Hoe pakketten in WireShark te vangen

Wireshark is een onschatbare tool voor netwerkanalyse die de gegevens die door uw netwerken reizen, omzet in een leesbaar formaat. U kunt netwerk- of beveiligingsproblemen identificeren, protocolimplementaties debuggen of gewoon verkeer monitoren door pakketten vast te leggen met Wireshark.

Bekijk wat er in uw netwerk gebeurt door de exacte informatie vast te leggen die u nodig hebt. Hier leest u hoe u verschillende soorten pakketten in Wireshark vastlegt.

Hoe pakketten vast te leggen

Het starten van het vastlegproces in Wireshark duurt maar een paar klikken. Het enige dat u hoeft te doen, is de opnamemodus starten en de gegevens beginnen ongefilterd binnen te stromen. Hoewel deze ongefilterde modus geweldig is als je een volledig rapport nodig hebt van wat er gebeurt, kan de hoeveelheid gegevens die op deze manier wordt vastgelegd overweldigend zijn. Om het beter beheersbaar te maken, kunt u filters gebruiken en alleen een specifiek type gegevens vastleggen. Hieronder vindt u de stappen om dit te doen.

Laten we nu eens kijken hoe we kunnen beginnen met het vastleggen van alle pakketten in Wireshark:

1. Zorg ervoor dat je de nieuwste versie van Wireshark hebt geïnstalleerd. Je kunt het programma gratis downloaden van de officiële Wireshark- website.
   
   
2. Start het programma. U wordt begroet door het welkomstscherm met de lijst met uw gedetecteerde netwerken.
   
3. Begin met het vastleggen van pakketten op een van de volgende manieren:
   • Dubbelklik op het netwerk van uw keuze in de lijst.
     
   • Selecteer een of meer netwerkinterfaces en klik vervolgens op het haaienvinpictogram in de werkbalk of op 'Vastleggen' en vervolgens op 'Starten' in de menubalk.
     
     

Opmerking: u kunt de opnameopties, zoals de promiscue modus, aanpassen voordat u aan de slag gaat door op "Vastleggen" en vervolgens op "Opties" te klikken.

Zodra u op de netwerkinterface of de startknop klikt, wordt u naar het opnamescherm geleid. Je zult zien hoe Wireshark in realtime datapakketten pakt. Als u eenmaal tevreden bent met de hoeveelheid verzamelde gegevens, kunt u stoppen met vastleggen door op de rode stopknop in de bovenste werkbalk te klikken. Begin meteen met het analyseren van de gegevens of bewaar ze voor later door in de menubalk op "Bestand" en vervolgens op "Opslaan als..." te klikken.

Hoe UDP-pakketten vast te leggen

Als u de bovenstaande stappen volgt, wordt het programma gevraagd alle pakketten vast te leggen. Hoewel verschillende soorten verkeer gemakkelijk te onderscheiden zijn in Wireshark dankzij kleurcodering, moet u nog steeds veel gegevens doorzoeken. Als u alleen informatie over bepaalde pakketten zoekt, kunt u filters gebruiken om uw werk gemakkelijker te maken.

Wireshark ondersteunt zowel opname- als weergavefilters. Het gebruik van een capture-filter betekent dat het programma alleen de pakketten vastlegt die u definieert. Weergavefilters filteren alleen door reeds vastgelegde pakketten. De twee filters werken anders en gebruiken verschillende opdrachten, dus u moet beslissen welke het beste bij uw behoeften past.

Als u alleen UDP-verkeer wilt vastleggen, gebruikt u een vastlegfilter voordat u met het vastlegproces begint.

1. Start Wireshark.
   
2. Zoek naar de Capture Filter-balk op het welkomstscherm. Het is degene die direct boven uw netwerklijst staat.
   
3. Typ "udp" in de Capture Filter-balk en druk op Enter om het vastleggen van UDP-verkeer te starten. U kunt ook een specifieke poort toevoegen na "udp" als u uw filter verder wilt specificeren.
   

Tip: Een andere manier om uw vastlegfilters aan te passen, is klikken op "Vastleggen" en vervolgens op "Opties" in het menu. De filterbalk bevindt zich onderaan de Capture Interface.

Wireshark Hoe DHCP-pakketten te vangen

Om exclusief DHCP-pakketten vast te leggen, moet u het overeenkomstige poortnummer invoeren in het vastlegfilter. Gebruik het vastlegfilter "poort 67" of "poort 68" of de combinatie van de twee "poort 67 of poort 68" om DHCP-pakketten vast te leggen.

Evenzo kan een weergavefilter DHCP-pakketten uit uw opnamescherm filteren. Onthoud echter dat weergavefilters een andere syntaxis gebruiken dan opnamefilters. U moet "udp.port == 68" invoeren in de weergavefilterbalk.

Ping-pakketten vastleggen

De beste manier om ping-pakketten (ook wel bekend als Internet Control Message Protocol (ICMP) Echo-verkeer) in Wireshark vast te leggen, is door een weergavefilter in de vastlegmodus te gebruiken. Dit is het proces.

1. Open Wireshark en start het vastlegproces zoals hierboven beschreven.
   
2. Open uw opdrachtprompt en ping het adres van uw keuze.
   
3. Ga terug naar Wireshark en stop het vastlegproces.
   
4. Maak een filter voor ping-pakketten door "icmp" in uw weergavefilterbalk te typen en druk vervolgens op Enter.
   

U ziet zowel de verzoeken als de antwoorden op de ping in de pakkettenlijst.

Wireshark Hoe pakketten van een specifiek IP-adres te vangen

Als u uw opname op een specifiek IP-adres wilt richten, voert u het volgende opnamefilter in voordat u begint met vastleggen: "host [het IP-adres dat u wilt opnemen]." Voor het vastleggen van pakketten gerelateerd aan het IP-adres 111.11.1.1 is bijvoorbeeld het filter "host 111.11.1.1" in de opnamefilterbalk vereist.

U kunt ook definiëren of u verkeer van of naar een specifiek IP-adres wilt vastleggen door aan het begin "src" voor bron of "dst" voor bestemming toe te voegen in plaats van "host:"

• typ "src 111.11.1.1" voor pakketten die afkomstig zijn van het betreffende IP-adres
• typ "dst 111.11.1.1" voor pakketten die naar het betreffende IP-adres worden verzonden

U kunt deze filters natuurlijk combineren om het verkeer te specificeren dat u verder wilt vastleggen. Verbind de twee filters met "en" om de pakketten te laten reizen tussen de twee IP-adressen die u definieert. Bijvoorbeeld: "src 111.11.1.1 en dst 222.22.2.2" vangen alleen de pakketten op die zijn verzonden van 111.11.1.1 naar 222.22.2.2.

Gebruik weergavefilters om pakketten te filteren die betrekking hebben op een specifiek IP-adres in een reeds vastgelegde set gegevens. Voer voor het bovengenoemde IP-adres "ip.addr == 111.11.1.1" in uw weergavefilterbalk in, enzovoort.

Veelgestelde vragen

Hoe leg ik routerpakketten vast in Wireshark?

Je kunt alleen routerpakketten vastleggen met Wireshark als je een router hebt die port mirroring ondersteunt. Eerst moet u het verkeer naar een LAN-poort spiegelen. Het proces kan verschillen, afhankelijk van uw apparaat.

1. Ga naar LAN en vervolgens naar LAN Port Mirror.

2. Schakel poortspiegeling in.

3. Configureer de bron- en bestemmingspunten.

Als u uw verkeer op deze manier kunt spiegelen, kunt u routerpakketten normaal vastleggen in de vastlegmodus van Wireshark.

Waarom kan ik geen pakketten vastleggen in Wireshark?

Als uw Wireshark geen pakketten vastlegt, kijk dan naar de volgende mogelijkheden om het probleem op te lossen:

• Zorg ervoor dat u geen al te specifieke opnamefilters hebt ingeschakeld.

• Zoek naar Wireshark-updates in het Help-menu.

• Controleer of een firewall uw Wireshark-toepassing niet blokkeert.

Als geen van de bovenstaande factoren op u van toepassing is, ligt het probleem hoogstwaarschijnlijk bij uw hardware.

Moet alles vastleggen

Het vastleggen van pakketten met Wireshark kost slechts een paar klikken. Het wordt waarschijnlijk het gemakkelijkste deel van uw probleemoplossingstaak. Leg al het verkeer vast en filter pakketten later of gebruik vastlegfilters om alleen een specifiek gegevenstype vast te leggen.

Is het je gelukt om de pakketten te vangen die je wilde met behulp van deze tips? Welke Wireshark-opnamefilters vindt u het nuttigst? Laat het ons weten in de comments hieronder.