Wireshark – Paketanalyse

Wireshark ist die wohl am weitest verbreitete und auch bekannteste Anwendung zur Analyse von Netzwerkverkehr an modernen Netzwerken.
Wireshark ist kostenlos und erhältlich unter der gleichnamigen Internetseite:
https://www.wireshark.org/

Die Original Dokumentation gibt es hier:
https://www.wireshark.org/download/docs/user-guide.pdf

Ein gutes Fachbuch kann ich hier empfehlen (Es gibt leider kaum Literatur zur aktuellen Wireshark Version), das u.g. Buch mit Link zu Amazon empfehle ich wegen der guten Labs:

Bitte installieren Sie Wireshark nur, wenn Sie von Ihrer Administration die Erlaubnis hierzu erhalten haben. Es handelt sich ja um ein Program zur Datenerfassung, deshalb muss der Einsatz vorab rechtlich geprüft werden.

Wireshark

Die Anwendung der Programmes ist in den letzten Jahren immer komplexer geworden. Um die angezeigten Daten zu verstehen, sollten Sie die wichtigsten Netzwerkprotokolle im Detail kennen.
Hier ein Beispiel eines IP-Datagrammes:

Kleiner Exkurs TCP/IP

Das Internet Protocol (IP) ist ein Netzwerkschichtprotokoll, welches Adressierungs- und Kontrollinformationen für das Routing enthält. IPV4 ist in der RFC 791 dokumentiert. Zusammen mit dem Transmission Control Protocol (TCP) bildet das IP den Hauptbestandteil der TCP/IP Suite.
Das IP hat zwei Hauptaufgaben:

  1. es soll eine verbindungslose, effiziente Auslieferung von Datagrammen gewährleisten
  2. die Fragmentierung auf dem Übertragungsweg
  3. die Refragmentierung in den Zielsystemen

Eigenschaften von IP

IP ist unzuverlässig, es kann also nur versuchen das Paket abzuliefern. IP-Datagramme können auf dem Weg zum Ziel verloren gehen, aus der Reihenfolge geraten, dupliziert oder stark verzögert werden. Beim Empfang der Pakete werden innerhalb der IP-Schicht keine Bestätigungen versendet, so das der Sender keine Informationen über verlorene oder ausserhalb der Reihenfolge gesendete Pakete bekommt. Dies ist dann Aufgabe der höheren Schichten wie z.B. TCP.

IP Pakete auswerten

Wireshark zeigt die Bestandteile der Protokolle im Klartext strukturiert an. Der IP Header (Protokollkopf) ist in der Version 4 wie folgt aufgebaut:

Kursangebot

Ein Wireshark Kurs sollte idealerweise 3 Tage dauern. So haben wir ausreichend Zeit die Protokolle, deren Funktionen und Eigenschaften als auch die Wiresharkanalyse ausführlich zu besprechen. Ich biete Ihnen eine Schulung nach Terminabsprache gerne an, oder Sie buchen mich über einen meiner Schulungspartner. Sollten Sie im Internet einen Schulungsbieter zu Wireshark finden, der Ihnen zusagt, so ist es auch sehr wahrscheinlich, dass wir uns auf diesem Wege kennenlernen werden 🙂

E-Learning – Remote Learning

Ich schule Sie sehr gerne live In-House oder Remote. Wir setzen modernste E-Learning-Technik ein, so ist also eine Remote-Schulung für dieses interessante Thema auf jeden Fall eine großartige Sache.
Alles was Sie in diesem Zusammenhang für E-Learning benötigen, ist eine lokale aktuelle Wireshark-Installation, Internetzugang und ein Headset mit guter Klangqualität.