Was ist Wireshark? Open Source Netzwerkanalyse

Mit diesem unverzichtbaren Open-Source-Tool können Sie Probleme bei der Netzwerkleistung in den Griff bekommen [...]

Foto: pixabay.com

Wireshark ist ein beliebtes, kostenloses und Open-Source Tool zur Paketaufzeichnung, das es Netzwerk– und Sicherheitsadministratoren ermöglicht, den durch ein Netzwerk fließenden Datenverkehr genauer zu analysieren. Wireshark kann für eine Vielzahl von Zwecken eingesetzt werden, z. B. zum Aufspüren von Sicherheitsproblemen, zur Behebung von Problemen mit der Netzwerkleistung, zur Optimierung des Datenverkehrs oder als Teil der Anwendungsentwicklung und des Testprozesses.

Was macht Wireshark?

Wireshark wird in erster Linie verwendet, um Datenpakete zu erfassen, die sich durch ein Netzwerk bewegen. Mit dem Tool können Benutzer Netzwerkschnittstellen-Controller (NICs) in den Promiscuous-Modus versetzen, um den meisten Datenverkehr zu beobachten, sogar Unicast-Datenverkehr, der nicht an die MAC-Adresse eines Controllers gesendet wird. Dies erfordert jedoch normalerweise Superuser-Berechtigungen und kann in einigen Netzwerken eingeschränkt sein.

Auch ohne diese Fähigkeit ist Wireshark in der Lage, die meisten Pakete, die durch ein Netzwerk fließen, auszuschnüffeln, unabhängig vom Betriebssystem, dem Netzwerkprotokoll, der Verschlüsselungsmethode oder dem Dateiformat.

Wireshark wurde ursprünglich für Solaris und Linux geschrieben, läuft aber inzwischen auf praktisch allen Betriebssystemen, einschließlich Windows und macOS. Der Quellcode ist auch für diejenigen verfügbar, die Wireshark für die Ausführung in einer bestimmten Umgebung anpassen möchten. Alle Versionen von Wireshark und der Quellcode sind vollständig Open Source und können kostenlos heruntergeladen werden.

Das Tool kann in Echtzeit Daten lesen, die durch ein Netzwerk oder Gerät fließen, mit allen gängigen Protokollen: kabelgebundenes Ethernet, drahtloses IEEE 802.11 [engl.], WAN-Protokoll PPP/HDLC, Bluetooth, USB usw.

Für verschlüsselten Datenverkehr bietet Wireshark automatische Entschlüsselung und Unterstützung für viele Protokolle wie IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP und WPA/WPA2.

Seit der neuesten Version von Wireshark werden auch die meisten Capture-Dateiformate unterstützt, so dass der Datenverkehr später analysiert werden kann. Dazu gehören tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer (komprimiert und unkomprimiert), Sniffer Pro, NetXray, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets, EtherPeek, TokenPeek, AiroPeek und andere. Die Ausgabe kann auch in XML-, PostScript-, CSV- oder einfache Textdateien exportiert werden.

Ist Wireshark einfach zu bedienen?

Es gibt zwei verschiedene Versionen des Tools. Die Dienstprogrammversion TShark verwendet eine Befehlszeilenschnittstelle ohne Grafiken. Die beliebtere Wireshark-Version verfügt über eine grafische Benutzeroberfläche und ist so konzipiert, dass sie von Personen mit unterschiedlichsten Kenntnissen verwendet werden kann, nicht nur von Experten oder Programmierern. Wireshark ist derzeit in der Version 3.6.5 verfügbar, und eine separate Entwicklungsversion mit der Nummer 3.7.0 wird derzeit von der Community entwickelt.

Die Tatsache, dass Wireshark ein kostenloses und Open Source-Programm ist, trägt sicherlich dazu bei, dass es heute eines der beliebtesten Tools seiner Art ist. Aber auch die grafische Benutzeroberfläche ist ein großer Pluspunkt, vor allem für diejenigen, die nicht in der Bedienung geübt sind oder denen die Befehlszeilenschnittstellen vieler Dienstprogramme einfach nicht gefallen.

Während Daten über alle Pakete und den Netzwerkverkehr für eine spätere Analyse zur Verfügung stehen, ermöglicht es die grafische Benutzeroberfläche den Benutzern, sich zurückzulehnen und zu beobachten, wie die Pakete in Echtzeit durch ihr Netzwerk fließen. Die Oberfläche selbst ist außerdem frei konfigurierbar.

Wireshark kann so eingestellt werden, dass bestimmte Pakete auf der Grundlage von Regeln, die bestimmten Feldern in Paketen entsprechen, farblich gekennzeichnet werden. Auf einer hohen Ebene könnte dies helfen, verschiedene Pakettypen zu trennen, was zeigen würde, wie ein Netzwerk genutzt wird. So könnten beispielsweise Voice-over-IP-Daten (VOIP) in der Schnittstelle mit einer Farbe gekennzeichnet werden, während verschlüsselte Datenpakete mit einer anderen Farbe gekennzeichnet werden könnten. Wireshark bietet einen umfassenden Satz von Regeln für die Einfärbung von Paketen, erlaubt es aber auch, eigene Regeln aufzustellen und die Standardwerte zu ändern.

Auf einer höheren Ebene kann Wireshark verwendet werden, um sehr spezifische Pakete zu finden und hervorzuheben, beispielsweise solche, die einem bekannten Angriffsmuster entsprechen. Dies macht es zu einem nützlichen Werkzeug bei der Suche nach Bedrohungen, wobei bestimmte Pakete rot (oder in einer anderen vom Benutzer gewünschten Farbe) hervorgehoben werden, um Ermittler über ihr Vorhandensein im Netzwerk zu informieren.

Wer hat Wireshark erstellt?

Das Tool wurde ursprünglich von Gerald Combs im Jahr 1998 entwickelt. Damals arbeitete er für einen kleinen Internet Service Provider (ISP) und brauchte eine Möglichkeit, den von den vielen Mietern dieses ISP erzeugten Verkehr zu analysieren und zu optimieren.

Damals, 1998, gab es zwar schon Paket- und Verkehrsanalysetools, aber die meisten von ihnen kosteten um die 1.500 Dollar, was für sein Unternehmen zu teuer war, um sie für ihn zu kaufen. Außerdem unterstützten die meisten kommerziellen Tools nicht Solaris und Linux, die von diesem ISP hauptsächlich verwendeten Servertypen.

Da die kommerziellen Programme entweder zu teuer waren oder nicht über die richtigen Funktionen verfügten, beschloss Combs, sein eigenes Tool zu entwickeln, um den Netzwerkverkehr zu analysieren und zu verbessern.

Was ist Ethereal?

Wireshark wurde ursprünglich Ethereal genannt. Obwohl Combs der Eigentümer des Quellcodes war, besaß er jedoch nicht das Urheberrecht für den Namen, das bei Network Integration Services lag.

Als er 2006 den Job wechselte, verwendete er den Großteil des Quellcodes, um Wireshark zu entwickeln, und änderte den Namen aufgrund des Urheberrechtsproblems. Eine Zeit lang wurden sowohl Ethereal als auch Wireshark parallel weiterentwickelt. Die Arbeit an Ethereal wurde jedoch inzwischen eingestellt, und in einem online veröffentlichten Ethereal-Sicherheitsbulletin wird den Benutzern nun empfohlen, zu Wireshark zu wechseln.

Während Combs immer noch eine sehr aktive Rolle bei der Entwicklung von Wireshark spielt, ist ein Großteil der Arbeit heute an eine aktive Gemeinschaft von Entwicklern und Programmierern übergeben worden, die das Tool unterstützen. Diese Bemühungen ähneln denen, die andere äußerst beliebte Open Source-Netzwerk-Tools wie Nmap unterstützen.

Die Wireshark-Community veranstaltet sogar jedes Jahr ein SharkFest, um neue Entwicklungen des Open Source Utility-Tools zu diskutieren und zu feiern. Die letzte SharkFest-Veranstaltung im September 2021 war virtuell, und Combs war dabei der Hauptredner [YouTube Video, englisch].

Die Zukunft von Wireshark

Während Combs immer noch sehr aktiv an der Weiterentwicklung des Tools arbeitet und es relevant hält, ist es auch klar, dass die Entwicklung von Wireshark wahrscheinlich über das hinausgeht, was ein einzelner Programmierer leisten könnte.

Zum Glück für Wireshark hat sich eine lebendige Gemeinschaft talentierter Programmierer gefunden, die dazu beiträgt, dass das 24 Jahre alte Tool nicht nur relevant bleibt, sondern sich in vielen Fällen als das führende Tool für die Paketaufzeichnung und Verkehrsanalyse etabliert hat. Auf der Autorenseite für Wireshark sind inzwischen Hunderte von Namen aufgeführt.

Und nicht jeder in der Wireshark-Community ist ein Programmierer. Laut der Wireshark-Website werden die meisten Community-Mitglieder in drei Gruppen eingeteilt. Zunächst gibt es die Entwickler, die durch die Verbesserung von Wireshark und den damit verbundenen Diensten einen Mehrwert für das Projekt schaffen. Dann gibt es die Ausbilder, die den Menschen beibringen, wie man Wireshark benutzt und Netzwerke analysiert. Und schließlich besteht die Gemeinschaft aus den Benutzern, die Wireshark verwenden, um mehr über ihre Netzwerke zu erfahren und sie zu analysieren.

Die Wireshark-Community ist sehr aktiv und legt im Gegensatz zu anderen Online-Communities großen Wert auf die Durchsetzung eines Verhaltenskodexes unter ihren Mitgliedern. Der Verhaltenskodex ist keineswegs einschränkend, sondern wird von der Benutzergemeinschaft angenommen, was wahrscheinlich einer der Gründe dafür ist, dass die Wireshark-Community weiterhin floriert und wächst.

Die Gemeinschaft wird auch durch Blogs und verschiedene Social-Media-Plattformen wie Twitter unterstützt und über die Entwicklungen des Programms auf dem Laufenden gehalten. Und obwohl die Anwendung Open Source ist und kostenlos heruntergeladen und verwendet werden kann, wird Wireshark auch von einigen Unternehmen unterstützt, die über die Wireshark Foundation zu Bildungs- und Outreach-Programmen beitragen.

Die Kombination aus einem äußerst nützlichen und effizienten Tool, einer benutzerfreundlichen grafischen Oberfläche und einer aktiven Gemeinschaft von Programmierern, Pädagogen und Benutzern sorgt dafür, dass Wireshark stets am Puls der Zeit ist.

*John Breeden II ist ein prämierter Journalist und Rezensent mit über 20 Jahren Erfahrung in der Technologieberichterstattung. Er ist der CEO des Tech Writers Bureau, einer Gruppe, die technologische Vordenker-Inhalte für Unternehmen aller Größenordnungen erstellt.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*