Wireshark
Wireshark (englisch wire „Draht“, „Kabel“ und shark „Hai“) ist eine freie Software zur Analyse und grafischen Aufbereitung von Datenprotokollen (Sniffer), die 2006 als Fork des Programms Ethereal (englisch „himmlisch“, „ätherisch“, Anspielung auf Ethernet) entstanden ist. Solche Datenprotokolle verwenden Computer auf verschiedensten Kommunikationsmedien wie dem lokalen Netzwerk, Bluetooth oder USB. Das Netzwerk-Analyse-Tool kann Administratoren, Netzwerk-Experten und Sicherheits-Experten bei der Suche nach Netzwerkproblemen, der Ermittlung von Botnet-Verbindungen oder beim Netzwerk-Management behilflich sein.
| Wireshark | |
|---|---|
| |
 Wireshark 3.0.3 beim Mitschneiden von Netzwerktraffic | |
| Basisdaten | |
| Entwickler | Wireshark-Community |
| Erscheinungsjahr | 1998 |
| Aktuelle Version | 3.6.1[1][2] (29. Dezember 2021) |
| Betriebssystem | Unix, Linux, Solaris, Mac, Windows und diversen BSD-Versionen |
| Programmiersprache | C |
| Kategorie | Netzwerkanalyse und Sniffer |
| Lizenz | GPL (freie Software) |
| deutschsprachig | ja |
| www.wireshark.org | |
Wireshark zeigt bei einer Aufnahme sowohl den Protokoll-Kopf als auch den übertragenen Inhalt an. Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie pcap oder usbpcap, um den Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium mitzuschneiden.
Technische Details
Das Werkzeug Wireshark stellt entweder während oder nach der Aufzeichnung von Datenverkehr einer Netzwerk-Schnittstelle die Daten in Form einzelner Pakete dar. Dabei werden die Daten übersichtlich mit entsprechend auf die jeweiligen Protokolle angepassten Filtern aufbereitet. So kann der Inhalt der mitgeschnittenen Pakete betrachtet oder nach diesem gefiltert werden. Wireshark kann auch Statistiken zum Datenfluss erstellen oder über spezielle Filter gezielt binäre Inhalte wie Bilder u. a. extrahieren.
Als Netzwerkschnittstellen, deren Datenverkehr analysiert werden kann, sind primär Ethernet mit den verschiedenen Internetprotokollfamilien wie TCP/IP zu nennen. Darüber hinaus kann Wireshark auch drahtlosen Datenverkehr im Wireless Local Area Network (WLAN) und Bluetooth-Verbindungen aufzeichnen und analysieren. Über entsprechende Module lassen sich weitere übliche Schnittstellen wie USB in Wireshark integrieren.[3] Unter Windows zeichnet Wireshark den Datenverkehr ab Version 3.0 transparent mit Hilfe von Npcap[4] auf. Bis zur Version 3.0 wurde WinPcap verwendet. Voraussetzung dafür ist immer, dass der jeweilige Rechner, auf dem Wireshark betrieben wird, über die entsprechenden physischen Schnittstellen verfügt und der Benutzer entsprechende Zugriffsberechtigungen auf diese Schnittstellen hat.
Neben der grafischen Wireshark-Version gibt es das auf demselben Netzwerkcode basierende Tshark, das über Kommandozeilen-Optionen gesteuert wird. Für beide Versionen wurde das Aufzeichnungsformat der Messdaten von tcpdump entlehnt bzw. übernommen. Gleichwohl kann Wireshark zusätzlich die Formate anderer LAN-Analyzer einlesen.
Geschichte
Wireshark wurde ursprünglich als Ethereal von einem Team um Gerald Combs unter der GNU General Public License als freie quelloffene Software (FOSS) entwickelt.
Als Gerald Combs von Ethereal Software Inc. zu CACE Technologies wechselte, startete er ein eigenes Folgeprojekt und nannte es Wireshark. Die erste Version von Wireshark wurde am 7. Juni 2006 mit der Versionsnummer 0.99.1 veröffentlicht.[5] Der Vorläufer Ethereal ist weiterhin in Version 0.99.0 erhältlich, wird aber nicht mehr weiterentwickelt.
Version 1.0 von Wireshark wurde am 31. März 2008 veröffentlicht.[6]
Version 2.0 von Wireshark wurde am 19. November 2015 veröffentlicht. Das ganze Programm wurde auf Qt umgestellt und mit einer neuen, intuitiv bedienbaren Oberfläche versehen.
Besondere Leistungsmerkmale
Wireshark fügt bei verschiedenen Protokollen Metainformationen zu Paketen hinzu, die sich nur aus dem Kontext des Datenflusses ergeben. So wird zu SMB-Paketen, die aus Operationen in Windows-Dateifreigaben stammen, der Datei- bzw. Verzeichnisname hinzugefügt, wenn das Öffnen der Datei mit aufgezeichnet wurde. Diese speziellen Filter und Protokollmodule kann der Benutzer auch selber erstellen, um zum Beispiel selbst entworfene Übertragungsprotokolle mittels Wireshark effizient untersuchen zu können.
Vergangenheit und Zukunft
Vorläufer von Ethereal und Wireshark waren Netzwerk-Analyse-Produkte kommerzieller Hersteller. In Erscheinungsform und Wirkungsweise erinnert manches an diese Vorläufer, von denen einige inzwischen durch das erfolgreiche Open-Source-Projekt Ethereal/Wireshark vom Markt verdrängt und infolgedessen eingestellt worden sind.
Letztlich ist Wireshark aber ein paket- und nicht datenorientierter Sniffer, dessen Schwerpunkt die Analyse punktueller Probleme ist.
Literatur
- Bernhard J. Hauser: Netzwerkanalyse mit Wireshark – Einführung in die Protokollanalyse. 2. erweiterte Auflage, Europa-Lehrmittel-Verlag, 2018, ISBN 978-3-8085-5409-8.
Weblinks
Deutsch
- Netzwerkanalyse mit Wireshark – Admin-Magazin, aus der Ausgabe 05/2011
- Analyse mit tcpdump/wireshark – Butschek.de, am 24. April 2009
- Wireshark – günstige Sniffer-Alternative – Computerwoche, am 11. Oktober 2006
- Ethereal (Wireshark) Tutorial – Seite bei Easy-Network
- Wireshark Tutorial Teil 1 – Seite bei Network Lab
Englisch
- Wireshark-Homepage
- Packetyzer – alternative Oberfläche für Ethereal (Windows)
Einzelnachweise
- Wireshark 3.6.1 is now available. 29. Dezember 2021 (abgerufen am 13. Januar 2022).
- Wireshark 3.6.1 and 3.4.11 Released. 29. Dezember 2021 (abgerufen am 13. Januar 2022).
- USB capture setup. Abgerufen am 17. Juni 2018.
- Wireshark · Wireshark 3.0.0 Released. Abgerufen am 15. Mai 2019.
- Ethereal is now Wireshark (englisch) – Meldung bei Wireshark. 7. Juni 2006.
- Netzwerkschnüffler Wireshark in Version 1.0 erschienen – Heise, am 31. März 2008.