Wireshark 1.0.0
Kostenloser Netzwerk-Sniffer
Detaillierte Auswertungen
Wireshark 1.0.0
Erfolgreiche Netzwerkanalyse unterscheidet richtige Admins von Druckerpapier-Nachlegern. Das Open-Source-Tool Wireshark (früher Ethereal) ist dafür seit Jahren Standard und eine Alternative zu sündhaft teuren Spezial-Tools. Die Software schneidet den Datenverkehr im Netzwerk mit und analysiert ihn. Durch die Analyse werden die kryptischen Paketdaten in verständliche Informationen übersetzt, die dann gezielt durchsucht und gefiltert werden können – und zwar bis ins Detail.
Auf dem Prüfstand stand die aktuelle Windows-Version 1.0.0. Unter Windows wird für den Betrieb eine spezielle Bibliothek benötigt, WinPcap. Diese erlaubt hardware-nahen Zugriff auf die Netzwerkschnittstellen und wird praktischerweise vom Installer von Wireshark einfach aufgespielt. Die Neuheiten sind unspektakulär: Die Version 1.0.0 bringt neben Sicherheits-Updates nur verbesserte Unterstützung für einige Protokolle mit. Die Ausstattung ist trotzdem umfangreich und lässt wenige Wünsche offen.
Einfache Installation: Der WinPcap-Treiber wird automatisch unter Windows mitinstalliert. ((Ins Bild klicken für vollständige Ansicht.))
Die Installation selbst läuft komfortabel und schnell ab. Die englische Oberfläche erfordert aber eine gewisse Einarbeitungszeit. Nutzer können gezielt die Darstellung anpassen, etwa überflüssige Spalten ausblenden, wenn es zu unübersichtlich wird oder bei Bedarf mehr Infos einblenden. Ein Beispiel: Wer mit Antwortzeit-Problemen zu kämpfen hat, kann sich die Zeitabstände der Pakete über Delta Time anzeigen lassen.
Wireshark erkennt die vorhandenen Netzwerkadapter – diese können Sie dann für die Paket-Analyse auswählen. ((Ins Bild klicken für vollständige Ansicht.))
Schnell Sniffen
Wireshark 1.0.0
Aufzeichnungen starten Nutzer über Capture/Interfaces. Die Ansicht zeigt die Anzahl der übertragenen Pakete und die übertragenen Pakete pro Sekunde für die gefundenen Netzwerkschnittstellen an. Einfach: Mit der Schaltfläche Start starten Sie die Aufzeichnung der Datenübertragung für ein bestimmtes Interface.
Auf den ersten Blick wird klar, dass man ohne Filter nicht glücklich wird. Wireshark schreibt einfach alles mit, und das auch schnell. Über den Filter ip.addr==IP-Adresse können Sie alles ausblenden, was nicht über Ihre Netzwerkschnittstelle geht. Weitere Filter etwa der Zusatz && icmp schränkt die Anzeige noch weiter ein, in diesem Fall auf ICMP-Requests. Für die richtige Syntax müssen Nutzer aber vorher die Hilfe studieren. Achtung: Es gibt noch einen zweiten Typ Filter. Mit Capture Filtern können Nutzer gezielt die Aufzeichnung einschränken, etwa auf TCP- oder UDP-Pakete. Das lässt sich sehr viel komfortabler übers Menü einstellen.
Das Hauptfenster von Wireshark teilt sich in drei Bereiche: Paketliste, Details und die hexadezimale Paketanzeige. Die in der Paketliste angezeigten Spalten können über die Menüauswahl Edit/Preferences ausgewählt werden. Die Spalte Source zeigt den Absender. In der Spalte Destination steht der Empfänger des Frames. Im mittleren Teil des Bildschirms werden die Details zum ausgewählten Frame angezeigt. Nutzer wählen die Einträge erst in der Paketliste und können sich dann die einzelnen Schichten des Protokoll-Stacks ansehen.
Viele Automatiken bietet Wireshark nicht. Admins dürfen nicht erwarten, dass sie ohne Einarbeitungszeit sinnvolle Ergebnisse aus dem Programm kitzeln. Vor allem bei größeren Netzwerken kann man das durch den Verzicht auf eine kommerzielle Lösung gesparte Geld in eine Schulung investieren.
Ohne Filter: Wer einfach drauflos-snifft, muss damit rechnen von gesammelten Daten erschlagen zu werden. ((Ins Bild klicken für größere Ansicht.))
Mit Filter: Erst die umfangreichen Filter-Möglichkeiten machen Wireshark zum praktischen Analyse-Werkzeug. ((Ins Bild klicken für größere Ansicht.))
Fazit
Wireshark 1.0.0
Wireshark gehört in jede Tool-Sammlung für Administratoren. Im Gegensatz zu teuren Analysetools muss der Wireshark-Nutzer jedoch viel Netzwerk-Know-How haben und selbst Hand anlegen. Beim Einsatz in großen Netzwerken ist eine Schulung sinnvoll.
Wireshark 1.0.0
Hersteller: Gerald Combs
Internet: www.wireshark.org
Preis: kostenlos
Note: gut
Leistung (40%): gut
Ausstattung (30%): gut
Bedienung (30%): befriedigend
Das ist neu
– Kombi-Installer mit WinPcap
– bessere Protokollunterstützung
Systemvoraussetzungen
Betriebssysteme: Windows, Linux, Solaris, Mac OS X
Prozessor: Pentium III oder höher
Arbeitsspeicher: 256 MByte
