Wireshark is ’s werelds toonaangevende netwerkverkeeranalysator, en een essentieel gereedschap voor elke beveiligingsprofessional of systeembeheerder. Met deze gratis software kunt u netwerkverkeer in realtime analyseren, en het is vaak het beste hulpmiddel voor het oplossen van problemen op uw netwerk.
Gemeenschappelijke problemen die Wireshark kan helpen bij het oplossen van problemen zijn onder andere dropped packets, latentieproblemen, en kwaadaardige activiteit op uw netwerk. Het stelt u in staat uw netwerkverkeer onder een microscoop te leggen en biedt hulpmiddelen om dat verkeer te filteren en uit te diepen, zodat u kunt inzoomen op de hoofdoorzaak van het probleem. Beheerders gebruiken het om defecte netwerkapparatuur te identificeren die pakketten laat vallen, latentieproblemen die worden veroorzaakt door machines die verkeer halverwege de wereld routeren, en pogingen tot data-exfiltratie of zelfs hacking tegen uw organisatie.
Wireshark is een krachtig hulpmiddel dat een gedegen kennis van de basisprincipes van netwerken vereist. Voor de meeste moderne ondernemingen betekent dat bijvoorbeeld het begrijpen van de TCP/IP-stack, het lezen en interpreteren van packet-headers en hoe routing, port forwarding en DHCP werken.
Wat doet Wireshark?
Wireshark onderschept verkeer en converteert dat binaire verkeer naar een voor mensen leesbaar formaat. Dit maakt het gemakkelijk om te identificeren welk verkeer uw netwerk doorkruist, hoeveel ervan, hoe vaak, hoeveel vertraging er is tussen bepaalde hops, enzovoort.
While Wireshark ondersteunt meer dan tweeduizend netwerkprotocollen, waarvan vele esoterisch, ongewoon, of oud zijn, de moderne beveiligingsprofessional zal het analyseren van IP-pakketten het meest van onmiddellijk nut vinden. De meerderheid van de pakketten op uw netwerk zijn waarschijnlijk TCP, UDP, en ICMP.
Gezien de grote hoeveelheid verkeer die een typisch bedrijfsnetwerk doorkruist, zijn Wireshark’s gereedschappen om u te helpen dat verkeer te filteren wat het bijzonder nuttig maken. Capture filters verzamelen alleen de types verkeer waarin u geïnteresseerd bent, en display filters helpen u in te zoomen op het verkeer dat u wilt inspecteren. De netwerkprotocolanalysator biedt zoekhulpmiddelen, waaronder reguliere expressies en gekleurde markering, om gemakkelijk te vinden wat u zoekt.
Soms is de beste manier om afwijkend verkeer te vinden door alles vast te leggen en een basislijn op te zetten.
Hoe Wireshark te gebruiken
Je moet weten wat normaal is om te vinden wat abnormaal is, en Wireshark bevat hulpmiddelen om basislijnstatistieken te maken. Hoewel Wireshark een netwerk protocol analyzer is, en geen intrusion detection system (IDS), kan het toch uiterst nuttig zijn om kwaadaardig verkeer op te sporen zodra een rode vlag is gehesen.
Wireshark kan ook worden gebruikt om versleuteld TLS verkeer te onderscheppen en te analyseren. Symmetrische sessiesleutels worden opgeslagen in de browser, en met de juiste browserinstelling (en toestemming en kennis van de gebruiker) kan een beheerder deze sessiesleutels in Wireshark laden en onversleuteld webverkeer onderzoeken.
Wireshark wordt geleverd met grafische hulpmiddelen om de statistieken te visualiseren. Dit maakt het gemakkelijk om algemene trends te zien, en om bevindingen te presenteren aan minder-technisch management.
Wireshark als een leermiddel
Er zijn zo veel hands-on toepassingen voor Wireshark dat het gemakkelijk is om over het hoofd te zien wat een effectief leermiddel het kan zijn. De motorkap van een auto optillen is de beste manier om te begrijpen hoe een verbrandingsmotor werkt, en op dezelfde manier het deksel van het netwerkverkeer optillen en pakketten voorbij zien vliegen – zelfs tot op byte-niveau boren en TCP headers onderzoeken – is een krachtige manier om te leren, en anderen te leren hoe het internet werkt.
Het ontrafelen van de motor die onze informatie-economie laat draaien, kan alleen maar leiden tot beter geïnformeerde zakelijke beslissingen en beter overheidsbeleid, om nog maar te zwijgen over een beter gekwalificeerde beroepsbevolking. Wireshark is al een hoofdbestanddeel van de lesprogramma’s in veel trainingsinstellingen, maar de docs zijn op dit punt compleet genoeg dat een leergierige leerling de netwerkprotocolanalysator gemakkelijk kan downloaden, hun lokale wifi-toegangspunt kan sniffen en kan beginnen met het onderzoeken van verkeer.
Geschiedenis van Wireshark
Wireshark bestaat al sinds 1998, toen het werd uitgevonden door Gerald Combs en Ethereal werd genoemd. In de loop der jaren heeft het gigantische hoeveelheden ondersteuning en patches van de gemeenschap gekregen, en is het algemeen geaccepteerd als de de facto netwerk protocol analyzer die vandaag de dag beschikbaar is.
Wireshark draait op alle grote en de meeste kleinere besturingssystemen, inclusief de gebruikelijke Linux distro’s, Windows, OS X, FreeBSD, NetBSD, en OpenBSD. Het programma is vrije software, met een GPL licentie, en is dus vrij om te gebruiken, delen en wijzigen.
Wireshark tutorial
Er zijn veel goede gratis bronnen over hoe Wireshark te leren, plus tips en trucs om het meeste uit de software te halen. Hier zijn een paar van onze favorieten:
- I’ve Just Downloaded Wireshark… Now What? (PDF)
- Wireshark Gebruikershandleiding
- Hoe Wireshark te gebruiken: A Complete Tutorial (Lifewire)
- How to Use Wireshark to Capture, Filter and Inspect Packets (How-To Geek)
Wireshark gratis downloaden
Download deze netwerk protocol analyzer op wireshark.org en begin vandaag nog met het sniffen van pakketten.