Effektiver Räuber
Probleme im Netz aufspüren mit Wireshark
Daten über Daten
Insbesondere bei größeren Netzwerken, die über ein Gateway an das Internet angeschlossen sind oder gar über eine vorgeschaltete DMZ mit mehreren darin aktiven Diensten verfügen, wachsen die Protokolldateien von Wireshark trotz Filterung rasant an. Es ist in diesem Fall schon nach kurzer Zeit des Mitprotokollierens nicht mehr möglich, die Datenströme zuverlässig nachzuvollziehen und damit Fehlerquellen ausfindig zu machen. Um diesem Manko abzuhelfen, bietet Wireshark durch farbliches Hervorheben der Protokolldaten und zusätzlich durch die Funktion der Verfolgung eines TCP-Streams (Analyze | Follow TCP-Stream, Abbildung 3) die Möglichkeit, den Weg einzelner Datenströme nachzuvollziehen.
Abbildung 3: Auf Wunsch verfolgt Wireshark auch einzelne Datenströme.
Eine weitere Möglichkeit, das Datenvolumen optisch zu bändigen, liegt in den so genannten Display-Filtern. Die Display-Filter-Leiste im oberen Teil des Hauptfensters erlaubt es ähnlich wie die Filter für die aufzuzeichnenden Daten, eine Auswahl der anzuzeigenden Pakete zu treffen. Die Displayfilter lassen sich dabei analog der Capture-Filter aus einer Liste vordefinierter Protokolle wählen. Für Power-User besteht auch hier die Option, mehrere Variablen miteinander zu verknüpfen oder eigene Filterdefinitionen anzufertigen. Individuelle Kompositionen legen Sie dabei mit einem Klick auf den Schalter +Expression an.
Wenn Sie grafisch aufbereitete Statistiken ansehnlicher finden, werden Sie bei Wireshark nicht enttäuscht: Unter dem Menüpunkt Statistics | IO Graphs besteht die Möglichkeit, bis zu fünf verschiedene Filteroptionen gleichzeitig als Balken-, Linien- oder Punktgrafik farblich differenziert anzeigen zu lassen. Damit wird im Live-Capture-Modus in Echtzeit sofort sichtbar, welche Pakete den Datenstrom beherrschen.
Fremde Welten
Doch Wireshark beherrscht nicht nur die Aufzeichnung von Datenströmen und deren Analyse am eigenen Rechner und im eigenen Format, sondern kann auch Logdateien in Fremdformaten öffnen und deren Inhalt auswerten. Dabei reicht die Palette von proprietären softwarebasierten und betriebssystemspezifischen Protokollformaten bis hin zu Dateiformaten, die große Hardwarehersteller für ihre Geräte implementiert haben. Die von Wireshark angelegten Analysedateien lassen sich dementsprechend auch in verschiedene gängige Dateiformate exportieren, sodass man sie beispielsweise zur Weiterverarbeitung in einer Tabellenkalkulation nutzen oder zu Dokumentationszwecken im plattformübergreifenden Postscript-Format ablegen kann.
Einem Freund empfehlen
