Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Tutorials

Wireshark Tutorial Teil 3

Inhalt

Teil 1
Einleitung
Grundlagen der Datenübertragung
Installation
Teil 2
Übung 1: Ping und ICMP
Aufzeichnung starten
Testdaten erzeugen
Erste Filter
Filter erweitern
Frames im Detail
Übungsaufgaben zu Übung 1
Teil 3
Wireshark anpassen
Das Menü View
Übung 2: RTT bestimmen
Übungsaufgaben
Teil 4
Capture Filter
Syntax
Operatoren
Beispiele
Zugriff auf Inhalte ab einem Offset
Übungsaufgaben

Wireshark anpassen

Viele Einstellungen der Benutzeroberfläche von Wireshark können Sie anpassen. Den entsprechenden Dialog finden Sie unter Edit / Preferences. Unter der Auswahl "User Interface" kann die Plazierung des Scrollbars und die Form der Toolbar verändert werden. Unterhalb von Layout können Sie die Plazierung der drei Anzeigebereiche von Wireshark festlegen.

Auswahl der Spalten (Columns)

Sehr nützlich ist die Konfiguration der Spalten in der Paketliste. Neue Spalten können mit der Schaltfläche New hinzugefügt werden. Danach muss unter Properties der Inhalt der neuen Spalte festgelegt werden. Titel steht für die Beschriftung der Spalte, Format legt den Inhalt der Spalte fest.

Konfiguration von Wireshark

Preferences / Spaltenauswahl

Ich blende gerne die Delta Time in die Paketliste ein. Diese Spalte zeigt die Zeit zwischen zwei Frames an. Bei der Untersuchung von Antwortzeitproblemen und anderen Performanceproblemen ist die Anzeige der Delta Time sehr nützlich. Mit den Schaltflächen Up und Down können die Spalten sortiert werden. Mit Save werden die Änderungen gespeichert. Damit die Änderungen wirksam werden, ist mitunter ein Neustart von Wireshark erforderlich.

Das Menü View

Im Menü View können einige Eigenschaften der Anzeige verändert werden. Nützlich ist die Umschaltung des Formates der Zeitanzeige: View / Time Display Format. Manchmal ist die farbige Darstellung in der Paketliste störend. Über View / Colorize Packet List kann das Einfärben der Frames deaktiviert werden. Auf dem Einsatz eigener Regeln zur Farbdarstellung bei der Fehlersuche werde ich in einem späteren Teil dieses Tutorials eingehen.

Übung: RTT bestimmen

In dieser Übung werden wir die Laufzeit von Pakten im Netzwerk mit Wireshark messen. Zuerst blenden wir eine Spalte mit der Delta Time in die Anzeige ein. Dann starten wir eine neue Aufzeichnung (Capture / Interfaces). Während dei Aufzeichnung läuft, öffnen wir eine Kommandozeile und setzen von dort einen Ping auf den Host www.google.de ab: 

C:\>ping www.google.de

Ping www.l.google.com [66.249.93.99] mit 32 Bytes Daten:

Antwort von 66.249.93.99: Bytes=32 Zeit=27ms TTL=245
Antwort von 66.249.93.99: Bytes=32 Zeit=27ms TTL=245
Antwort von 66.249.93.99: Bytes=32 Zeit=27ms TTL=245
Antwort von 66.249.93.99: Bytes=32 Zeit=26ms TTL=245

Ping-Statistik für 66.249.93.99:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 26ms, Maximum = 27ms, Mittelwert = 26ms

Danach können wir den Trace anhalten. Zur Auswertung wird ein Displayfilter auf das Protokoll ICMP eingerichtet.

ICMP filtern

Displayfilter ICMP

ICMP wird vom Ping benutzt um die Erreichbarkeit eines Hosts festzustellen. Zusätzlich gibt Ping die Laufzeit der Pakete an. Die angezeigte Zeit beinhaltet den Hin- und den Rückweg. Diese Zeit wird auch Round Trip Time (RTT) genannt. In meinem Beispiel zeigt Ping eine Laufzeit von 26-27 ms an. Diese Angabe können wir im Wireshark überprüfen.

ICMP Packete im Sniffer

Ping auf www.google.de im Wireshark

Das Packet 1 ist ein Echo Request. Dieses Packet läuft vom eigenen PC zu Google. Die Antwort (Echo Reply) trifft nach 27,7 ms ein (siehe Spalte Delta Time). Danach wartet das Ping 986 ms bis es das nächste Paket sendet (Nummer 3). Die Antwort von Google im Paket Nummer 4 trifft nach 27 ms bei mir ein.

Übungsaufgaben

Üben Sie das Aufzeichnen und Lesen und Speichern von Traces.

  1. Setzen Sie ein Ping auf verschiedene Server im Internet ab.
  2. Bestimmen Sie die RTT im Wireshark. Stimmen die Angaben mit dem Ping überein?
  3. Speichern Sie das Abspeichern ganzer Traces, einzelner Frames und gefilterter Frames.
  4. Exportieren Sie einen Traces als Textdatei. Öffnen Sie die Datei in einem ASCII-Editor.

Hilfe im Forum

Im Netzwerkforum erhalten Sie Hilfe zur Nutzung von Wireshark.

  • Fragen zur Installation und Benutzung von Wireshark posten Sie bitte an das Forum Tools.
  • Fragen zur Netzwerkprotokollen und Protokollanalyse posten Sie bitte an das Forum Netzwerkprotokolle und Dienste.

 

<-- Wireshark Tutorial Teil 2 Wireshark Tutorial Teil 4 -->

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012