Wireshark Advanced: een complete handleiding voor het vastleggen en analyseren van gegevens

Informatic Digital » Middelen » Wireshark Advanced: een complete handleiding voor het vastleggen en analyseren van gegevens

Als je al bekend bent met Wireshark en er meer mee wilt doen, dan is dit artikel iets voor jou. We laten je zien hoe je er echt het maximale uit kunt halen, van de basis tot de basis. van eenvoudige opnames tot geavanceerde verkeersanalysesinclusief filters, kleuren, protocollen en praktische toepassingen in cyberbeveiligingsanalyseprestatie en probleemoplossend vermogen.

In deze tekst worden veel concepten rustig en in eenvoudig, alledaags Spaans uitgelegd. Deze concepten komen vaak voor in professionele tools, cursussen, boeken en labs zoals TryHackMe, maar worden hier toegepast op praktische situaties. Het doel is dat je na het lezen in staat bent om... Navigeer eenvoudig door de Wireshark-interface en leg vast wat u interesseert. en begrijpen wat er op je netwerk gebeurt.

Wat is Wireshark en waarom is het zo belangrijk?

Wireshark is in principe... een netwerkprotocolanalysator (een goede ouderwetse packet sniffer) waarmee je één voor één de pakketten kunt zien die je netwerkinterfaces binnenkomen en verlaten, ongeacht of openbare wifi-netwerkenEthernet of andere protocollen. Elk datapakket wordt vastgelegd, geïsoleerd en in realtime weergegeven, inclusief alle details.

We hebben het over een programma. gratis en open sourceGedistribueerd onder de GNU General Public License v2. Dit betekent dat er geen uitgeklede versies of "demo-edities" zijn: wat u downloadt is de volledige versie, met alle functies, en elke ontwikkelaar kan de code controleren om te verifiëren dat deze niets ongebruikelijks doet.

Het project wordt beheerd door de Wireshark FoundationWireshark is een non-profitorganisatie die de ontwikkeling, documentatie en distributie van de software coördineert. Veel bedrijven en professionals die Wireshark voor hun werk gebruiken, doen donaties, waardoor de tool in leven blijft en verder kan worden ontwikkeld.

Wireshark is beschikbaar voor Windows, macOS en Linux-distributies zoals UbuntuHet programma kan worden gedownload van de officiële website, wireshark.org. Na de installatie verschijnt een interface die in eerste instantie overweldigend kan lijken: honderden regels die razendsnel veranderen, kolommen met IP-adressen, protocollen, lengtes, tijdstempels... maar al die informatie is goud waard voor het diagnosticeren van storingen, het detecteren van aanvallen of het begrijpen van wat uw apparaten doen.

Wireshark-interface: panelen, voorkeuren en aan de slag

Wanneer je Wireshark opent, is het scherm ingedeeld in verschillende hoofdpanelen: de lijst met pakketten, de details van het geselecteerde pakket en de ruwe weergave (hexadecimaal en ASCII-bytes). Inzicht in deze panelen is de basis voor een soepele werking.

Het bovenste paneel toont alle vastgelegde pakketten; elke regel komt overeen met een pakket en bevat informatie zoals pakketnummer, tijd, bron-IP-adres, bestemmings-IP-adres, protocol en een korte samenvatting. In het middelste paneel kunt u zien de gelaagde ontleding van het pakket (link, netwerk, transport, applicatie), en onderaan de bytes in hexadecimale notatie en hun tekstuele weergave.

Vanuit het instellingenmenu kunt u de Wireshark-voorkeuren En je kunt zaken aanpassen zoals de tijdnotatie, hoe de panelen worden weergegeven, de taal van de velden, of zelfs bepaalde elementen verbergen. Je kunt bijvoorbeeld de paneelindeling wijzigen of de weergave van hexadecimale bytes uitschakelen als je je liever alleen op logische analyse wilt concentreren.

Navigatie binnen een schermafbeelding is ook essentieel: je kunt direct naar een specifiek pakketnummer gaan, naar het eerste of laatste item in de lijst springen en door gesprekken navigeren met behulp van sneltoetsen. Bovendien is het mogelijk Markeer de pakketten zodat ze later naar hen teruggestuurd kunnen worden.Dit is erg handig wanneer je een lange tekst volgt en bepaalde belangrijke punten moet onthouden.

Verkeersregistratie: interfaces, limieten en pakkettypen

Voordat je kunt analyseren, moet je gegevens vastleggen. Met Wireshark kun je kiezen welke gegevens je wilt vastleggen. netwerkinterface Wil je het horen?De ethernetkaart, wifi, virtuele interfaces, tunnels, enzovoort. Niet alle interfaces ondersteunen hetzelfde detailniveau, maar over het algemeen kunt u het verkeer zien dat uw apparaat passeert en in bepaalde modi zelfs het verkeer dat door uw lokale netwerk circuleert.

Voor de oefening is het heel gebruikelijk om met beperkte opnames te werken. Je kunt bijvoorbeeld een opname starten die beperkt is tot... 1.000 verpakkingenOf configureer het zo dat het na 5 seconden automatisch stopt. Dit is handig om grote bestanden te vermijden en je te concentreren op specifieke, tijdelijke activiteiten.

Wireshark ondersteunt ook opnamefilters, waardoor alleen bepaalde pakketten vanaf het begin worden vastgelegd. Een typisch gebruiksscenario is het vastleggen van alleen bepaalde pakketten. UDP-verkeer of TCP-verkeerJe kunt bijvoorbeeld een opname starten die alleen UDP-pakketten vastlegt als je geïnteresseerd bent in online games of streamingdiensten, of de opname beperken tot TCP als je HTTP-, TLS-, FTP-sessies, enzovoort wilt bestuderen.

Zodra je hebt wat je nodig hebt, kun je het resultaat opslaan in een bestand met de extensie .pcap of .pcapng, bijvoorbeeld als volgt: “example_tcp.pcap”Sluit Wireshark af. Vervolgens kunt u het programma opnieuw openen, het bestand laden en het op uw gemak analyseren, zonder dat het dataverkeer in realtime blijft bewegen en zonder het risico te lopen gegevens te verliezen.

Werken met tijd: markeringen, verschillen en tijdsanalyse

Het tijdstempelveld is een van de krachtigste functies in Wireshark. In de pakketlijst kun je zien wanneer elk pakket is vastgelegd, maar je kunt ook de tijd meten. Hoeveel tijd is er verstreken tussen het begin van de opname en een specifiek datapakket?Of tussen twee specifieke pakketten. Je kunt bijvoorbeeld kijken naar de tijd die het kost om pakket 300 te bereiken om te zien hoe een communicatie zich ontwikkelt.

Een zeer praktische functie is het instellen van een pakket als nul-tijdreferentieHiermee kunt u het tijdstip "0" op elk willekeurig punt in de opname opnieuw definiëren, zodat alle andere tijdstippen ten opzichte van dat punt worden gemeten. Dit is ideaal wanneer u een specifieke uitwisseling wilt bestuderen in plaats van de hele sessie.

Door tijdstempels te combineren met filters en stroomtracering (TCP-stroom volgen, UDP-stroom volgen), kunt u vrij nauwkeurig zien wat er gebeurt. latentie, vertragingen, doorsturen en herverzendingen die zich op het netwerk voordoen. Dit is vooral handig voor het diagnosticeren van vertragingsproblemen, knelpunten of pakketverlies.

Gelaagde analyse: van de MAC tot de applicatie

Een van de grootste sterke punten van Wireshark is dat je elk pakket kunt bekijken, opgesplitst per laag van het OSI- of TCP/IP-model. Beginnend bij de onderste laag, kun je zien... welk fysiek medium of welk type verbinding wordt gebruikt (bijvoorbeeld Ethernet) en het type interface dat dit ondersteunt.

In laag 2 (datalink) kun je controleren wat protocol wordt gebruiktDit is doorgaans Ethernet II in moderne netwerken. Hier wordt het veld "EtherType" belangrijk, omdat het waarden kan weergeven zoals 0x0800 (wat IPv4 aangeeft) of andere minder gangbare identificaties. U kunt zoeken naar pakketten met een specifieke waarde, zoals 0x0800 of 0xEBF2, met behulp van filters of zoekopdrachten binnen de capture.

Als we naar laag 3 gaan, vinden we het netwerkprotocol, meestal IPv4 of IPv6Hier ziet u de bron- en bestemmings-IP-adressen. U kunt de veldstructuur uitbreiden om andere details te bekijken, zoals TTL, fragmentatie, opties, enz. Identificeer de bron-IP-adres en bestemmings-IP-adres Het is een van de meest fundamentele, maar ook meest voorkomende taken bij het onderzoeken van problemen.

In laag 4 vertelt Wireshark je of je te maken hebt met TCP, UDP of andere transportprotocollenHier kunt u de bron- en bestemmingspoorten, TCP-vlaggen (SYN, ACK, FIN, RST), volgnummers en bevestigingsnummers zien, evenals belangrijke details om te begrijpen of een verbinding stabiel is, of er herverzendingen plaatsvinden, of pakketten verloren gaan of dat de verbinding abrupt is verbroken.

Ten slotte probeert Wireshark op applicatieniveau de inhoud te interpreteren volgens het gedetecteerde protocol: HTTP, HTTPS (TLS/SSL), DNS, DHCP, FTP, RTP, SIP en vele anderen. Wanneer het verkeer niet versleuteld is, is het zelfs mogelijk om de inhoud in platte tekst te zien, inclusief HTTP-headers, FTP-opdrachten en zelfs inloggegevens als deze onbeveiligd worden verzonden.

Zoekopdrachten, filters en tekstreeksen binnen pakketten

Het werken met grote datasets vereist krachtige filters en zoekmogelijkheden. Bovenaan Wireshark vind je de werkbalk. filters weergeven, waarmee je alleen de pakketten kunt weergeven die aan bepaalde voorwaarden voldoen: bijvoorbeeld ip.addr == 192.168.1.50 om je te concentreren op een specifiek apparaat, of http om alleen webverkeer te zien.

Als u vermoedt dat wachtwoorden of gevoelige gegevens onversleuteld worden verzonden in een onderschept bericht, kunt u zoeken naar tekstreeksen in de pakketinhoud. Het is mogelijk om pakketten te vinden die bijvoorbeeld het woord bevatten. “pass” of “content” in de vastgelegde gegevens. Je kunt ook controleren of die tekenreeksen voorkomen in de samenvatting of pakketinformatie, en niet alleen in de hoofdtekst.

Dit is vooral handig bij het analyseren van onveilige protocollen zoals HTTP of FTP. In trainingsomgevingen zoals TryHackMe is een van de typische taken het extraheren van gegevens. inloggegevens verzonden in platte tekst via deze diensten, of door formulieren te detecteren die onversleutelde informatie verzenden, wat een duidelijk veiligheidsrisico vormt.

Naast tekstreeksen kunt u veel fijnere filters gebruiken door protocolvelden, logische operatoren en vergelijkingen te combineren. Hierdoor kunt u bijvoorbeeld alleen mislukte DNS-verzoeken, TCP-pakketten met fouten of berichten uit een specifieke RTP-stream isoleren.

Kleuren en markeerregels voor betere zichtbaarheid in het verkeer

Wireshark bevat een systeem van kleuren voor de verpakkingen Dit helpt je snel verschillende soorten verkeer te onderscheiden. Groen wordt doorgaans geassocieerd met 'normaal' TCP-verkeer, blauw met UDP- of DNS-verkeer en zwart of rood duidt op fouten of afwijkingen. Alleen al door naar het scherm te kijken, kun je zien of alles redelijk goed werkt of dat er te veel problematische lijnen zijn.

Via het instellingenmenu kunt u de kleurenweergave in- of uitschakelen. Indien nodig is het ook mogelijk De achtergrondkleur van specifieke regels wijzigenBijvoorbeeld door een regel te maken die alle TCP-sessies in een specifieke kleur markeert, of die herverzendingen of misvormde pakketten in een andere kleur weergeeft.

Naast het wijzigen van kleuren, heb je ook de mogelijkheid om een ​​specifieke regel uit te schakelen zonder deze te verwijderen. Hierdoor worden pakketten niet meer gekleurd, maar kun je de regel later weer activeren. Dit is erg handig wanneer je verschillende kleurschema's test en je bestaande instellingen niet wilt verliezen.

Een andere interessante techniek is om alle pakketten die tot hetzelfde merk behoren een kleur te geven. TCP- of UDP-conversatieOp deze manier kunt u de volledige datastroom tussen twee eindpunten visueel volgen, zelfs wanneer deze vermengd is met honderden andere parallelle verbindingen. U kunt vervolgens veel gemakkelijker navigeren tussen de gemarkeerde datapakketten.

Het diagnosticeren van netwerkproblemen thuis en op het bedrijf.

Hoewel Wireshark een professioneel hulpmiddel is, kan het ook thuisgebruikers helpen inzicht te krijgen in wat er met hun internetverbinding gebeurt. Als je bijvoorbeeld merkt dat je online games haperen of vertragingen vertonen, kan het je helpen bij het oplossen van problemen met je internetverbinding. Wifi-interferentieJe kunt het verkeer analyseren om te zien of Pakketten raken zoek als ze in de verkeerde volgorde aankomen. of als er sprake is van buitensporige vertragingen op een bepaald deel van de reis.

In deze context is het gebruikelijk om te focussen op UDP-verkeer, dat door veel games en realtime-applicaties wordt gebruikt. Als je bij het filteren op UDP veel regels ziet die gemarkeerd zijn met foutkleuren, pakketten die niet in de juiste volgorde aankomen of herverzendingen, weet je dat het probleem niet alleen een hoge ping in een test is, maar iets dieperliggends dat te maken heeft met de stabiliteit van de route of de overbelasting van een knooppunt.

Wireshark is ook erg handig wanneer een Website laadt niet, printer verdwijnt van het netwerk Of een interne service faalt. Met de schermafbeelding voor je, kun je precies zien waar de communicatie misgaat: of het verzoek je computer verlaat maar nooit een reactie ontvangt, of er DNS-fouten zijn, of de server reageert met een foutcode, enzovoort.

Vanuit privacyoogpunt laat de tool je zien welke gegevens je apparaten via internet verzenden. Het kan detecteren of een apparaat te veel met de cloud communiceert, verbindingen onderhoudt met onbekende servers of onversleutelde informatie verzendt die je liever versleuteld zou zien. Dit alles helpt je om... het gedrag controleren van IoT-apparatenmobiele telefoons, IP-camera's, smart-tv's en elk aangesloten apparaat.

In thuisnetwerken met veel apparaten kunt u het IP-adres van elk apparaat isoleren en observeren met welke servers het verbinding maakt, hoe vaak en welk type inhoud het verzendt. Op deze manier krijgt u een beter inzicht in het netwerkverkeer en kunt u beslissingen nemen zoals het segmenteren van apparaten, het blokkeren van domeinen of het wijzigen van configuraties.

Geavanceerde analyse: HTTP, DNS, netwerkscans en aanvallen

In meer geavanceerde omgevingen wordt Wireshark een essentieel hulpmiddel voor beveiligingsanalyse en incidentonderzoek. Het maakt gedetailleerde analyses mogelijk. HTTP-verkeer, DNS-query's en -reacties, poortscans met NmapPogingen tot ARP-vergiftiging, SSH-tunnels en nog veel meer.

Met HTTP kunt u headers, responscodes, aangevraagde URL's en, als er geen versleuteling is, zelfs de inhoud van formulieren of bestanden bekijken. Met DNS kunt u zien welke domeinen worden opgelost, welke servers worden geraadpleegd en of er verdachte reacties of domeinen zijn die niet overeenkomen met het normale gebruik van de apparatuur.

Nmap-scans laten karakteristieke patronen achter op het netwerk: meerdere verbindingspogingen naar veel poorten, gebruik van specifieke TCP-vlaggen, enzovoort. Met de juiste filters kunt u deze activiteiten detecteren en bevestigen of iemand kwaadwillig handelt. het in kaart brengen van blootgestelde services in uw infrastructuur.

ARP-spoofing/poisoning kan ook worden gedetecteerd door te observeren hoe IP- en MAC-adresassociaties op het lokale netwerk worden gewijzigd. En met SSH-tunnels kun je, ondanks de versleuteling van de inhoud, nog steeds verbindingspatronen, sessieduur en de hoeveelheid overgedragen data analyseren.

Veel van deze oefeningen maken deel uit van praktische labs zoals die van TryHackMe, die gericht zijn op analyse van kwaadwillig of verdacht verkeerJe werkt met vooraf gegenereerde opnames, zodat je leert om met Wireshark indicatoren van inbreuk, aanvalsvectoren en afwijkend gedrag te herkennen.

Wireshark 4.6.0 op macOS: pktap-metadata en procesanalyse

Een van de meest interessante verbeteringen voor Mac-gebruikers is te vinden in versie Wireshark 4.6.0Dit introduceert native ondersteuning voor macOS pktap-metadata. Hierdoor kan elk netwerkpakket worden gekoppeld aan het systeemproces dat het heeft gegenereerd, wat een zeer gedetailleerd inzicht biedt.

Dankzij deze integratie kan Wireshark informatie weergeven zoals: PID (proces-ID) en applicatienaam Dit geeft aan welke component het verkeer genereert, samen met andere relevante metadata. Dit vereenvoudigt het debuggen van applicaties aanzienlijk, omdat je precies weet welke component verbindingen opent, bandbreedte verbruikt of fouten veroorzaakt.

De metadata bevat ook gegevens over stroomidentificaties en statistieken over verloren pakketten, waardoor een meer gedetailleerde analyse van prestatieproblemen mogelijk is. Deze informatie wordt doorgaans vastgelegd via... tcpdump met de opties -ky -KVervolgens wordt het geïmporteerd in Wireshark, dat die blokken interpreteert en weergeeft in het pcap-ng-formaat.

Voor ontwikkelings- en beveiligingsteams binnen het Apple-ecosysteem betekent dit een aanzienlijke vooruitgang: ze kunnen incidenten onderzoeken met een zeer precieze toewijzing aan specifieke processen, afwijkend gedrag binnen hun eigen apps detecteren en controleren of het beveiligings- en privacybeleid daadwerkelijk wordt nageleefd.

Daarnaast is het installatieprogramma van Wireshark 4.6.0 voor macOS Universeel voor Arm64- en Intel-architecturenDit vereenvoudigt de installatie op moderne Macs met Apple Silicon en op iets oudere computers met Intel-processors.

Wireshark als professioneel hulpmiddel: cursussen, boeken en moderne omgevingen

Geavanceerd gebruik van Wireshark is een terugkerend onderwerp in gespecialiseerde trainingen, waarin de krachtigste functies voor debugging, auditing en beveiligingstaken worden gedemonstreerd. Deze cursussen leren hoe je Wireshark kunt gebruiken. configureer de tool helemaal opnieuw, pas het aan en analyseer de meest voorkomende netwerkprotocollen in bedrijfsomgevingen.

Er wordt doorgaans veel tijd besteed aan protocollen zoals HTTP, FTP, SSL/TLS, DNS, DHCP, RTP, SIP en andere veelvoorkomende problemen met VoIP, webdiensten en versleutelde communicatie. Praktische casestudies worden uitgevoerd om trage snelheden, problemen met de gesprekskwaliteit, servicestoringen en onjuiste configuraties te diagnosticeren.

Parallel daaraan zijn er geavanceerde boeken en hulpmiddelen verschenen, gericht op netwerkprofessionals, cybersecurityspecialisten en studenten die Wireshark in moderne scenario's willen beheersen. Deze materialen combineren doorgaans theorie met praktijk. TCP/IP, TLS, pakketanalyse en geavanceerde filters met praktische oefeningen en begeleide practica.

Een veelgebruikte aanpak is om Wireshark te integreren met andere beveiligings- en monitoringtools, zoals Snort, Suricata, Zeek of de ELK-stack (Elasticsearch, Logstash, Kibana) binnen SIEM-platformen. Het idee is om Wireshark te gebruiken voor gedetailleerde inspectie op laag niveau, terwijl de andere tools correlatie, waarschuwingen en dashboards op hoog niveau bieden.

Het behandelt ook specifieke toepassingen in IoT-netwerken en -systemen die gebruikmaken van kunstmatige intelligentie, waar inzicht in het netwerkverkeer cruciaal is voor het detecteren van kwetsbaarheden, verkeerd geconfigureerde apparaten of onverwachte communicatie. Het beheersen van Wireshark in deze omgevingen maakt de tool een waardevolle tool. strategische bron voor beveiliging en optimalisatie van complexe netwerken.

Al met al is Wireshark uitgegroeid van een eenvoudige netwerkmonitor tot een essentieel hulpmiddel voor geavanceerde monitoring, foutdiagnose, dreigingsanalyse en een diepgaand begrip van hoe applicaties en services zich op het netwerk gedragen.

Met alles wat het te bieden heeft, van basisfuncties voor vastleggen en filteren tot geavanceerde analysemogelijkheden op basis van protocol, kleuren, tijden en procesmetadata, is het duidelijk dat Wireshark is een essentieel hulpmiddel. Voor iedereen die wil begrijpen wat er zich werkelijk afspeelt op zijn of haar netwerk, of dat nu thuis, in een klein bedrijf of in een grote organisatie is.