Wireshark Grundkurs

Alternativen zu Wireshark in Windows

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Die beiden Programme Microsoft Message Analyzer sowie Colasoft Capsa stellen zwei leistungsstarke alternative Netzwerkverkehr-Analysetools für Windows dar.

Transkript

Wireshark ist sicherlich der Netzwerk-Sniffer. Aber es gibt auch Alternativen und die wollen wir uns in diesem Video anschauen. Lassen Sie mich bitte gleich sagen: Wir wissen natürlich, dass es unzählige und Dutzende und Aberdutzende Alternativen zu Wireshark gibt, für alle möglichen Systeme in unterschiedlichsten Varianten und unterschiedlichsten Lizenzen, die alle ihre Vor- und Nachteile haben. Aber ich habe eben hier zwei Programme ausgewählt für Windows. Das soll natürlich gar kein Werturteil sein. Es handelt sich bei den beiden Programmen, die wir hier testen, um den Microsoft Message Analyzer und um den Colasoft Capsa. Und die wollen wir jetzt gleich mal aufrufen. Das Ganze kann natürlich nur aus der Vogelperspektive passieren. Das sind jeweils auch ausgewachsene Programme. Da braucht man seinen eigenen Lernprozess. Und wir sind natürlich nicht in der Lage, so ein Programm jetzt hier in ein paar Minuten zu bewerten oder irgendwie darüber zu befinden. Damit es ein bisschen vergleichbar wird, habe ich drei, vier Tasks definiert, die ich mit beiden Programmen durchführen möchte. Installiert sind sie schon. Wir rufen das Programm auf, führen eine FTP-, eine HTTP- und eine SMB-Verbindung durch, schneiden das Ganze mit und gucken uns das Ganze an, wie diese Programme den Netzwerk-Traffic aufbereiten. Und weiterhin möchte ich natürlich wissen: Kriege ich mit diesem Programm Wireshark-Dateien auf? Oder kann ich deren Output so speichern, dass ich sie später vielleicht mit Wireshark auch wieder aufbekomme. Gut, legen wir los. Gehen wir zunächst in den Message Analyzer. Den habe ich hier schon installiert. Kann man sich runterladen kostenlos, aber nicht Open Source. Gut, wir starten hier mal eine neue Session. Wir sehen, dass es hier schon etwas anders zur Sache geht. Alles ist etwas anders. Starten wir mal ein Live Trace. Und wenn wir jetzt hier einfach auf Start klicken, passiert nichts. Wir müssen vorher ein trace scenario auswählen. Hier haben wir ganz viele unterschiedliche Szenarien, die wir wählen können. Wir machen jetzt mal einen ganz normalen Capture mit den lokalen Schnittstellen. Dann baut er sich seinen Filter und wir legen los. Was mir bei diesem Programm aufgefallen ist, es braucht auch schon etwas mehr Ressourcen als der Wireshark. Ich muss hier noch etwas Hardware-Ressourcen drauflegen. Und wir wollen jetzt unsere drei Tasks ausführen. Das wäre einmal der FTP-Zugriff. Wunderbar. Machen wir hier ein bisschen Datenverkehr. Gut. Danach begeben wir uns noch auf den SMB-Share. Hier noch ein bisschen Datenverkehr. Einwandfrei. Und zum Schluss rufen wir noch eine Website auf. Dann haben wir ordentlich Traffic generiert. Ich möchte hier natürlich keinen HTTPS-Datenverkehr generieren. Und das soll es auch gewesen sein. Dann machen wir das Ganze zu. Müssen wir hier oben stoppen. Jetzt gucken wir uns mal den Output an. Vieles kommt uns bekannt vor. Wir haben hier unsere Paketliste, können wir entsprechend druchscrollen. Tatsächlich, hier geht auch schon das FTP los. Es sind also die Messages. Wenn wir die Paketliste öffnen, dann fahren wir eben auch runter hier unten in TCP, IP, Ethernet, und so weiter. Wenn wir das Ganze hier im Detailfenster angucken, dann ist das doch schon schön grafisch aufbereitet. Allerdings sehe ich, dass ich hier wirklich vermutlich einen etwas größeren Monitor benötige. Also mit 1280x720 wird es hier unten dann schon ein bisschen eng. Sieht man auch hier drüben. Wunderbar. Was mir im Message Analyzer ganz gut gefällt, sind die unterschiedlichen Ansichten. Ich kann mir hier wirklich unterschiedlichste Ansichten generieren lassen. Beispielsweise, nehmen wir doch ein, zwei Ansichten, hier die Top Talkers. Dann wird das Ganze jetzt hier schön in einem Balkendiagramm visualisiert. Und die Ansicht, die bleibt auch hier oben bestehen. Ich kann also hier unterschiedliche Ansichten aufrufen. Hier haben wir die Server Message Block Response Time. Ja, das ist doch schon grafisch recht ansprechend aufbereitet. Wollen wir vielleicht noch einen Protokollfilter setzen. Dass wir hier mal das Protocol Dashboard aufrufen. Jawohl. Und dann sehen wir eben hier wirklich gut aufbereitet, wie der Message Analyzer das visualisiert. Wenn wir hier doppelklicken, dann bekommen wir tatsächlich auch gleich einen Filter mitgeliefert. Ist eigentlich wirklich schön gemacht. Und sogar das FTP-Passwort wird im Klartext übertragen. Gut, wollen wir das Ganze speichern. Gucken wir, ob wir ein Format finden. Und tatsächlich, es funktioniert, ich kann das Ganze hier als CAP speichern. Und das CAP, das bekomme ich auch mit dem Wireshark wieder auf. Das gefällt mir ganz gut. Und wir gucken auch, ob wir gegebenenfalls eine Wireshark-Datei aufkriegen. Da habe ich hier auf dem Desktop eine vorbereitet. Ja, und auch die Wireshark-Datei geht auf. Also der Message Analyzer, für Windows-Leute sicherlich auch eine Alternative unter vielen. Gefällt mir so weit ganz gut. Schließen wir den Message Analyzer und kommen wir zum Colasoft. Haben wir auch hier. Das ist der Capsa Free. Gibt es auch jeweils Bezahlvarianten davon. Und auch der sieht mir grafisch hier ganz schön aufbereitet aus. Ich kann im Vorfeld Analyseprofile auswählen, wenn ich schon weiß, was ich gern aufnehmen möchte. Für uns soll es jetzt mal der komplette Datenverkehr sein. Ja, und wie ich hier sehe, sieht das grafisch schon ziemlich toll aus. Wir wollen wieder unsere drei Tasks durchführen. Das ist einmal unser FTP-Aufruf. Da kopieren wir mal direkt etwas raus. Wunderbar. Dann machen wir gleich den SMB-Datenaufruf. Auch hier machen wir die Daten hier rüber. Und zum Schluss noch der Website-Aufruf. Rufen wir hier mal ein Wireshark-Bild auf. So, nun haben wir in beiden Varianten das Gleiche gemacht. Und stoppen den Mitschnitt. Ja, was mir hier gleich auffällt, es gibt hier diese ganzen Graphen, die mir sozusagen den Live-Traffic anzeigen. Das ist wirklich hier schön gemacht mit einem Tacho, mit diversen Charts. Und das Ganze hier sieht jetzt etwas anders aus. Auf der linken Seite haben wir hier solche Protocol Explorer, die mir das Ganze von unten nach oben aufdröseln. Und hier finden wir dann unsere einzelnen Protokolle. Erstmal alles schön übersichtlich. Und dann kann ich eben hier in der Mitte die einzelnen Protokolle noch etwas genauer angucken. Wenn ich das Ganze oben auf der Protokoll-Ebene mache, habe ich hier auch ein schönes Balkendiagramm. Gleich mit Megabyte, Pakete, und bits per second. Das ist alles schon wirklich schön aufbereitet. Natürlich, wenn man so viele Informationen unterbringen will, dann sind diese kleinen Bildschirme hier wirklich vielleicht schon etwas zu klein. Gucken wir mal, was es weiter gibt. Jawohl, das Ganze eben auf MAC-Ebene, wer wie was gemacht hat. Die IPs, die miteinander kommuniziert haben, wohin sie kommuniziert haben mit dem höchsten Protokoll. Ja, doch, alles schon wirklich schön aufbereitet. Machen wir noch zwei Sachen. Gucken wir mal, ob wir die einzelnen Pakete finden im Protokoll. Jawohl. Wir haben hier tatsächlich auch die Möglichkeit, wirklich bis runter in die Raw-Daten zu gehen. Und auch hier haben wir unsere klassische Ansicht nach Ethernet, IP. Und dann können wir hier genauso reingucken nach der IP-Adresse, nach dem Ethernet-Frame, nach TCP/IP und dergleichen. Natürlich bietet das dieser Sniffer eben auch an. Wunderbar. Wir versuchen noch kurz, die Verbindung zu Wireshark herzustellen. Dazu versuche ich das Ganze zu speichern in einem Paketformat, das Wireshark vielleicht lesen kann. Und tatsächlich, da haben wir auch schon einen Filter, wo wir dann PCAP Next Generation auswählen können. Finde ich wirklich gut. Und weiterhin wollen wir auch noch eine Wireshark-Datei öffnen. Dazu gehen wir hier auf den Replay-Button, sagen Add File(s). Und ja, das ist ein kleiner Nachteil, wir haben hier nur das Colasoft-spezifische Format. Wir kriegen also nativ hier keine Wireshark-Dateien auf. Das ist wirklich schade. Es gibt einen Umweg, um das Ganze zu bauen. Wenn man sich mal anschaut, was Colasoft jetzt hier mitgebracht hat in seiner Free-Variante, dann sehen wir, dass hier noch ein paar weitere Dinge dabei sind. Zum Beispiel hier ein Ping Tool. Und auch der Mac Scanner ist wirklich eine schöne Geschichte. Den können wir vielleicht gleich ausprobieren. Aber wir haben hier einen Packet Player. Und mithilfe dieses Packet Players, da können wir Files mit reintun, zum Beispiel hier ein Packet Das ARP Protokoll. Und das können wir jetzt abspielen an einer bestimmten Schnittstelle. Das können wir dann natürlich aufzeichnen mit dem eigentlichen Hauptprogramm. Aber ich sage mal, wenn ich jetzt hier einen Denial-of-Service-Angriff oder sowas drinhabe, ist das natürlich nicht unbedingt gewünscht, dass ich solche Pakete dann ins Netzwerk spiele. Habe ich jetzt auf die Schnelle keine andere Möglichkeit gefunden, Wireshark-Pakete in diesem Programm zu öffnen. Gut, schließen wir es. Colasoft hat natürlich hier noch einen Pluspunkt. Und wir wollen ja immer positiv abschließen. Es gibt wirklich nette Tools. Das ist also der Packet Player. Das ist ja an sich schonmal wirklich eine tolle Sache. Wir können auch einzelne Pakete nach unseren Bedürfnissen zusammenbauen. Ein explizites Ping Tool mit vielen Funktionen und eben auch der Mac Scanner. Und wenn ich mal meine MACs im lokalen Segment rauskriegen will, dann starte ich jetzt hier einfach den Mac Scanner. Und ich bekomme das hier wirklich wunderschön aufgelistet und kann diese Informationen dann entsprechend weiterverwenden. Gut, das waren zwei Alternativen zu Wireshark unter Windows, einmal Microsoft Message Analyzer und einmal Colasoft Capsa. Wie sagt man so schön? Konkurrenz belebt das Geschäft.

Wireshark Grundkurs

Analysieren Sie netzwerkspezifische Probleme mithilfe des kostenfreien Programms Wireshark. Sie lernen Netzwerkdaten mitzuschneiden und auszuwerten.

3 Std. 46 min (53 Videos)
Derzeit sind keine Feedbacks vorhanden...
Exklusiv für Abo-Kunden
Erscheinungsdatum:12.08.2015

Die Aussagen zur Rechtssituation in diesem Video-Training beziehen sich auf die Situation in Deutschland bis August 2015 und stellen keine Rechtsberatung dar. Eine Einzelfall-bezogene ausführliche Beratung durch einen hierauf spezialisierten Anwalt wird hierdurch nicht ersetzt.

Alle lokalen Mitschnitte wurden ausschließlich in Demonstrationsnetzwerken mit nachgestellten IP-Adressen erstellt.

Trafficgeneratoren und Software für Penetrationstests zum Erstellen von Spezialdaten für das Video-Training wurde ausschließlich in abgeschotteten Laborumgebungen verwendet.

Öffentliche Abrufe von Webseiten dienen ausschließlich zu Informationszwecken z.B. für Statistiken – oder die Mitschnitte wurden ausdrücklich für dieses Videotraining genehmigt.

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!