Hoe een Wireshark-capture maken?

Geplaatst op door

Vaak is het handig om bij het analyseren van een probleem tussen een server en client applicatie om een ​​Wireshark-capture te maken, zodat de communicatie tussen de server en een client kan worden geanalyseerd. In dit artikel leg ik uit hoe je een dergelijke opname maakt en waar je op moet letten bij het vastleggen van de gegevens.

Voorbereiding

Ten eerste heb je Wireshark nodig. Wireshark is een gratis en open-source pakket analyse applicatie. Het is een veelgebruikte applicatie die wordt gebruikt voor het oplossen van netwerkproblemen, analyse en nog veel meer toepassingen.

Wireshark is een platformonafhankelijke applicatie en beschikbaar voor Windows, macOS en Linux.

Hoewel het mogelijk is om de communicatie indirect vast te leggen, zullen we voor dit artikel de methode beschrijven van een directe installatie waarbij Wireshark is geïnstalleerd en draait op hetzelfde apparaat als de server-applicatie.

pasted_image_0.png

Hoe de capture te doen?

Ervan uitgaande dat je Wireshark met succes hebt geïnstalleerd op hetzelfde apparaat als waarop de server-applicatie wordt uitgevoerd, kunt je de opname starten door te dubbelklikken op de juiste netwerkinterface en/of door een enkele klik op de juiste netwerkinterface uit te voeren en op de blauwe haaienvin linksboven in het scherm.

De juiste interface is de interface die de server met de camera verbindt. Als je de keuze heeft tussen een draadloze interface en een bekabelde interface, dan verdient het de voorkeur om de bekabelde interface te gebruiken, aangezien dit een betere kwaliteit van de opname biedt met minder rommel.

Hoe maak je een gefilterde opname?

Om de pakketten efficiënter te verzamelen, kunt je het capture filter gebruiken om alleen de specifieke communicatie op te halen die je nodig hebt, meestal de communicatie tussen de server applicatie en de specifieke client of vice versa. Volg de onderstaande stappen om de gefilterde capture uit te voeren:

  1. Doe een enkele klik op de juiste netwerkinterface
  2. Voer het Capture Filter in het toepasselijke veld in door host in te voeren. Bijvoorbeeld: host 192.168.178.40.
  3. Dubbelklik op de juist netwerkinterface of druk op de Startknop linksboven (de blauwe haaienvin).
  4. Als je klaar bent met de capture, stop dan het vastleggen met het rode vierkant linksboven in het scherm.

Nu klik je op Bestand en selecteer je Opslaan als… en je geeft een eigen naam aan de opname en je behoudt de extensie als Wireshark /… -pcapng.

Welke communicatie moet je vastleggen?

Wireshark zal in korte tijd enorme bestanden maken en met veel regels om te onderzoeken. Om zo snel mogelijk de spreekwoordelijke naald in de hooiberg te vinden. Het wordt aanbevolen om de onderstaande stappen te volgen;

  1. Start Wireshark (met het capture filter ingeschakeld)
  2. Reproduceer het probleem
  3. Stop Wireshark
  4. Sla de (gefilterde) capture op
  5. Deel de (gefilterde) capture

Soms is het moeilijk om een ​​scenario te reproduceren en zou het niet logisch zijn om Wireshark gewoon te laten draaien totdat het gebeurde, aangezien dit de belasting van de server zal verhogen, maar bovendien een enorm opnamebestand zal creëren waarmee onmogelijk te werken is. Maar daar is een oplossing voor, je kunt een ringbuffer opzetten. Een ringbuffer is een functie waarmee je kunt bepalen hoeveel bestanden Wireshark mag aanmaken en hoe groot ze mogen zijn. Op deze manier kunt je Wireshark starten en laten draaien totdat het probleem dat we willen onderzoeken zich heeft voorgedaan. Houd er rekening mee dat dit de belasting van de CPU en RAM zal verhogen.

Voor het instellen van een ring buffer heb ik eerder al eens een artikel geschreven. Zie hier voor deze LINK.

En nu?

Voor het analyseren van Wireshark pakketten kun je uiteraard voor informatie vinden op de Wireshark Wiki pagina’s, maar een aanrader is ook het boek Practical Package Analysis van Chris Sanders. Belangrijk is het vooral om het gewoon te doen.