Zwei einfache Filter für Wireshark zur Analyse des TCP- und UDP-Verkehrs

Wireshark ist ein Protokollanalysator, der zum Download zur Verfügung steht. Der Beitrag dieser Woche bietet eine kurze Einführung in Wireshark und zeigt zwei grundlegende Filter, mit denen zwei verschiedene Verkehrsklassen extrahiert werden können.

Wireshark kann über die Befehlszeile gestartet werden, muss jedoch normalerweise als root oder als sudo ausgeführt werden. Abbildung A zeigt den Aufnahmebildschirm.

Abbildung A.

Klicken um zu vergrößern.
Zum Starten einer Aufnahme müssen Sie lediglich auf das in Abbildung A grün eingekreiste Symbol klicken. Wenn Sie auf das Symbol neben dem Symbol klicken (rot eingekreist), wird die Aufnahme gestoppt. Wie Abbildung A zeigt, besteht die Wireshark-Ausgabe aus zwei Fenstern: Im oberen Bereich werden die Pakete angezeigt, während im unteren Bereich Details zu den im oberen Bereich hervorgehobenen Paketen angezeigt werden. Wenn Sie eine Wireshark-Sitzung beenden, können Sie die Ausgabe in einer Datei speichern. Auf diese Weise können Sie den erfassten Datenverkehr genauer analysieren.

Die für den ersten Teil dieses Beitrags verwendete Wireshark-Erfassung stammt aus einer Sitzung, in der iperf ausgeführt wird. Die iperf-Sitzung war eine kontinuierliche Übertragung von 30 Sekunden. Neben dem iperf-Verkehr gab es noch anderen Verkehr im Netzwerk.

In Abbildung B ist der TCP-Drei-Wege-Handshake zum Herstellen einer Verbindung eingekreist.

Abbildung B.

Klicken um zu vergrößern.
Durch Hervorheben eines Pakets im oberen Rahmen wird eine Zusammenfassung des Pakets im unteren Bereich angezeigt, wie in Abbildung B dargestellt. Sie können die Abschnitte im unteren Bereich erweitern, um den Inhalt des Pakets genauer zu untersuchen . In Abbildung C sind beispielsweise die Abschnitte IP und TCP erweitert. Sie können auch den Datenbereich oder den Ethernet-Bereich erweitern.

Abbildung C.

Klicken um zu vergrößern.

Wireshark zeigt an, ob das Paket fragmentiert wurde, um in die MTU (Maximum Transmission Unit) zu passen. In diesem Fall beträgt die MTU 1514 Bytes. Nebenbei können Sie auch den Protokoll-Overhead für jeden übertragenen Frame sehen. In diesem Fall können wir sehen, dass der Protokoll-Overhead für den Frame 54 Bytes beträgt. Dies umfasst Ethernet-Header-Informationen (14 Byte), IP-Header (20 Byte) und TCP-Header (20 Byte). Dies lässt 1460 Bytes für Daten übrig.

Der zweite Teil dieses Beitrags befasst sich mit der Verwendung einiger grundlegender Filter zum Trennen von Verkehrsklassen. In diesem Fall wurde anstelle von iperf eine Erfassung während eines normalen Verwendungszeitraums durchgeführt. Die erste Klasse, die wir uns ansehen, ist http-Verkehr. Diese Art von Verkehr verwendet TCP in der Transportschicht und arbeitet auf Port 80. Der in diesem Fall verwendete Filter ist tcp.port == 80. Der verwendete Filter und die Ausgabe sind in Abbildung D dargestellt .

Abbildung D.

Klicken um zu vergrößern.
Die andere Art des Datenverkehrs (und dies kann bei der Behebung von Netzwerkproblemen von Interesse sein) ist der DNS-Datenverkehr. DNS verwendet Port 53 und UDP für die Transportschicht. Zum Filtern des DNS-Verkehrs wird der Filter udp.port == 53 verwendet. Wie in Abbildung E zu sehen ist, wurden im Verlauf dieser Erfassung vier Abfragen an DNS gestellt. Es ist möglich, die Abfragen zu verfolgen und festzustellen, ob Probleme bei der DNS-Suche auftreten.

Abbildung E.

Klicken um zu vergrößern.

Wireshark ist ein leistungsstarkes Tool, mit dem Sie überprüfen können, was tatsächlich in einem Netzwerk geschieht. Es bietet die Werkzeuge, um tiefer in die bereitgestellten Daten einzudringen. In diesem Fall haben wir uns zwei grundlegende Filter angesehen, die zeigen, wie der TCP-Verkehr und der UDP-Verkehr betrachtet werden.

© Copyright 2021 | mobilegn.com