen Online-Communities großen Wert auf die Durchsetzung eines Verhaltenskodexes unter ihren Mitgliedern. Der Verhaltenskodex ist keineswegs einschränkend, sondern wird von der Benutzergemeinschaft angenommen, was wahrscheinlich einer der Gründe dafür ist, dass die Wireshark-Community weiterhin floriert und wächst.

Die Gemeinschaft wird auch durch Blogs und verschiedene Social-Media-Plattformen wie Twitter unterstützt und über die Entwicklungen des Programms auf dem Laufenden gehalten. Und obwohl die Anwendung Open Source ist und kostenlos heruntergeladen und verwendet werden kann, wird Wireshark auch von einigen Unternehmen unterstützt, die über die Wireshark Foundation zu Bildungs- und Outreach-Programmen beitragen.

Die Kombination aus einem äußerst nützlichen und effizienten Tool, einer benutzerfreundlichen grafischen Oberfläche und einer aktiven Gemeinschaft von Programmierern, Pädagogen und Benutzern sorgt dafür, dass Wireshark stets am Puls der Zeit ist.

*John Breeden II ist ein prämierter Journalist und Rezensent mit über 20 Jahren Erfahrung in der Technologieberichterstattung. Er ist der CEO des Tech Writers Bureau, einer Gruppe, die technologische Vordenker-Inhalte für Unternehmen aller Größenordnungen erstellt.


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Christoph Mutz, Senior Product Marketing Manager, AME, Western Digital (c) AME Western Digital
Interview

Speicherlösungen für Autos von morgen

19. September 2024 Klaus Lorbeer

Autos sind fahrende Computer. Sie werden immer intelligenter und generieren dabei jede Menge Daten. Damit gewinnen auch hochwertige Speicherlösungen im Fahrzeug an Bedeutung. Christoph Mutz von Western Digital verrät im Interview, welche Speicherherausforderungen auf Autohersteller und -zulieferer zukommen. […]

Andreas Schoder ist Leiter Cloud & Managend Services bei next layer, Alexandros Osyos ist Senior Produkt Manager bei next layer. (c) next layer
Interview

Fokus auf österreichische Kunden

19. September 2024 Klaus Lorbeer

Der österreichische Backup-Experte next layer bietet umfassendes Cloud-Backup in seinen Wiener Rechenzentren. Im Interview mit ITWelt.at erläutern Andreas Schoder, Leiter Cloud & Managed Services, und Alexandros Osyos, Senior Produkt Manager, worauf Unternehmen beim Backup achten müssen und welche Produkte und Dienstleistungen next layer bietet. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*