Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- lager:lok_netze:wireshark_vertiefung [11.02.2019 11:28] – richard
+++ lager:lok_netze:wireshark_vertiefung [04.02.2025 12:09] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-~~DISCUSSION|Ergänzungen~~
+~~DISCUSSION:closed|Ergänzungen~~
 ====== Vertiefung in Wireshark ======
@@ Zeile 49: / Zeile 49: @@
 **Jedes Protokollfeld kann als Filter verwendet werden**. Oft kennt man nicht den genauen Dissectornamen bzw. die Struktur in der ''wireshark'' diese abgelegt hat.
-**TIPP:** Mit einem **Rechtsklick** auf das betreffende Feld kann man dieses als Filter einfügen ''Apply as Filter Selected''. Dabei stehen mehrere Möglichkeiten zur Wahl. Mit ''Prepare a Filter'' wird der Wert nur in den Filter übernommen, aber noch nicht aktiviert. Durch ''Not'' oder ''...and Selected'' lassen sich so komplexe Filter zusammenbauen.
+**TIPP:** Mit einem **Rechtsklick** auf das betreffende Feld kann man dieses als Filter einfügen **''Apply as Filter Selected''/''Als Filter anwenden das Ausgewählte''**. Dabei stehen mehrere Möglichkeiten zur Wahl. Mit ''Prepare a Filter''/''Filter vorbereiten'' wird der Wert nur in den Filter übernommen, aber noch nicht aktiviert. Durch ''Not'' oder ''...and Selected'' lassen sich so komplexe Filter zusammenbauen.
 {{:lager:lok_netze:bilder:wireshark_apply_as_filter_selected.png?400|Rechtsklick-Dialog "Apply as Filter -> Selected"}}
-Eine weitere Möglichkeit ist das Hinzufügen von **Protokollfeldern als Anzeigespalte**. Dies geschieht ebenfalls mittels **Rechtsklick** und ''Apply as Column''.
+Eine weitere Möglichkeit ist das Hinzufügen von **Protokollfeldern als Anzeigespalte**. Dies geschieht ebenfalls mittels **Rechtsklick** und **''Apply as Column''/''Als Spalte anwenden''**.
 Hierdurch ist es möglich wie bei Listen üblich **die neue Spalte als Sortierkriterium** auszuwählen. Damit kann man vor allem in großen Paketmengen sehr leicht Häufungen von Protokollinhalten erkennen.
-''Conversations'' ist ebenfalls eine sehr interessante Informationsquelle. Dieses Menü befindet sich unter ''Statistics → Conversations''. Der Dialog ist mit Reitern für die unterschiedlichen mitgeschnittenen Protokolle versehen. Auf jedem Reiter werden die Detailinformationen zu den erkannten Kommunikationsbeziehungen aufgeführt (Anzahl Pakete, Bytes; Dauer etc.). Aus dieser Tabelle lassen sich Rückschlüsse über das lokale Netz machen. Welche PCs verwenden ''ARP'' oder ''NetBIOS''? Diese können nur im lokalen Netz sein, in dem sich der ''wireshark''-PC befindet. Über die Ethernet-Tabelle lassen sich Schnittstellen finden, die per Filter auf weitere Kommunikationsbeziehungen untersucht werden können. PCs mit hohem Paketaufkommen deuten auf Server hin usw.
+**''Conversations''/''Verbindungen''** ist ebenfalls eine sehr interessante Informationsquelle. Dieses Menü befindet sich unter **''Statistics → Conversations''/''Statistiken → Verbindungen''** . Der Dialog ist mit Reitern für die unterschiedlichen mitgeschnittenen Protokolle versehen. Auf jedem Reiter werden die Detailinformationen zu den erkannten Kommunikationsbeziehungen aufgeführt (Anzahl Pakete, Bytes; Dauer etc.). Aus dieser Tabelle lassen sich Rückschlüsse über das lokale Netz machen. Welche PCs verwenden ''ARP'' oder ''NetBIOS''? Diese können nur im lokalen Netz sein, in dem sich der ''wireshark''-PC befindet. Über die Ethernet-Tabelle lassen sich Schnittstellen finden, die per Filter auf weitere Kommunikationsbeziehungen untersucht werden können. PCs mit hohem Paketaufkommen deuten auf Server hin usw.
+**TIPP:** Auch in diesem Dialog funktioniert Rechtsklick und ''Apply as Filter''/''Als Filter anwenden''.
-**TIPP:** Auch in diesem Dialog funktioniert Rechtsklick und ''Apply as Filter''.
 **TIPP:** Hat man im mittleren Packet Details-Bereich ein Protokollfeld ausgewählt, so wird der von ''wireshark'' verwendete Feldname in der Statuszeile unten links angezeigt.
@@ Zeile 67: / Zeile 68: @@
 ''wireshark'' verfügt über eine Heuristik, die auf Unregelmäßigkeiten aufmerksam macht. Hierdurch kann man schnell zu Fehlern oder Warnings navigieren.
-Eine weitere Informationsquelle ist die ''Statistics → Protocol Hierarchy''. Hier werden alle mitgeschnittenen Protokolle nach ihrer Häufigkeit aufgeführt. Auch hier lassen sich Unregelmäßigkeiten entdecken. Z.B. Warum werden viele ''ARP''-Anfragen durchgeführt, wenn nur wenige IP-Adressen aktiv sind?
+Eine weitere Informationsquelle ist die **''Statistics → Protocol Hierarchy''/''Statistiken → Protokollhierarchie''**. Hier werden alle mitgeschnittenen Protokolle nach ihrer Häufigkeit aufgeführt. Auch hier lassen sich Unregelmäßigkeiten entdecken. Z.B. Warum werden viele ''ARP''-Anfragen durchgeführt, wenn nur wenige IP-Adressen aktiv sind?
 ===== Speicherorte =====
@@ Zeile 142: / Zeile 143: @@
 ====== Analyse des testdump / Daten-Forensik======
-Zunächst müssen Sie den testdump im ''wireshark'' öffnen. Den testdump können Sie als ''zip''-Datei {{ :lager:lok_netze:testdump_ws.pcapng.zip |herunterladen}}. Vor der Nutzung muss die ''zip''-Datei entpackt werden und kann dann mit ''wireshark'' geöffnet werden. (Wenn die Dateiendung richtig verknüpft ist, dann reicht ein Doppelklick.)
+Zunächst müssen Sie den testdump im ''wireshark'' öffnen. Den testdump können Sie als ''zip''-Datei **{{ :lager:lok_netze:testdump_ws.pcapng.zip |herunterladen}}**. Vor der Nutzung muss die ''zip''-Datei entpackt werden und kann dann mit ''wireshark'' geöffnet werden. (Wenn die Dateiendung richtig verknüpft ist, dann reicht ein Doppelklick.)
 In dem Mitschnitt sind einige Kommunikationen enthalten, die im folgenden näher untersucht werden sollen. Ein sehr großer Teil des Mitschnitts stammt aus dem Domänenbeitritt eines Clients.