Startpagina » hoe » Wireshark gebruiken om pakketten te vangen, filteren en inspecteren

    Wireshark gebruiken om pakketten te vangen, filteren en inspecteren

    Wireshark, een netwerkanalysetool dat voorheen Ethereal heette, vangt pakketten in realtime op en geeft ze weer in een door mensen leesbaar formaat. Wireshark bevat filters, kleurcodering en andere functies waarmee u diep in het netwerkverkeer kunt graven en individuele pakketten kunt inspecteren.

    In deze zelfstudie leert u hoe u pakketten kunt vastleggen, filteren en inspecteren. U kunt Wireshark gebruiken om het netwerkverkeer van een verdacht programma te inspecteren, de verkeersstroom op uw netwerk te analyseren of netwerkproblemen op te lossen.

    Wireshark krijgen

    Je kunt Wireshark voor Windows of macOS downloaden van de officiële website. Als u Linux of een ander UNIX-achtig systeem gebruikt, vindt u waarschijnlijk Wireshark in zijn pakketrepository's. Als u bijvoorbeeld Ubuntu gebruikt, vindt u Wireshark in het Ubuntu Software Center.

    Gewoon een snelle waarschuwing: veel organisaties staan ​​Wireshark en vergelijkbare tools op hun netwerken niet toe. Gebruik deze tool niet op het werk tenzij u toestemming hebt.

    Pakketten opvangen

    Na het downloaden en installeren van Wireshark, kunt u het starten en dubbelklikken op de naam van een netwerkinterface onder Capture om pakketten te vangen op die interface. Als u bijvoorbeeld verkeer op uw draadloze netwerk wilt vastleggen, klikt u op uw draadloze interface. U kunt geavanceerde functies configureren door op Capture> Options te klikken, maar dit is voorlopig niet nodig.

    Zodra u op de naam van de interface klikt, ziet u dat de pakketten in realtime verschijnen. Wireshark legt elk pakket vast dat naar of van uw systeem wordt verzonden.

    Als de promiscuous-modus is ingeschakeld, is deze standaard ingeschakeld, ziet u ook alle andere pakketten op het netwerk in plaats van alleen pakketten die zijn geadresseerd aan uw netwerkadapter. Als u wilt controleren of de promiscueuze modus is ingeschakeld, klikt u op Capture> Opties en vinkt u het selectievakje 'Promiscue modus inschakelen voor alle interfaces' in onder aan dit venster.

    Klik op de rode knop 'Stoppen' in de linkerbovenhoek van het venster wanneer u wilt stoppen met het vastleggen van verkeer.

    Kleur codering

    Waarschijnlijk ziet u pakketten gemarkeerd in verschillende kleuren. Wireshark gebruikt kleuren om u te helpen de soorten verkeer in één oogopslag te identificeren. Lichtpaars is standaard TCP-verkeer, lichtblauw is UDP-verkeer en zwart identificeert pakketten met fouten, bijvoorbeeld omdat ze niet in de juiste volgorde zijn bezorgd.

    Als u precies wilt weergeven wat de kleurcodes betekenen, klikt u op Weergave> Kleurregels. Je kunt de kleurregels ook hier aanpassen en wijzigen, als je wilt.

    Voorbeeldopnamen

    Als er niets interessants op uw eigen netwerk is om te inspecteren, heeft Wireshark's wiki alles voor u. De wiki bevat een pagina met voorbeeldinvoerbestanden die u kunt laden en inspecteren. Klik op Bestand> Openen in Wireshark en blader naar uw gedownloade bestand om er een te openen.

    Je kunt ook je eigen opnames opslaan in Wireshark en ze later openen. Klik op Bestand> Opslaan om uw vastgelegde pakketten op te slaan.

    Pakketten filteren

    Als u iets specifieks probeert te inspecteren, zoals het verkeer dat een programma verzendt bij het bellen naar huis, helpt het om alle andere toepassingen die gebruikmaken van het netwerk te sluiten, zodat u het verkeer kunt beperken. Toch zul je waarschijnlijk een groot aantal pakketten hebben om door te lezen. Dat is waar de filters van Wireshark in komen.

    De eenvoudigste manier om een ​​filter toe te passen, is door het in het filtervak ​​boven aan het venster te typen en op Toepassen te klikken (of op Enter te drukken). Typ bijvoorbeeld "dns" en u ziet alleen DNS-pakketten. Wanneer u begint met typen, zal Wireshark u helpen uw filter automatisch aan te vullen.

    U kunt ook klikken op Analyseren> Filters weergeven om een ​​filter te kiezen uit de standaardfilters in Wireshark. Hier kunt u uw eigen aangepaste filters toevoegen en deze opslaan zodat u ze later gemakkelijk kunt openen.

    Voor meer informatie over de displayfilteringtaal van Wireshark, lees de Building display filter expressions pagina in de officiële Wireshark-documentatie.

    Een ander interessant ding dat u kunt doen, is met de rechtermuisknop op een pakket klikken en Volgen> TCP-stroom selecteren.

    U ziet het volledige TCP-gesprek tussen de client en de server. U kunt ook klikken op andere protocollen in het menu Volg om de volledige conversaties voor andere protocollen te bekijken, indien van toepassing.

    Sluit het venster en u zult merken dat een filter automatisch is toegepast. Wireshark toont u de pakketten waaruit het gesprek bestaat.

    Inspecteren van pakketten

    Klik op een pakket om het te selecteren en u kunt naar beneden zoeken om de details te bekijken.

    U kunt hier ook filters maken - klik met de rechtermuisknop op een van de details en gebruik het submenu Toepassen als filter om een ​​filter op basis daarvan te maken.


    Wireshark is een buitengewoon krachtige tool en deze tutorial is slechts een krasje aan het maken wat je ermee kunt doen. Professionals gebruiken het om netwerkprotocol-implementaties te debuggen, beveiligingsproblemen te onderzoeken en netwerkprotocol-internals te inspecteren.

    U kunt meer gedetailleerde informatie vinden in de officiële Wireshark gebruikershandleiding en de andere documentatiepagina's op de website van Wireshark.