Mit Wireshark lässt sich Datenverkehr unterschiedlicher Kommunikationsschnittstellen mitlesen, aufzeichnen und analysieren. Die Software ist kostenlos (auch im Quellcode) erhältlich und für die Protokoll-Analyse, das Netzwerk-Monitoring oder das Troubleshooting einsetzbar.
Bei Wireshark handelt es sich um eine frei erhältliche, quelloffene Software unter GNU General Public License. Die Software ist für unterschiedliche Betriebssysteme wie Windows, Linux, macOS oder Solaris verfügbar.
Das Tool ist in der Lage, Datenverkehr auf unterschiedlichen Schnittstellen wie Ethernet-, USB- oder WLAN-Schnittstellen mitzulesen, aufzuzeichnen und zu analysieren. Wichtige Einsatzbereiche sind das Netzwerk-Monitoring, die Fehlersuche und Fehleranalyse, die Protokoll-Analyse und die IT-Sicherheitsüberwachung. Auch bei Hackern ist das Programm allerdings ein beliebtes Tool.
Entstanden ist die Software aus dem Vorläufer Ethereal. Die erste Version von Wireshark war Version 0.99.1 und erschien im Jahr 2006. Version 1.0 folgte im Jahr 2008. Wireshark 2.0 wurde im Jahr 2015 veröffentlicht und mit einer neuen Bedienoberfläche ausgestattet. Der Vorgänger Ethereal existiert noch immer, wird aber nicht mehr weiterentwickelt.
Wireshark erkennt als paketorientierter Sniffer viele verschiedene Protokolle und stellt die wichtigsten Informationen der Protokollheader übersichtlich und leicht lesbar dar. Für das Mitlesen der Daten nutzt Wireshark Zusatzprogramme wie WinPcap, usbpcap oder pcap. Capture-Daten anderer Netzwerk-Analysatoren lassen sich einlesen und analysieren. Zur anschaulichen Darstellung der aufgezeichneten Daten sind Verbindungsübersichten, statistische Informationen zum Datenfluss und Ablaufdiagramme von Kommunikationsverbindungen erstellbar. Darüber hinaus sind binäre Daten aus dem aufgezeichneten Datenstrom extrahierbar.
Im Laufe der Jahre hat sich Wireshark als Standard-Tool für Netzwerkanalysen etabliert. Installationsassistenten für Windows sorgen neben der Installation des Hauptprogramms für das Aufspielen der zum Mitlesen benötigten Zusatzprogramme wie WinPcap.
Technische Möglichkeiten und Anwendungsbereiche
Die technischen Möglichkeiten der Software sind sehr vielfältig. Die mitgelesenen Daten lassen sich während der Aufzeichnung oder danach in Form von einzelnen Paketen mit leicht lesbaren Headerinformationen darstellen. Über verschiedene Protokollfilter werden die Daten aufbereitet. Auch der tatsächliche Inhalt der Datenpakete ist auswertbar. Am häufigsten wird der Netzwerk-Sniffer für die Protokoll-Analyse auf den Schnittstellen Ethernet und im WLAN für Netzwerkprotokolle der TCP/IP-Familie eingesetzt.
Darüber hinaus ist das Tool in der Lage, Datenverkehr auf anderen Schnittstellen wie Bluetooth oder USB aufzuzeichnen und auszuwerten. Voraussetzung für das Mitlesen auf der jeweiligen Schnittstelle ist die Installation eines entsprechenden Capture-Programmpakets wie WinPcap sowie die Zugriffsberechtigung des Users auf die jeweilige Schnittstelle.
Wireshark extrahiert bei diversen Protokollen Metainformationen aus dem Kontext des Datenflusses und zeigt diese an. Anwendern steht die Möglichkeit zur Verfügung, eigene Module und Filter für ein bestimmtes Netzwerkprotokoll zu erstellen.
Ohne die Verwendung von Filtern zeichnet Wireshark den kompletten Datenverkehr der Schnittstelle auf. Um die Datenmenge zu reduzieren und sich auf das zu analysierende Netzwerkprotokoll zu beschränken, bietet das Tool die Möglichkeit, Capture-Filter zu nutzen. Capture-Filter lassen sich beispielsweise für bestimmte IP-Adressen, Protokolle, Protokollnachrichten und viele weitere Parameter konfigurieren. Ein Filter mit vorgegebenen IP-Adresse beschränkt den aufgezeichneten Verkehr auf die Pakete von und zu einzelnen Netzwerkkomponenten.
Über die Stream-Verfolgung ist es möglich, gezielt einzelne TCP-Streams aufzuzeichnen und zu analysieren. Weitere wichtige Features von Wireshark sind die Statistik-Funktionen. Sie erlauben das Erstellen von Statistiken zum Datenverkehr hinsichtlich Parameter wie Paketlängen, Typen von Netzwerkprotokollen, Verbindungsendpunkten, Antwortzeiten, Kommunikationsbeziehungen oder IP-Adressen. Funktionen zu UDP Multicast-Streams, Signal-Traffic (SIP) und Voice-Traffic (RTP) analysieren den VoIP-Verkehr auf einer Netzwerkschnittstelle sehr genau und tiefgehend. Mit wenigen Klicks sind die verschiedenen RTP-Streams herausgefiltert und grafisch dargestellt. Per Statistikfunktionen sind die für die Qualität der VoIP-Kommunikation wesentlichen Merkmale wie Jitter oder Delay extrahier- und anzeigbar.
Geswitchte Netzwerke
Wireshark kann nur den Datenverkehr einer bestimmten Schnittstelle des Rechners, auf dem die Software installiert ist, mitlesen. In einer geswitchten Umgebung sind das nur die vom Rechner gesendeten oder empfangenen Pakete sowie die an alle adressierten Broadcast-Pakete. Nur in einem unverschlüsselten WLAN oder am Port eines Hubs ist sämtlicher Netzwerkverkehr, auch der anderer verbundener Rechner, mitlesbar.
Soll in einer geswitchten Umgebung der Verkehr eines bestimmten Rechners mitgeschnitten und analysiert werden, empfiehlt sich die Verwendung der so genannten Mirror-Funktion eines Switches. Sie sorgt dafür, dass der Netzwerkverkehr eines definierten Switchports auf einen anderen Port gespiegelt wird. Dort kann dann ein Rechner mit installiertem Netzwerk-Sniffer angeschlossen werden. Dieser ist in der Lage, den Datenverkehr des gespiegelten Ports aufzuzeichnen und auszuwerten.
Capture-Daten anderer LAN-Analysatoren
Wireshark analysiert nicht nur Datenverkehr, den das Programm selbst aufgezeichnet hat, sondern liest auch Capture-Daten verschiedener Formate anderer LAN-Analysatoren oder Netzkomponenten ein. Zahlreiche Geräte wie Router oder Switches verschiedener Hersteller bieten die Möglichkeit, Datenverkehr in einem für Wireshark lesbaren Format aufzuzeichnen. Dazu zählen beispielsweise die in Deutschland sehr beliebten Fritzbox-Router des Herstellers AVM. Die vom Netzwerkgerät gelieferten Daten lassen sich in Wireshark öffnen und flexibel auswerten.
Schwachstellen der IT-Sicherheit aufspüren
Ein wichtiges Einsatzgebiet des Protokollanalysators ist das Umfeld der Netzwerk-Security. Mit der Software kann die IT-Sicherheit überprüft werden. Schwachstellen lassen sich aufspüren und verdächtiger Datenverkehr identifizieren. So sind sämtliche Kommunikationspartner einer bestimmten Netzwerkstation anhand der IP-Adressen identifizierbar. Verdächtige Pakete zu oder von unbekannten IP-Adressen sind schnell bestimmt. Kommt die Software an zentralen Schnittstellen eines Netzwerks wie beispielsweise auf dem Interface zum Internetanschluss oder an der WAN-Schnittstelle eines Routers zum Einsatz, erfasst die Software sämtlichen ein- und ausgehenden Verkehr mit allen wichtigen Informationen. Der komplette Datenverkehr ist hinsichtlich IT-Sicherheit auswertbar.
Gesetzliche und datenschutzrechtliche Aspekte
Beim Einsatz von Wireshark sind einige gesetzliche Aspekte zu beachten. In Deutschland ist es verboten, fremde Netzwerkverbindungen mitzulesen und aufzuzeichnen. Während die Verwendung des Netzwerkanalysators im eigenen Netz in der Regel unproblematisch ist, muss für den Einsatz des Tools in fremden Netzwerkumgebungen eine Erlaubnis eingeholt werden. Auch die datenschutzrechtlichen Bestimmungen sind bei der Aufzeichnung, Speicherung und Weitergabe von Mitschnitten unbedingt einzuhalten!