Tips en Trucs 2010

De Wireshark netwerk analyzer

Telkens ik een analyse van een netwerk moet maken, gebruik ik Wireshark. Wireshark is, volgens mij, de standaard voor het analyzeren van netwerk protocollen. Het is niet alleen verschrikkelijk krachtig, nuttig en gebruiksvriendelijk, maar ook vrij te gebruiken. Wireshark is een netwerk protocol analyzer die alle door u ingestelde inkomende en uitgaande netwerkverkeer toont en opslaat. Deze monitor kan dus niet alleen het live netwerkverkeer tonen, maar deze gegevens ook uit een dump (netwerkverkeer opgeslagen in een bestand) halen. Het kan zelfs dumpbestanden afkomstig van andere programma's zoals tcpdump en Microsoft Network Analyzer lezen en analyseren.

Wireshark heeft een paar fantastische functies waarmee een netwerk analyse veel eenvoudiger wordt. We bespreken er hier twee: Filters en Expert Info.

Installatie

Wireshark zit in de standaard softwarebronnen van uw distributie. Start dus uw softwarebeheer programma en zoek naar het pakket wireshark, dat je daarna kunt installeren. Na de installatie staat Wireshark in openSUSE 11.2 in het K menu > Systeem > Netwerk als netwerkanalyseprogramma. Wireshark start pas na het ingeven van het root wachtwoord. Wireshark werkt met root rechten, omdat deze nodig zijn om het netwerk apparaat (de hardware) te benaderen.

Een opname starten

Wireshark
Om een opname te starten, klik je op het tweede pictogram in de werkbalk (Show the capture options).
Wireshark
In het Capture Options venster moet je ten minstens een op te nemen apparaat (Interface) selecteren. Alle beschikbare apparaten staan in de uitschuifkeuzelijst.

Na het selecteren van een apparaat, overloop je de overige opties om deze naar uw eigen wensen in te stellen. Klik daarna op de Start knop om de opname te starten.

De opname filteren

Wireshark
Zoals je ziet krijg je een massa informatie. Veronderstel dat je enkel het netwerkverkeer van en naar de gateway wilt volgen. Klik daarvoor op de Filter: knop.
Wireshark
Je moet de filter een naam (Filter name:) geven en een voorwaarde (Filter string:). De beste manier om de in de voorwaarde gebruikte schrijfwijze (expression) te achterhalen is te kijken naar de voorbeelden. Om de weergave te beperken tot het netwerkverkeer van en naar de gateway met het IP adres 192.168.0.1 maak je gebruik van de Filter string:
ip.addr == 192.168.0.1
Klik na het configureren op de OK knop en de filter wordt onmiddellijk actief.

Expert Info

Wireshark
Tijdens de opname kan je niet altijd onderscheiden wat er op het netwerk gaande is. Wireshark kan u ook daarbij helpen. Gebruik daarvoor in het menu Analyze de opdracht Expert Info. In dit nieuwe venster krijg je een duidelijker beeld van wat er zich op het netwerk afspeelt.

Als dit venster niet voldoende helpt, kan je in het menu Analyze de opdracht Expert Infos Composite gebruiken om de Errors (rood: ernstig probleem zoals een misvormd pakket), Warnings (geel: een niet gebruikelijke fout zoals een afgebroken verbinding), Notes (cyaan: opmerking, bijvoorbeeld een ontvangen gebruikelijke fout zoals HTTP 404), Chats (grijs: normaal netwerkverkeer) en Details in aparte tabbladen te bekijken.