Wireshark, een netwerkanalysetool die voorheen bekend stond als Ethereal, legt pakketten in realtime vast en geeft ze weer in een door mensen leesbaar formaat. Wireshark bevat filters, kleurcodering en andere functies waarmee u diep in het netwerkverkeer kunt graven en individuele pakketten kunt inspecteren.
Deze tutorial zal je op de hoogte brengen van de basisprincipes van het vastleggen van pakketten, het filteren en inspecteren ervan. U kunt Wireshark gebruiken om het netwerkverkeer van een verdacht programma te inspecteren, de verkeersstroom op uw netwerk te analyseren of netwerkproblemen op te lossen.
Wireshark krijgen
U kunt Wireshark voor Windows of macOS downloaden van de officiële website. Als je Linux of een ander UNIX-achtig systeem gebruikt, zul je Wireshark waarschijnlijk in de pakketrepository’s vinden. Als u bijvoorbeeld Ubuntu gebruikt, vindt u Wireshark in het Ubuntu Software Center.
Even een korte waarschuwing: veel organisaties staan Wireshark en soortgelijke tools niet toe op hun netwerken. Gebruik deze tool alleen op het werk als u toestemming heeft.
Pakketten vastleggen
Na het downloaden en installeren van Wireshark, kunt u het starten en dubbelklikken op de naam van een netwerkinterface onder Capture om te beginnen met het vastleggen van pakketten op die interface. Als u bijvoorbeeld verkeer op uw draadloze netwerk wilt vastleggen, klikt u op uw draadloze interface. U kunt geavanceerde functies configureren door op Capture> Options te klikken, maar dit is voorlopig niet nodig.
Zodra u op de naam van de interface klikt, ziet u dat de pakketten in realtime verschijnen. Wireshark legt elk pakket vast dat naar of van uw systeem wordt verzonden.
Als de promiscuous-modus is ingeschakeld (standaard ingeschakeld), ziet u ook alle andere pakketten op het netwerk in plaats van alleen pakketten die zijn geadresseerd aan uw netwerkadapter. Om te controleren of de promiscuous-modus is ingeschakeld, klikt u op Capture> Options en controleert u of het selectievakje “Enable promiscuous mode on all interfaces” aan de onderkant van dit venster is geactiveerd.
Klik op de rode “Stop” -knop in de linkerbovenhoek van het venster als u wilt stoppen met het vastleggen van verkeer.
Kleur codering
U ziet waarschijnlijk pakketten gemarkeerd in verschillende kleuren. Wireshark gebruikt kleuren om u te helpen de soorten verkeer in één oogopslag te identificeren. Standaard is lichtpaars TCP-verkeer, lichtblauw is UDP-verkeer en geeft zwart pakketten met fouten aan – ze kunnen bijvoorbeeld niet in de juiste volgorde zijn afgeleverd.
Om precies te zien wat de kleurcodes betekenen, klikt u op Beeld> Kleurregels. U kunt hier ook de kleurregels aanpassen en wijzigen, als u dat wilt.
Voorbeeldopnames
Als er niets interessants is op uw eigen netwerk om te inspecteren, kunt u op de wiki van Wireshark terecht. De wiki bevat een pagina met voorbeeldbestanden die u kunt laden en inspecteren. Klik op Bestand> Openen in Wireshark en blader naar uw gedownloade bestand om er een te openen.
U kunt ook uw eigen opnames opslaan in Wireshark en ze later openen. Klik op Bestand> Opslaan om uw vastgelegde pakketten op te slaan.
Pakketten filteren
Als u iets specifieks probeert te inspecteren, zoals het verkeer dat een programma verzendt wanneer u naar huis belt, helpt het om alle andere applicaties die het netwerk gebruiken af te sluiten, zodat u het verkeer kunt beperken. Toch zul je waarschijnlijk een groot aantal pakketten moeten doorzoeken. Dat is waar de filters van Wireshark binnenkomen.
De eenvoudigste manier om een filter toe te passen, is door het in het filtervak bovenaan het venster te typen en op Toepassen te klikken (of op Enter te drukken). Typ bijvoorbeeld “dns” en u ziet alleen DNS-pakketten. Wanneer u begint te typen, helpt Wireshark u uw filter automatisch aan te vullen.
U kunt ook op Analyseren> Weergavefilters klikken om een filter te kiezen uit de standaardfilters in Wireshark. Vanaf hier kunt u uw eigen aangepaste filters toevoegen en deze opslaan zodat u ze in de toekomst gemakkelijk kunt openen.
Voor meer informatie over de display-filtertaal van Wireshark, lees je de pagina Building display filter expressions in de officiële Wireshark-documentatie.
Een ander interessant ding dat u kunt doen, is met de rechtermuisknop op een pakket klikken en Volgen> TCP-stream selecteren.
U ziet het volledige TCP-gesprek tussen de client en de server. U kunt ook op andere protocollen klikken in het menu Volgen om de volledige conversaties voor andere protocollen te zien, indien van toepassing.
Sluit het venster en je zult zien dat er automatisch een filter is toegepast. Wireshark laat je de pakketten zien waaruit het gesprek bestaat.
Pakketten inspecteren
Klik op een pakket om het te selecteren en u kunt naar beneden graven om de details te bekijken.
U kunt hier ook filters maken – klik met de rechtermuisknop op een van de details en gebruik het submenu Toepassen als filter om een filter op basis daarvan te maken.
Wireshark is een buitengewoon krachtig hulpmiddel en deze tutorial krabt slechts aan de oppervlakte van wat je ermee kunt doen. Professionals gebruiken het om netwerkprotocol-implementaties te debuggen, beveiligingsproblemen te onderzoeken en interne netwerkprotocollen te inspecteren.
U kunt meer gedetailleerde informatie vinden in de officiële Wireshark-gebruikershandleiding en de andere documentatiepagina’s op de website van Wireshark.