Wireshark is een krachtige open source netwerkanalysator die kan worden gebruikt om de gegevens op een netwerk op te sporen, als hulp bij het oplossen van netwerkverkeersanalyses, maar ook als een educatief hulpmiddel om de principes van netwerken en communicatieprotocollen beter te begrijpen.

Het is direct beschikbaar voor vrijwel elke Linux-distributie en voor Ubuntu kan het worden geïnstalleerd via het Ubuntu Software Center of de terminal:

 sudo apt-get install wireshark

Voordat je wireshark gebruikt, moet het dumpcap hulpprogramma toestemming krijgen om als root te worden uitgevoerd. Zonder dit zal Wireshark geen netwerkverkeer kunnen vastleggen wanneer u bent ingelogd als een normale gebruiker (die altijd in distributies zoals Ubuntu is). Gebruik de volgende opdracht om het " setuid " -bit aan dumpcap toe te voegen:

 sudo chmod 4711 `welke dumpcap '

Merk op dat de aanhalingstekens rond de "welke dumpcap" niet normale enkele aanhalingstekens zijn, maar eerder het ernstige accentkarakter. Op Unix-achtige systemen roept dit commando-substitutie op waarbij de uitvoer van de which opdracht een parameter wordt voor de chmod opdracht, dat wil zeggen het volledige pad van de binaire dumpcap .

Start Wireshark en klik vervolgens op de netwerkinterface die u wilt gebruiken om de gegevens vast te leggen. Op een bedraad netwerk zal dit waarschijnlijk eth0 . Klik nu op Start.

Wireshark begint het verkeer vast te leggen en weer te geven als een lijst met kleurcodes in het hoofdvenster. TCP-verkeer is groen, UDP-pakketten zijn lichtblauw, ARP-aanvragen zijn geel en DNS-verkeer wordt in donkerblauw weergegeven.

Net onder de werkbalk bevindt zich het filtervak. Als u alleen bepaalde typen netwerkpakketten wilt zien, voert u de protocolnaam in het bewerkingsvak in en klikt u op Toepassen. Als u bijvoorbeeld alleen het ARP-bericht (Address Resolution Protocol) wilt zien, typt u arp in het vak Filter en klikt u op Toepassen. De lijst zal veranderen om alleen ARP-berichten weer te geven. ARP wordt gebruikt op een LAN om te achterhalen welk apparaat een bepaald IP-adres gebruikt. Andere voorbeeldfilters zijn HTTP, ICMP, SMTP, SMB enzovoort.

Wireshark kan filteren met behulp van geavanceerdere criteria dan alleen het protocoltype. Als u bijvoorbeeld al het DNS-gerelateerde verkeer wilt zien dat afkomstig is van een bepaalde host, gebruikt u het filter ip.src==192.168.1.101 and dns waarbij 192.168.1.101 het bronadres is dat u wilt filteren.

Als je een interessante interactie tussen twee hosts ziet die je in zijn geheel wilt zien, dan heeft Wireshark een "follow stream" -optie. Klik met de rechtermuisknop op een willekeurig pakket in de centrale en klik vervolgens op "Follow TCP Stream" (of volg UDP Stream, Follow SSL Stream, afhankelijk van het protocoltype). Wireshark toont vervolgens een volledig exemplaar van het gesprek.

Probeer dit

Het gebruik van Wireshark kan zo complex of eenvoudig zijn als je wilt, er zijn genoeg geavanceerde functies voor netwerkexperts, maar mensen die informatie over netwerken willen, kunnen ook profiteren van het gebruik ervan. Hier is iets om te proberen als je meer wilt weten over Wireshark. Start een capture en zet het filter op ICMP. Ping nu je Linux-machine met een commando zoals deze van een andere Linux-machine of zelfs van een command-shell van Windows PC:

 ping 192.168.1.10

Waarbij 192.168.1.10 het IP-adres van de Linux-machine is. Kijk nu naar de pakketlijst en kijk of u het netwerkverkeer voor de ping ziet.