Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Wireshark Grundkurs

Aufzeichnungsoptionen

Testen Sie unsere 2016 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Die Aufzeichnungsoptionen beinhalten Einstellungen zur Auswahl des gewünschten Interface sowie der Definition passender Aufzeichnungsfilter.

Transkript

Der Teufel steckt bekanntlich im Detail. Also schauen wir uns nun an, was für Capture-Optionen wir setzen können. Ganz oben haben wir wieder die Liste unserer auswählbaren Interfaces. Direkt darunter können wir auch auswählen, dass alle Interfaces gecaptured werden und ob der promiscuous mode auf allen Interfaces aktiviert werden soll. Dieser dient dazu, dass die Netzwerkkarte nicht nur die Pakete annimmt, die für mich bestimmt waren, sondern alle Pakete. Als nächstes folgt der Capture-Filter, wo ich einschränken kann, welche Daten mitgeschnitten werden sollen. um zum Beispiel die Capture-Datei kleinzuhalten. Ich kann hier also zum Beispiel ip host www.google.de eintippen. Nun werden nur Verbindungen angezeigt, die den IP-Adressen von Google entsprechen. Auf der rechten Seite gibt es nun einen Button: Compile Selected BPFs. Ehrlichgesagt habe ich die Funktion nie wirklich genutzt. Aber ich möchte Ihnen trotzdem erklären, wofür sie da ist. Der Filtercode auf der linken Seite entspricht der Berkeley Packet Filter Syntax. Daher BPF. Nun kann ich mir diese Syntax in einen Pseudocode umwandeln lassen, womit auch der Computer diese Daten schnell verarbeitet. Schauen wir uns diesen Code mal an. Oben bei Zeile 0 beginnt er mit ldh. Also Load Half Word, was zwei Bytes sind vom Packet Offset 12, wo das Protokoll drin steht. In Zeile 1 kommt nun ein jump equal. Er vergleicht also, ob der eingelesene Wert dem Wert 0x800 entspricht. Dies sollte in diesem Fall IP sein. Ist dies nicht der Fall, also ein jump false, springt er zur Zeile 7. Somit wird das Paket herausgefiltert. Ist es IP, also jump true, springt er in Zeile 2. Dort lädt er 4 Byte in den Speicher ab Offset 26, was der Source-IP-Adresse entspricht. Ist dies keine von www.google.de, springt er in die Zeile 4. Er lädt und prüft die Destination-IP-Adresse. Entspricht diese einer von www.google.de, so springt er in Zeile 6 und das Paket wird mitgeschnitten. Das hörte sich jetzt vielleicht etwas kryptisch an, aber der Computer versteht das exzellent. Der Button dient also einzig und allein dazu, dass Sie sehen, wie der Computer filtert. Die nun besprochenen Optionen hier im oberen Teil finden Sie auch auf den einzelnen Interfaces, falls Sie unterschiedliche Einstellungen setzen möchten. Dafür klicken wir doppelt auf das Interface drauf und können hier nun die Optionen setzen. Über Manage Interfaces können Sie die Interfaces verwalten. Sie können zum Beispiel eine Pipe hinzufügen. wodurch Sie auf den Inhalt einer Pcap-kompatiblen Datei lauschen, die auch auf einem anderen Rechner liegen kann. Unter Local Interfaces habe ich die Möglichkeit, Interfaces zu verstecken, falls ich diese nicht benötige. Und unter Remote interfaces können Sie die Daten über eine Wireshark-Installation auf einem anderen Rechner sammeln. Diese Möglichkeit besteht allerdings bisher nur unter Windows. Natürlich kann man auch direkt vorgeben, wo das Capture File hingeschrieben werden soll. Man kann zum Beispiel angeben, dass es aufgesplittet werden soll. Ich kann zum Beispiel sagen, dass eine neue Capture-Datei angefangen werden soll, wenn die Dateigröße 1 MB erreicht hat oder eine Minute. Je nachdem, was früher geschieht. Mit der Ring-Buffer-Option kann ich die Anzahl der Dateien beschränken. Das sorgt aber dafür, dass immer die älteste Datei überschrieben wird. Das Pcap-NG-Format ist der Standard und sollte immer genutzt werden. Nun habe ich aber auch die Möglichkeit, dass der Capture automatisch beendet wird. Es sind insgesamt vier Bedingungen und sobald eine Bedingung erfüllt ist, wird der Capture beendet. Auf der rechten Seite finden wir ein paar Anzeige-Optionen. Entferne ich den Haken bei Update List of Packets in Real Time, werden mir die Daten erst nach Beenden des Captures angezeigt. Entferne ich den Haken beim nächsten Punkt, wird in der Anzeige nicht immer zum neuesten Paket gesprungen. Der Capture Info-Dialog ist eine kleine Statistik, die während des Captures anzeigt, wie viele Pakete mit welchem Protokoll übertragen wurden. Kommen wir nun zum letzten Abschnitt der Namensauflösung. Diese wird zur Laufzeit ausgeführt, nicht in der Capture-Datei gespeichert und kann auch zu mehr Traffic führen, da die Namensauflösung eventuell über das Netzwerk geschieht. Bei Resolve MAC Adress wird ARP bemüht und somit können eventuelle IP-Adressen angezeigt werden. Bei Transport Layer wird neben dem Port 80 zum Beispiel HTTP angezeigt. Aktiviert man den Network Layer, wird in der Host-Datei nachgeschaut, oob ein Host-Name dafür eingetragen ist. Aktiviert man zusätzlich noch den External Resolver, wird nicht nur die Host-Datei bemüht, sondern auch der DNS-Server. Nun kennen auch Sie den Teufel im Detail. wenn es um die Capture-Optionen in Wireshark geht.

Wireshark Grundkurs

Analysieren Sie netzwerkspezifische Probleme mithilfe des kostenfreien Programms Wireshark. Sie lernen Netzwerkdaten mitzuschneiden und auszuwerten.

3 Std. 46 min (53 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Exklusiv für Abo-Kunden
Erscheinungsdatum:12.08.2015

Die Aussagen zur Rechtssituation in diesem Video-Training beziehen sich auf die Situation in Deutschland bis August 2015 und stellen keine Rechtsberatung dar. Eine Einzelfall-bezogene ausführliche Beratung durch einen hierauf spezialisierten Anwalt wird hierdurch nicht ersetzt.

Alle lokalen Mitschnitte wurden ausschließlich in Demonstrationsnetzwerken mit nachgestellten IP-Adressen erstellt.

Trafficgeneratoren und Software für Penetrationstests zum Erstellen von Spezialdaten für das Video-Training wurde ausschließlich in abgeschotteten Laborumgebungen verwendet.

Öffentliche Abrufe von Webseiten dienen ausschließlich zu Informationszwecken z.B. für Statistiken – oder die Mitschnitte wurden ausdrücklich für dieses Videotraining genehmigt.

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!