Hoe Wireshark te gebruiken: netwerkanalyse, 2020-stijl

Meer dan 20 jaar geleden kondigde Gerald Combs Ethereal 0.2.0 aan, de eerste openbare versie van wat we nu kennen als Wireshark. Wireshark is ontwikkeld voor Solaris en Linux en is een open source netwerk en pakketanalysator. Het project begon in 1998 als Ethereal, maar de naam werd in 2006 gewijzigd in Wireshark vanwege problemen met handelsmerkrechten.


Tegenwoordig is Wireshark ‘s werelds belangrijkste netwerkanalysator, met meer dan 600 bijdragende auteurs, meerdere onderscheidingen en een eigen ontwikkelaarsconferentie, SharkFest.

Deze gids helpt je om aan de slag te gaan met Wireshark. We bespreken de basis, zoals het downloaden en het vastleggen, bekijken en filteren van pakketten. Wireshark heeft veel geavanceerde functies die niet in het kader van dit artikel kunnen worden behandeld, maar er zijn tal van tutorials over hen op dradenhark.org.

Download en stel Wireshark in

Wireshark kan worden gedownload via de downloadpagina. Om het voor Windows of macOS te krijgen, klikt u op hun respectievelijke links onder het gedeelte “stabiele release”. Als je een bron voor Linux nodig hebt, scroll dan naar de onderkant van de pagina en zoek de download voor je versie onder “pakketten van derden”.

Wireshark-download

Nadat u de applicatie heeft gedownload, kunt u beginnen met het installatieproces. Als u een Windows-gebruiker bent, moet u de WinPcap-bibliotheek installeren, waarmee u live netwerkverkeer kunt vastleggen. Zonder dit kunt u alleen vastgelegde pakketten bekijken die zijn opgeslagen. De nieuwste versie van Wireshark zou WinPcap standaard moeten installeren.

Zorg er ook voor dat u USBPcap installeert, waarmee Wireshark verkeer van USB-apparaten kan vastleggen.

Hoe pakketten vast te leggen met Wireshark

Wireshark is gebouwd op het vermogen om netwerkpakketten vast te leggen en ze weer te geven in een formaat dat kan worden geïnterpreteerd door gewone stervelingen. Als u niet zeker weet wat netwerkpakketten zijn, bespreken we ze in onze IPv4- versus IPv6-gids.

Na het downloaden en installeren bent u klaar om Wireshark te starten en pakketten te gaan vastleggen.

Wireshark-lancering

Om het vastlegproces te starten, moet u uw netwerkinterface selecteren. Bij het starten van de applicatie zie je de beschikbare netwerkverbindingen in het startscherm. U kunt ook geavanceerde functies bekijken door op ‘vastleggen’ te klikken en vervolgens ‘opties’ te selecteren.

Capture-opties

Selecteer een verbinding om vast te leggen door:

  • Dubbelklik op de naam.
  • Met de sneltoets CTRL + E.
  • Klikken op de haaienvin in de werkbalk, helemaal links in de hoek.

Als u klaar bent, wordt de verbinding die moet worden opgenomen in het blauw of grijs gearceerd en begint Wireshark het netwerkverkeer op te nemen en deze te detailleren. Druk op de rode stopknop naast de haaienvinknop om het opnameproces te stoppen. Als alternatief kunt u de sneltoets CTRL + E gebruiken.

Bij het vastleggen met Wireshark is de promiscue modus standaard ingeschakeld. Hiermee kunnen alle pakketten op een netwerk worden vastgelegd, in plaats van alleen die die zijn geadresseerd aan uw computer of netwerkadapter. Dat gezegd hebbende, wordt de promiscue modus niet ondersteund door alle netwerkhardware en interfaces. Het kan worden gewijzigd door op ‘bewerken’ en vervolgens op ‘voorkeuren …’ te klikken..

Wireshark-voorkeuren

Bekijk de Wireshark FAQ voor meer details over promiscuous mode.

Bekijk vastgelegde pakketten met Wireshark

Nu je gegevens hebt opgenomen, is het tijd om ze te bekijken. Wanneer u pakketten bekijkt, ziet u informatie verspreid over drie deelvensters: de pakketlijst, de pakketdetails en de pakketbytes. Het pakketlijstvenster is het bovenste en toont de tijd, bron, bestemming, protocol en aanvullende informatie.  

Wireshark-packet_pane1
 

Het paneel met pakketdetails zit in het midden. Zoals de naam al doet vermoeden, worden details weergegeven over het geselecteerde pakket. Het toont het protocoltype, zoals IPv4 of IPv6, en adressen, zoals IP of MAC, in een inklapbare lijstindeling.

Wireshark-packet-paneel 2

Het deelvenster met pakketbytes staat onderaan. Het bevat de onbewerkte gegevens uit het pakket en geeft deze weer in hexadecimaal of bitformaat.

Wireshark-packet-paneel 3

Pakketten filteren met Wireshark

Elke keer dat u netwerkverkeer analyseert, moet u applicaties afsluiten die pakketten verzenden die u niet wilt zien om het verkeer te beperken. Zelfs dan heb je waarschijnlijk nog veel resterende pakketten om door te spitten. Dat is waar de filters van Wireshark een rol spelen. Het biedt opnamefilters en weergavefilters, en beide hebben een verschillende invloed op het vastlegbestand.

Capture-filters worden toegepast op het capture-bestand voordat het opnameproces begint, zodat u kunt beslissen welke pakketten Wireshark zal vastleggen. Weergavefilters worden daarentegen achteraf op een opnamebestand toegepast, zodat u alleen pakketten kunt zien die aan uw specifieke criteria voldoen.

Om een ​​capture-filter toe te voegen, klikt u in het invoerveld boven de interfaces die worden weergegeven in het startvenster. U kunt een filter intypen, zoals TDP, of op het bladwijzerpictogram aan de linkerkant klikken en een keuze maken uit een vervolgkeuzelijst. Voor meer opties, na het klikken op het groene bladwijzerpictogram, selecteert u “capture-filters beheren”.

Wireshark-capture-filter

Boven het vastlegveld ziet u een ander invoerveld met de tekst ‘een weergavefilter toepassen …’ waar u weergavefilters kunt toepassen op dezelfde manier als beschreven voor het toepassen van vastlegfilters.

Wireshark-display-filter

Kleurcodering met Wireshark

Met de kleurregels van Wireshark kunt u pakketten verder scheiden en individualiseren op basis van hun gemarkeerde kleur. Zo kunt u in een oogopslag bepaalde soorten verkeer of fouten herkennen. De ingebouwde kleurenbibliotheek van Wireshark biedt ongeveer 20 tinten, die allemaal kunnen worden bewerkt, uitgeschakeld of verwijderd.

U hebt toegang tot de inkleuringopties door op “weergeven” in de werkbalk te klikken en vervolgens “kleurregels” te selecteren.

Wireshark-kleuren

Het inkleuren van pakketten kan worden uitgeschakeld door op “weergeven” te klikken en de optie “pakketlijst inkleuren” in het vervolgkeuzemenu om te schakelen.

Wireshark-kleuren 2

Netwerkstatistieken bekijken in Wireshark

Wireshark biedt een verscheidenheid aan gegevens en statistieken over uw netwerk, die toegankelijk zijn via het vervolgkeuzemenu “statistieken” in de werkbalk. De statistieken omvatten opgeloste adressen, IPv4-statistieken, IPv6-statistieken en andere grafieken en diagrammen. U kunt daar ook displayfilters gebruiken. Statistieken kunnen ook in verschillende bestandsindelingen worden geëxporteerd, zoals .txt, .csv en .xml.

Wireshark-statistieken

Laatste gedachten

Wireshark is een eenvoudige maar veelzijdige netwerkanalysator en het beste van alles is dat het gratis is. Hoewel deze gids bedoeld is om u de basis te laten zien, zijn we pas begonnen met het oppervlak van wat Wireshark kan doen. Als u Wireshark onder de knie wilt krijgen en uw eigen protocolontledingen wilt coderen, is de officiële Wireshark-gebruikershandleiding de gezaghebbende referentie.

De Wireshark wiki is een andere geweldige bron om naast het programma te gebruiken omdat het tutorials, voorbeeldopnames en tools en plug-ins heeft.

Bekijk voor meer software onze beste antivirussen, beste wachtwoordmanagers en beste boekhoudsoftware. Anders bedankt voor het lezen en laat het ons weten in een opmerking of tweet als je Wireshark-tips of -trucs hebt.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me