voor zoeken druk op CTRL + F

keer terug naar de wireshark pagina

Wireshark is een programma dat netwerkpakketjes die van locatie tot locatie worden verzonden te analyseren het wordt dus vaak gebruikt als men problemen van het netwerk wil onderzoeken of oplossen. Het programma zorgt er dus voor dat als deze pakketjes ontvangt dat de pakketjes zo gedetailleerd worden weergegeven. Dat betekend dus o.a. dat je met Wireshark een kabel kan analyseren, en vervolgens kunt bepalen welke pakketjes door deze kabel worden ontvangen en verzonden. Overigens is Wireshark een OpenSource programma, dit wil zeggen dat de code van het programma vrijgesteld voor de gebruikers, ook is Wireshark gratis te verkrijgen. Wireshark werkt op meerdere besturingssystemen zoals Linux, Mac OS X, en Microsoft Windows.

 

De interface     3

 

De mogelijkheden van Wireshark         7

 

 

De Interface.

Voordat ik kan beginnen met het onderzoeken van de mogelijkheden van Wireshark moet ik natuurlijk eerst het programma opstarten.  Dat doe ik als volgt:

 
Afbeelding 1: Wireshark opstarten

Daarna krijg ik een grote Graphical User Interface te zien op het scherm.
Dan kom ik ook op een aantal bars te stuiten die allemaal hun eigen functie hebben dit wordt nu beschreven.

De eerste die je tegenkomt is de menubar:

Afbeelding 2: De menubar

 

De mogelijkheden van de menubar:

Afbeelding 3: Mogelijkheden van File                                      

Met “File” kun je bestanden openen, mergen                    
Met “Edit” kun je een filter kopiëren, pakketten zoeken
het op dit moment geopende project sluiten,                     
en vervolgens markeren of een tijd instellen
opslaan, printen en het programma afluiten.                      
voor je volgende onderzoek en kun je overigens

ingestelde onderzoeken bekijken

                                              

 

 

                                                              
Afbeelding 6: Mogelijkheden van Go

Met “Go” kun je tussen pakketten wisselen,
zo kun je naar het laatste of het eerste
pakket gaan of zelf naar een pakket gaan
door het pakketnummer in te typen.

 

Afbeelding 5:  Mogelijkheden van View

Met “View” kun je de Interface instellen
dus bijvoorbeeld welke werkbalken je wilt.
Ook kun je het scherm in en uit zoomen.
Ook kun je de kleuren van de pakketten anders instellen

 

Afbeelding 7: Mogelijkheden van Analyse
Afbeelding 6: Mogelijkheden van Capture                                                      
Met“Analyse” kun je filters laten weergegeven,
Met “Capture” kun je projectopname beginnen,  iets als filter opslaan, een firewall instellen en zo kun je precies de opties in stellen.
verschillende types pakketten decoderen.
Verder kun je de opname natuurlijk starten,
stoppen en opnieuw laten starten.

 

Afbeelding 8: Mogelijkheden van Statistics

Met “Statistics” kun je heel veel instellen en
dus weergeven. Dan zie je allemaal verschillende
types zoals RTP en SCTP

                             


Met help kun je natuurlijk alle help-bestanden
van Wireshark benaderen ook kun je o.a.                     
handleidingen en de programmaversie weergeven
Vervolgens kom je de volgende bar tegen dat is de standaard menubar die onder de menubalk staat waar allemaal iconen opstaan, de mogelijkheden van deze iconen worden nu beschreven. De meeste iconen dienen als snel toetsen van de menubar.

 
Afbeelding 10: De Menubar


De eerste vijf opties dienen als sneltoetsen voor het eerder uitgelegde capture, je kan hier dus beginnen met het opnemen van een project.

Dan de tweede vijf opties dienen als sneltoetsen van het eerde uitgelegde file, je kan hier dus bestanden mee openen, opslaan, afsluiten en printen.

Dan de volgende 6 opties is een combinatie van het eerde uitgelegde edit en go, je kan namelijk van de optie edit een pakketje zoeken en met go kon je tussen de pakketten wisselen en zelfs pakketten zoeken.

Dan de volgende 2 opties, dit is een bijzonderheid omdat er 1 nieuwe optie bij staat namelijk ‘’Autoscroll’ dat is het 2e icoon met Autoscroll kun je scrollen met  je muis tussen de pakketten. Verder is het 1e icoon ook wat je in view kan vinden, het is namelijk dat je kunt instellen welke kleuren pakketten krijgen.

De laatste 2 opties dienen ook weer als sneltoetsen van het eerder uitgelegde view, je kan hiermee namelijk in- en uitzoomen.

 

De volgende menubar die je tegenkomt is de filterbar:

Afbeelding 11: De Filterbar

De eerste knop brengt je in een menu waar je filters kunt zien met geavanceerde opties

De edit-box die er langs staat kan je helpen om filters te openen en wijzigen, de edit-box wordt ook rood als er een foute string is geconstateerd.

Als je op het plusje drukt kan je filters wijzigen en het bijhorende protocol selecteren.

Met het kwastje kun je de edit-box weer leegmaken.
Met apply sla je je gegevens op en wordt de filter toegepast.

 

Als de opname klaar is wordt de pakketjesbar gevuld met allerlei pakketjes dat ziet er als volgt
uit:

Afbeelding 12: Pakketten worden weergegeven

Nu zie je hoe dit is opgebouwd in Wireshark.

Met No. kun je het nummer die meegegeven zijn met de pakketten.
Met Time, kun je de tijd bekijken tot dat het pakketje ontvangen was.
Met Source, kun je bekijken waar het pakketje vanaf kwam.
Met Destination, kun je bekijken waar het pakketje naar toe moet.
Met Protocol, kun je het type protocol bekijken dat meegestuurd is met het pakketje.
Met Info, kun je eventuele extra informatie krijgen over het pakket als dat is toegevoegd.

Vervolgens krijg je het Packet-Details bar deze ziet er als volgt uit:

Afbeelding 13: Packet-Details bar

Hier kun je alle protocollen bekijken met daarin pakketjes als je dubbelklikt op zo’n pakketje gaat Wireshark meteen naar dat pakketje in de pakketjes bar.

Vervolgens krijg je de Packet-Bytes bar te zien, deze ziet er als volgt uit:

 
Afbeelding 12: Packet-Bytes bar

Hiermee kun je pakketten aflezen in hexadecimale waarde zodat je ze sneller kunt identificeren.

Vervolgens stuit je op de statusbalk, deze heeft 3 verschillende varianten:
Nu kan je zien dat Wireshark klaar is voor gebruik hij wacht tot iemand gaat opnemen zodat Wireshark pakketjes kan weergeven op het scherm

 
Afbeelding 14: Status bar versie I

Nu kan je zien dat Wireshark aan het opnemen is met de bestandsnaam test.cap, rechts staan 3 letters:
De P staat voor het aantal pakketen
De D staat voor het pakketten dat nu is zichtbaar gemaakt.
De M staat voor het aantal pakketten dat nu gemarkeerd is

 
Afbeelding 15 Status bar versie II

 

Hier kun je zien dat alleen het linker deel verschild met de afbeelding hierboven, dat linkerdeel staat voor een geselecteerd pakket namelijk arp.opcode.

Afbeelding 16 Status bar versie III

 

 

De mogelijkheden in Wireshark.

Nu de interface is uitgelegd is het een stuk makkelijker om de verdere mogelijkheden binnen Wireshark te beschrijven. In het volgende deel wordt namelijk beschreven wat de mogelijkheden zijn binnen Wireshark als je kijkt naar het algemeen gebruik daarvan. In dit hoofdstuk worden de mogelijkheden, een opname maken, opslaan, exporteren, printen, mergen, filtreren en pakket in een apart venster openen besproken.

Een opname maken
De capture optie is een mogelijkheid binnen Wireshark die je toelaat om alle pakketten te weergeven en te bestuderen, je kan deze pakketten bijvoorbeeld ook opslaan dit zullen we later zien.

Als je op het icoontje van capture klikt in de standaard menubar kan het opnemen beginnen;

Afbeelding 1: Opnemen menu

Je kan natuurlijk meteen op starten klikken om de pakketten te weergeven maar je kan ook de opties bekijken om je opname specifieker te laten weergeven door op options te klikken.

 
Afbeelding 2: Opnemen opties

Hier kun je verdere opties specifieker instellen, zo kun je bijvoorbeeld instellen dat de opname na het ontvangen van een x aantal pakketten stopt.

 

Als je zover bent kun je het capturen beginnen door op start te klikken en vervolgens moet je wachten tot dat het klaar is maar ondertussen kun je natuurlijk 2 dingen doen namelijk de gezochte pakketten bestuderen maar je kan ook nog het type pakket bekijken in een bepaald venster:

Afbeelding 3: Pakkettype details

Nu kun je alle type bekijken terwijl het capturen nog bezig is.

Opslaan
Als je klaar bent moet je de capture natuurlijk kunnen opslaan. Dat doen we ook via de standaard menubar namelijk door op de diskette te klikken:

Afbeelding 4: Het venster van opslaan als

Je kan in deze interface ook eventueel selecteren om alleen een aantal pakketten op te slaan of gewoon ze allemaal te pakken.

 

 

 

 

Mergen
Dan kan je natuurlijk nog bestanden mergen, dit gaat ook via de menubar File.
Als je vervolgens een bestandsnaam selecteerd worden de 2 bestanden samen gemerged dit wil zeggen bij elkaar gezet.

Afbeelding 4: Het venster van mergen

Exporteren van pakketten
Dan is er ook nog de mogelijkheid om je pakketten te exporteren in een ander bestandstype.
Je hebt 4 opties in Wireshark:

De "Export as Plain Text File"
De "Export as PostScript File"
De "Export as PSML File"
De "Export as PDML File"

 

Een voorbeeld van exporteren namelijk als een Plain Text File.

Afbeelding 5: Het venster van exporteren

 

 

Exporteren van objecten
Als je op het internet zit te surfen kom je allerlei afbeeldingen tegen, deze kan Wireshark heel georganiseerd weergeven. Sommige bestanden kan je zelfs openen met Wireshark en bekijken ook kun je ze opslaan.

Afbeelding 5: Het venster van het geopende geëxporteerd bestand

 

Printen
Als je eenmaal klaar bent met het bestuderen en je wilt daar een printje van maken is dit gewoon mogelijk in Wireshark.
Wireshark bevat dus ook een mogelijkheid tot printen dit gaat via de menubar File en vervolgens print.
Je krijgt dan het volgende scherm te zien:

 
Afbeelding 6: Het venster van printen

Je kan hier precies instellen wat je wilt afdrukken dus ook welke packets of dat je geen packet details wil afdrukken.

 

 

 

 

Pakketten filteren, en pakketten in een apart venster openen.

Als je in het groene gedeelte een tekst intypt worden de pakketten zo opgedeeld dat alleen nog maar de pakketten te zien zijn die met jouw zoekactie te maken hebben.

 
Afbeelding 7: De interface in Wireshark

Als je een pakket selecteerd wordt er in het paarse gedeelte gedetailleerde gegevens over het pakket weergegeven je kunt als je het +je uitvinkt meerdere gegevens verkrijgen wil je deze nu in een apart venster moet je dubbelklikken op het pakket :

Afbeelding 8: Gedetailleerde weergave van een pakket in een apart venster

 

Dit was samengevat de grote mogelijkheden in Wireshark.