Der erste Mitschnitt - Filterregeln
Jetzt müssen Sie nur noch Netzwerkverkehr erzeugen. Am einfachsten geht das mit dem Browser: Fangen Sie einfach an zu surfen. Schon wirft Wireshark im oberen der drei Ausgabefenster (dem "paket list pane") den auf Ihrem PC eingehenden und den ausgehenden Traffic aus (unter anderem mit Angabe von Quelle und Ziele, dem benutzten Protokoll und weiteren Informationen. Die angezeigten Spalten können über Edit, Preferences ausgewählt werden), unterschiedliche Farben kennzeichnen unterschiedliche Protokolle (die Farbwahl können Sie ebenfalls beeinflussen).
Diese Anzeige lässt sich nach jeder Spalte sortieren (im Menü "View" können Sie zudem die Zeitausgabe beeinflussen und IP-Adressen in DNS-Namen auflösen lassen - das erhöht spürbar die Lesbarkeit). Im mittleren dieser drei Fenster (dem "paket details pane") werden zu jedem der Einträge aus dem oberen Fenster technische Details wie Ziel- und Quellport oder die Headerlänge angezeigt, um nur einige Beispiele zu nennen. Der eigentliche Inhalt des ausgewählten Pakets wird im untersten der drei Ausgabefenster (deren Größe sich mit dem Hauszeiger verändern lässt) angezeigt (das so genannte "paket bytes pane"). Links in hexadezimaler Darstellung, rechts als Ascii-Code. Zu viel Aussagekraft dürfen Sie hier aber nicht erwarten, relativ wenig steht hier im Klartext. Passwörter und sonstige Logindaten, die unverschlüsselt übertragen werden, können sie hier aber schon rausfischen. Die Texte von ICQ-Nachrichten stehen hier ebenfalls im Klartext. Mit "Stop" können Sie den Mitschnitt wieder beenden.
Wird Wireshark derart filterlos auf Ihren Netzverkehr losgelassen, schneidet er alles mit, was irgendwie aus dem Internet auf dem PC einschlägt. Da verlieren Sie schnell den Überblick, die Masse des aufgezeichneten Traffics überrollt einen förmlich. Also sollten Sie Filterregeln festlegen, damit wirklich nur das aufgezeichnet und gegebenenfalls in der Mitschnitt-Datei abgespeichert wird, was Sie auch wirklich interessiert. Wireshark bietet zwei verschiedene Möglichkeiten zur Filterung: Ein Filter, der sich auf die Ansicht beschränkt und ein Filter, der den tatsächlichen Mitschnitt beeinflusst. Wireshark stellt bereits fertige Filter bereit, unter denen Sie auswählen können.
Am einfachsten legen Sie einen Filter fest, wenn Sie einen Eintrag im obersten Anzeigefenster mit der rechten Maustaste anklicken und dann "Apply as a Filter" wählen - das wird dann ein so genannter Display-/Ansicht-Filter, der auch sofort angewandt wird. Sie können Display-/Anzeige-Filter auch direkt in das Eingabefenster "Filter:" oberhalb der Trafficanzeige eingeben und mit apply anwenden. Mehrere Filter können Sie kombinieren, indem Sie "&&" zwischen zwei Filter setzen. Ein Beispiel: Sie wollen überprüfen, welche Datenströme durch das PING-Kommando verursacht werden (mit dem Kommandozeilen-Befehl PING testen Sie, ob ein Rechner respektive Server via Internet erreichbar ist). PING verwendet das ICMP-Protokoll (Internet Control Message Protocol): Sie geben also icmp in das Filtereingabefeld ein und drücken dann apply. Oder Sie wollen den gesamten Mailverkehr checken: Hierfür geben Sie je nach dem gewünschten Mailprotokoll SMTP, Imap oder POP ein. Auch nach IP-Adressen lässt sich filtern. Dafür geben Sie "ip.addr==IPADRESSE" ein. Mit "tcp.dstport==80" lassen Sie Wireshark nur http-Traffic anzeigen, der für den Standardport 80 vorgesehen ist. Wenn Sie auf den Button "Expression…" drücken, werden Ihnen die verfügbaren Filter angezeigt. Ihre Mitschnitte können Sie in einer Datei, beispielsweise einer TXT-Datei, abspeichern und dann bequem auswerten.
Bei den Filtern muss man wie gesagt unterscheiden zwischen den oben vorgestellten Anzeigefiltern und den so genannten Capturefiltern - mit Letzteren legen Sie fest, was Wireshark tatsächlich mitschneiden soll. Diese legen Sie unter "Capture, Options, Capture Filters" oder im Menü "Capture, Capture Filters" fest. Geben Sie dort beispielsweise "tcp dst port 80" ein, wenn Sie nur den Browser-Traffic mitschneiden wollen, der auf Ihrem PC eintrifft. Ebenso können Sie "host" eingeben, um Traffic von und zu einem bestimmten Host anzuzeigen. Das "host" lässt sich optional um "src" und/oder "dst" erweitern, wenn Sie nur Quellhosts oder Zielhosts anzeigen lassen wollen. Ein Beispiel: "src host www.spiegel.de" zeigt nur Traffic an, der von der Website des Spiegel kommt.
Zwei spannende Menü-Punkte sind "Statistics" und "Analyze". Während Sie in "Statistics" verschiedene Möglichkeiten finden, um die Datenmenge nach verschiedenen Kriterien aufzubereiten - auch grafisch mit IO Graphs - können Sie sich bei "Analyze" nicht nur über die von Wireshark unterstützten Protokolle und über die vorhandenen Filteroptionen informieren, sondern mit "Firewall AVL Rules" auch Empfehlungen für die Einstellung Ihrer Firewall anzeigen lassen. Dabei kommen Linux-Anwender ebenso auf ihre Kosten wie Windows-User.
Auf der folgenden Seite erklären wir Ihnen, wie Sie unerwünschte Besucher erkennen.