Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Wireshark Grundkurs

Erweiterte Funktionen im Öffnen-Dialogfeld

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Das Dialogfeld, um eine neue Projektdatei zu öffnen, stellt bereits die Funktionalität zur Verfügung, die Anzeige zu filtern sowie bestimmte Auflösungsformate festzulegen.

Transkript

Eine bestehende Projektdatei in Wireshark zu öffnen oder zu importieren ist so weit kein Problem. Doppelklick und fertig. Ich möchte Ihnen in diesem Video weitere Möglichkeiten rund um den Datei-öffnen-Dialog aufzeigen. Dazu begeben wir uns direkt hier oben in das Datei-öffnen-Menü und schauen uns hier an, was wir sonst noch so zur Verfügung haben. Gehen wir hier runter und klicken den Dateinamen an. Brauchen wir unbedingt. Und wenn wir jetzt hier, nehmen wir mal an, 100 Projektdateien rumliegen hätten, am besten auch noch in unterschiedlichen Extensionen, dann könnte ich hier den Dateityp filtern. Wenn ich also beispielsweise in ERF oder in TR1 aufgenommen hätte, dann könnte ich mir die entsprechenden Extensionen oder die Projektdateien mit den entsprechend Extensionen hier direkt am Anfang filtern. Für uns soll es jetzt hier okay sein. Wir haben ja die TCAP-Datei. Dann haben wir hier unten einen weiteren Filter, der Read filter. Hier kann ich meine Filter bei Bedarf schon während des Öffnens eingeben. Wenn ich also zum Beispiel weiß, dass meine Quell-IP jetzt hier 10.0.0.152 ist und ich möchte die Datei gleich mit diesem Filter öffnen, kann ich ihn hier an der Stelle schon setzen. Probieren wir es mal kurz aus. Und tatsächlich, die Quell-IP ist dann hier nur die 10.0.0.152. Gehen wir nochmal zurück auf das Öffnen-Feld und schauen wir, was wir weiterhin zur Verfügung haben. Wir haben hier unten eine Auswahl des Formats, in dem die Projekt-Datei abgespeichert ist. Ich würde hier Automatisch lassen Außer wenn es Probleme gibt, erkennt und interpretiert und öffnet Wireshark dann die entsprechende Projektdatei. Und hier unten haben wir noch die vier berüchtigten Auflösungsformate. Hier geht es also darum, dass Wireshark den Versuch unternimmt, unterschiedliche Adressen, also sprich Nummern, in ein verständliches Format umzusetzen. Und hier haben wir eben drei unterschiedliche Varianten zur Verfügung. Das erste ist die MAC name resolution. Und jetzt muss man einfach wissen, dass die MAC-Adresse aus unterschiedlichen Teilen besteht. Wir wollen jetzt hier keine MAC-Schulung machen, aber die MAC-Adresse ist 6 Byte lang und die ersten drei Byte sind in der Regel einem Hersteller zugeordnet. Diese ersten drei Byte nennt man Organizationally Unique Identifier und die kann man sich bei der IEEE, also der Standardisierungsorganisation, kann man die sich registrieren. Und dann sind die auch in der öffentlichen Datenbank zur Verfügung, man kann sie auslesen. Und Wireshark hat eben auch eine Datenbank, wo es versucht, diese ersten 3 Byte zuzuordnen. Ich öffne diese Datenbank hier mal. Und wie wir hier sehen, zum Beispiel die MAC-Adresse mit den ersten 3 Byte 00:00:01, die würde hier also mit Xerox bezeichnet werden. Und dieser Name, der erscheint dann hier hinten in unserem Wireshark bei der MAC-Adresse. Er versucht uns also den Herstellernamen der entsprechenden Netzwerkkarte aufzulösen. Danach haben wir hier noch die Möglichkeit, eine Transport name resolution durchzuführen. Hier geht es also darum: Wenn ich konkret auf Layer 4 einen Port habe, zum Beispiel Port 80, dann würde Wireshark eben HTTP schreiben bei Port 53 DNS, und so weiter und so fort. Danach haben wir noch die Netzwerknamensauflösung. Hier geht es also um die IP-Namensauflösung, und zwar in zwei Varianten. Punkt eins: Nework name resolution. Wenn ich das anhake, dann versucht er, den Namen mithilfe des Betriebssystems, ganz konkret mithilfe der etc/hosts/-Datei aufzulösen. Und wenn ich hier unten den external network name resolver anhake, versucht er tatsächlich, mithilfe eines eingetragenen DNS-Servers den Namen aufzulösen. Achtung, zwei Punkte: Erstens, die Namensauflösung kostet natürlich Zeit und Ressourcen. Und Punkt zwei, die aufgelösten Namen werden nicht in der TCAP-Datei mit abgespeichert. Es kann also durchaus sein, wenn Sie die entsprechende Projektdatei auf einem anderen Rechner öffnen, dass das Ergebnis dann etwas anders aussieht. Ich persönlich hake in der Regel alles aus, weil ich mich um die Namen selber kümmern möchte. Gut, was haben wir noch? Wir haben hier die Möglichkeit, unterschiedlich Dateien zusammenzufügen. Wenn ich also mehrere Projektdateien habe und die zusammenfügen möchte, habe ich hier die Möglichkeit, eine zusätzliche Projektdatei zur bereits geöffneten hinzuzufügen, und zwar im ersten Abschnitt hier davor. Also die zu öffnende Projektdatei wird einfach davor in Wireshark aufgelistet. Dann haben wir das Zusammenführen, und zwar so wie Wireshark die entsprechenden Pakete aufgenommen hat Und bei Append, da hängt er dann die zu öffnende Projektdatei einfach an die bestehende hinten dran und listet es dann hinten auf. Gut. Schauen wir, was wir weiter zur Verfügung haben. Wir können hier auch einen Direktimport von einer Hex-Dump-Datei öffnen. Hier unten haben wir da noch das File Set. Dazu benötige ich tatsächlich eine verkettete Datei, sprich mehrere Dateien, die nacheinander aufgenommen wurden. Ich zeige mal ganz kurz, wie man sowas macht. Wenn ich hier jetzt in die Optionen reingehe, in die Aufnahmeoptionen, dann kann ich hier Use multiple files auswählen und kann dann eben unterschiedliche Dateien generieren lassen. Und genau diese unterschiedlichen Dateien, die kann ich jetzt auch wieder öffnen, indem ich hier auf Open gehe. Ich habe hier eine ICMP-Multidatei vorbereitet. Und wenn ich jetzt hier doppelklicke, dann zeigt er nur diese eine Datei an. Und ich kann hier eben mit File Set die verketteten Dateien anzeigen lassen. Sie sehen, ich habe hier vier Projektdateien, die eigentlich alle zueinander gehören. Und kann mir dann die einzelnen Dateien entsprechend hier anzeigen lassen. In diesem Video haben wir gelernt, dass es durchaus noch weitere Möglichkeiten außer dem Doppelklick zum Öffnen von Wireshark-Dateien gibt.

Wireshark Grundkurs

Analysieren Sie netzwerkspezifische Probleme mithilfe des kostenfreien Programms Wireshark. Sie lernen Netzwerkdaten mitzuschneiden und auszuwerten.

3 Std. 46 min (53 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Exklusiv für Abo-Kunden
Erscheinungsdatum:12.08.2015

Die Aussagen zur Rechtssituation in diesem Video-Training beziehen sich auf die Situation in Deutschland bis August 2015 und stellen keine Rechtsberatung dar. Eine Einzelfall-bezogene ausführliche Beratung durch einen hierauf spezialisierten Anwalt wird hierdurch nicht ersetzt.

Alle lokalen Mitschnitte wurden ausschließlich in Demonstrationsnetzwerken mit nachgestellten IP-Adressen erstellt.

Trafficgeneratoren und Software für Penetrationstests zum Erstellen von Spezialdaten für das Video-Training wurde ausschließlich in abgeschotteten Laborumgebungen verwendet.

Öffentliche Abrufe von Webseiten dienen ausschließlich zu Informationszwecken z.B. für Statistiken – oder die Mitschnitte wurden ausdrücklich für dieses Videotraining genehmigt.

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!