Cisco Networking: Installeren van Wireshark - dummies

Wireshark netwerkprotocolanalyse of netwerksniffer is, een tool die de details van netwerkverkeer kan bekijken. Wanneer u Wireshark installeert, wordt tijdens de installatie gevraagd om WinPcap te installeren. Dit is de feitelijke capture-driver die het zware werk voor Wireshark doet. Wireshark zorgt voor gegevensweergave en analyse, terwijl WinPcap het vastlegstuurprogramma is dat het live netwerkverkeer van het netwerk vangt.

U kunt alle standaardinstellingen voor de installatie kiezen; de enige echte vraag die je hebt is of je wilt dat WinPcap begint met het besturingssysteem. Als u ervoor kiest om WinPcap te laten starten met het besturingssysteem, dan verbruikt het altijd enkele van uw computerbronnen, zelfs wanneer Wireshark geen WinPcap nodig heeft.

Normaal begint WinPcap indien nodig bij het uitvoeren van Wireshark. Als u echter Windows 7 gebruikt, zullen de standaard beveiligingsfuncties van Windows 7 voorkomen dat het WinPcap-stuurprogramma start wanneer Wireshark wordt uitgevoerd. In dat geval wilt u dat WinPcap begint met het besturingssysteem.

Ga als volgt te werk om een ​​basisregistratie van gegevens in te stellen:

1. Selecteer de netwerkkaart die u wilt gebruiken om vast te leggen door Capture → Interfaces te kiezen.

   Het hieronder afgebeelde venster Capture Interfaces verschijnt, dat u niet alleen de weergegeven interfaces toont, maar ook de gegevens die zijn ontvangen en verzonden op de interfaces op uw computer.

   

2. Klik op de knop Start naast uw actieve netwerkinterface om een ​​opnamesessie te starten.

Op het scherm dat verschijnt, schuift de gegevens voorbij. U ziet de volgende drie basisvensters:

• Pakketlijst: Dit paneel toont alle netwerkframes die door uw netwerkkaart zijn gezien. Als uw netwerkkaart is verbonden met een hub, dan is dit al het verkeer op het netwerk; maar als de kaart is aangesloten op een switch, worden alleen frames en de netwerkframes verzonden die zijn geadresseerd aan het MAC-adres van de kaart.

  De informatie die u hier ziet, bevat het framenummer en het volgende:

  • Tijd: Het aantal milliseconden dat is verstreken sinds het begin van de netwerkopname.

  • Bronadres: Het adres van het apparaat dat het netwerkframe naar het netwerk heeft verzonden. Dit kan een IP-adres zijn zoals 192. 168. 1. 123 of een MAC-adres zoals 00: 1D: 7E: F8: 23: D6.

  • Bestemmingsadressen: Het adres waar het netwerkframe wordt verzonden. De waarden en opties zijn hetzelfde als het bronadres.

  • Protocol: Het protocol met de hoogste laag dat in het frame aanwezig is.In Afbeelding 4-10 ziet u ARP, TCP en

  • Info: Deze kolom geeft samenvattingsinformatie over het frame weer. Dit is een WireShark-interpretatie van welke gegevens er in het frame zitten. Het is de bedoeling om het voor u gemakkelijker te maken om te begrijpen welk type gegevens zich in het netwerkframe bevinden.

• Pakketgegevens: Het deelvenster gerelateerd aan het momenteel geselecteerde pakket in het middelste frame, met een uitdijende hiërarchie. Hiermee kunt u in de secties van deze gegevens boren, zoals door de OSI-lagen bladeren. Als u de sectie Ethernet II uitvouwt, kunt u de gegevens vergelijken met de Ethernet-framestructuur. Als u het gedeelte Internetprotocol uitvouwt, kunt u de gegevens vergelijken met de pakketstructuur.

• Packet Bytes: Dit venster toont ASCII- en hexadecodegegevens die in het frame zitten. Onthoud dat alle gegevens die in het netwerkframe worden verzonden, binair zijn en dat u deze binaire gegevens kunt converteren naar hexadecimaal.

  Uiteindelijk kan elke acht bits of één byte worden weergegeven door een ASCII-teken. Dit venster toont u alle binaire gegevens in het Ethernet-frame in zowel het hexadecimale als het ASCII-equivalent. Dit kan soms handig zijn bij het zoeken naar ASCII-reeksen in de gegevens. Deze gegevens worden in een netter formaat weergegeven in het deelvenster Pakketspecificaties.

Door verschillende secties van het frame in het deelvenster Pakketspecificaties te selecteren, wordt het overeenkomende gedeelte van het paneel Pakketbytes gemarkeerd. Dit kan handig zijn als u probeert een hexadecimaal of ASCII-equivalent te vinden voor wat u ziet in het paneel Pakkethandels. Als je samen met Wireshark meegaat, probeer dan verschillende delen van het frame te selecteren in het paneel Pakkethandels.