Aufgedeckt

Daten auswerten

Da beim Aufzeichnen eine Menge nur mäßig interessanter Daten anfallen, gilt es zunächst, den Weizen von der Spreu zu trennen. Dafür stellt das Programm eine ganze Reihe von Filterfunktionen bereit. Unter der Schalterleiste neben dem Icon Filter: finden Sie ein Eingabefeld, in das Sie Suchbegriffe wie http oder smtp direkt eintragen können, um den Datenbestand auf diese Art von Paketen einzuschränken. Eine Reihe vordefinierter Suchbegriffe fördert ein Klick auf das Icon Filter: selbst zutage (Abbildung 3).

Abbildung 3: Wireshark verfügt über mächtige Werkzeuge, um die gesammelten Daten nach den eigenen Vorgaben zu filtern. Das Anlegen neuer Filter erfordert jedoch detailierte Kenntnisse über Netzwerkprotokolle.

Um eigene Filter anzulegen, klicken Sie im neuen Fenster auf das Icon Expressions.... Allerdings erfordert die Arbeit mit selbst definierten Filtern ein gerüttelt Maß an Kenntnissen über Netzwerkprotokolle sowie grundlegende Kenntnisse über Regular Expressions.

Um nur die Pakete eines bestimmten Rechners anzuzeigen, klicken Sie mit der rechten Maustaste auf ein Paket, das vom gewünschten Absender stammt, und wählen aus dem Kontextmenü Apply as Filter | Selected. Umgekehrt blendet die Negierung Not selected eben diese Pakete aus.

Da stets mehrere Pakete zu einer Konversation zwischen Netzwerkstationen gehören, gibt ein einzelnes Paket oft wenig Aufschluss über deren Inhalt und Verlauf. Hier hilft die Option Follow TCP Stream aus dem Kontextmenü, das die komplette Session rekonstruiert und als ASCII-Code anzeigt. Möchten Sie ein im Verlauf der Sitzung übermitteltes Binärpaket – wie etwa ein Bild – wiederherstellen, wählen Sie Sie die Checkbox Raw und speichern die Daten mit der entsprechenden Erweiterung (beispielsweise gif), die im Header der Datei steht.

Eine weitere Möglichkeit, den Datenstrom zu lichten, besteht darin, die Anzeige auf bestimmte Protokolle einzuschränken. Über den Menüpunkt Analyze | Enable Protocols öffnen Sie ein Auswahlfenster mit allen unterstützten Protokollen, in dem Sie das Benötigte auswählen.

Zur Suche von Zeichenketten in den Paketen verwenden Sie das Suchsymbol in der Schalterleiste. Aktivieren Sie die Checkbox String und geben Sie im Textfeld den gesuchten Begriff ein.

Statistik

Wireshark kann nicht nur Daten filtern, sondern bringt auch einige Statistik- und Analysemodule mit. Im Fenster Analyse | Expert Info und Expert Composite zeigt Wireshark den Status (Notes, Errors, Warnings) aller eingegangenen Pakete entweder in einer Listenübersicht oder einer Zusammenfassung. Um eine grafische Echtzeitanalyse der eingehenden Pakete zu starten, öffnen Sie das Fenster Statistics | IO Graphs (Abbildung 4).

Abbildung 4: Die grafische Paketanalyse zeigt das aktuelle Datenaufkommen verschiedener Dienste und Protokolle an.

Im oberen Teil des Fensters stellt Wireshark die aktuelle Netzlast aller Pakete wahlweise als Linien- oder Balkendiagramm dar. Über die Filter im unteren Teil des Fensters stellen Sie ein, welchen Dienst oder welches Protokoll das Diagramm darstellt. Bei einer Mehrfachauswahl helfen die verschiedenen Farben, den Datenfluss im Diagramm zu durchschauen.