Netzwerkanalyse verstehen: Wireshark und TShark Grundlagen

von

Stefan
in

Die Überwachung und Analyse des Netzwerkverkehrs ist ein zentrales Thema in der IT-Sicherheit und Systemadministration. Zwei der wichtigsten Werkzeuge für diesen Zweck sind Wireshark und TShark. Während Wireshark eine benutzerfreundliche grafische Oberfläche bietet, eignet sich TShark für den Einsatz auf der Kommandozeile und in automatisierten Umgebungen.

Dieser erste Teil der Serie vermittelt die Grundlagen, Installation und erste Schritte mit beiden Werkzeugen.

Was sind Wireshark und TShark?

  • Wireshark ist ein Open-Source-Werkzeug zur detaillierten Analyse von Netzwerkverkehr. Es ermöglicht das Mitschneiden, Filtern und Untersuchen einzelner Pakete in Echtzeit oder aus gespeicherten Mitschnitten.
  • TShark ist die Kommandozeilenvariante von Wireshark. Es bietet ähnliche Funktionen, eignet sich aber besonders für Skripte, automatisierte Analysen und Serverumgebungen ohne grafische Oberfläche.

Beide Tools unterstützen Hunderte von Protokollen und bieten leistungsstarke Filtermöglichkeiten, was sie in der Cybersecurity unverzichtbar macht.

Installation

Linux (Ubuntu/Debian)

sudo apt update
sudo apt install wireshark tshark

Windows und macOS

Das offizielle Installationspaket ist unter https://www.wireshark.org/ verfügbar.

  • Bei Windows wird TShark automatisch mit Wireshark installiert.
  • Unter macOS kann auch Homebrew verwendet werden: brew install wireshark

Erste Schritte mit Wireshark

  1. Programmstart
    Wireshark öffnen und die gewünschte Netzwerkschnittstelle auswählen.
  2. Live-Mitschnitt starten
    Nach Auswahl der Schnittstelle beginnt der Live-Capture. Jedes Netzwerkpaket wird in Echtzeit angezeigt.
  3. Pakete untersuchen
    Durch Doppelklick auf ein Paket können Details wie Protokollinformationen, Quell- und Ziel-IP oder Nutzdaten angezeigt werden.

Erste Schritte mit TShark

TShark eignet sich besonders für Umgebungen ohne grafische Oberfläche oder für Skripte:

tshark -i eth0

Startet den Mitschnitt auf der Schnittstelle eth0.

Weitere Beispiele:

  • Nur HTTP-Pakete mitschneiden tshark -i eth0 -f "tcp port 80"
  • Mitschnitt in Datei speichern tshark -i eth0 -w capture.pcap

Bedeutung für die Cybersecurity

Wireshark und TShark sind zentrale Werkzeuge für:

  • Forensische Analysen nach Sicherheitsvorfällen
  • Penetrationstests und Netzwerkscans
  • Überprüfung von Verschlüsselung (z. B. TLS/SSL)
  • Erkennung verdächtiger Aktivitäten im Netzwerk

Beispiel:
Ein unverschlüsselter Login über HTTP kann mit Wireshark sichtbar gemacht werden, während HTTPS-Logins nur verschlüsselte Datenpakete liefern.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert