5 nützliche Tipps zur Analyse von Wireshark-Paketerfassungen

Sind Sie neu bei Wireshark Packet Captures?

Ich war dort – ich habe mein erstes Paket erhalten und wurde gebeten, es zu analysieren.
Vertrau mir! Diese Fähigkeit zu haben – in der Lage zu sein, durch Lesen einer Paketerfassung zu erkennen, wo das Problem liegt, ist ein Plus für Sie. Jetzt und in Zukunft!
Nach einiger Zeit bekommt man ein Gefühl für die ersten Schritte mit Wireshark und wie man ein erstes Feedback geben kann.

Verwenden Sie ein benutzerdefiniertes Wireshark-Profil

Als ich neu bei Wireshark war und noch nie Paketerfassungen analysiert habe, war ich verloren.
Ich erinnere mich an die Zeit, weil die Paketanalyse eine wichtige Rolle als „Site Reliability Engineer“ spielte. Und ich war nicht bereit.

Wireshark öffnet Ihre Datei mit dem „Standard“ -Profil, das die grundlegenden Spalten Paketnummer, Zeit, Quelle, Ziel, Protokoll, Länge und Info enthält.
Im Laufe der Zeit habe ich verstanden, dass es Zeit spart und auch bei der Fehlerbehebung hilft, wenn von Anfang an mehr Spalten verfügbar sind.

Wie Sie im Screenshot sehen können, habe ich mehrere Spalten hinzugefügt. Einige von ihnen sind sehr wichtig:

  • Delta Time => Es zeigt die Delta-Zeit zum vorherigen erfassten Paket
  • Bytes im Flug => Daten, die gesendet, aber noch nicht bestätigt wurden
  • Sequenznummer
  • Bestätigte Nummer
  • Nächste Sequenznummer

Das Hinzufügen dieser Spalten hat mir geholfen, Zeit bei der Analyse zu sparen!

Erste Informationen vom 3-Wege-Handshake

Der 3-Wege-Handshake ist der wichtigste Schritt in TCP, um eine Kommunikation zwischen Client und Server herzustellen.
Hier eine kurze Zusammenfassung, wie der Handshake aussieht:

  1. Der Client sendet ein SYN-Paket mit seiner anfänglichen Sequenznummer an den Server
  2. Der Server bestätigt (ACK) das SYN-Paket (vom Client) und sendet sein eigenes SYN-Paket mit seiner anfänglichen Sequenznummer
  3. Der Client bestätigt (ACK) das SYN-Paket (vom Server)
  4. Jetzt ist die TCP-Kommunikation aufgebaut und kann Daten austauschen

Während des 3-Wege-Handshakes werden viele nützliche Informationen zwischen Client und Server ausgetauscht.
Neben Quell-IP, Ziel-IP, Quell-Port, Ziel-Port, Quell-MAC, Ziel-MAC können Sie auch:

  • RTT = > Round Trip Time between Client and Server
  • TTL => Time to live – Mit diesem Wert können Sie die Anzahl der Hops zwischen Client und Server berechnen
  • Berechnete Fenstergröße => Die Größe der Daten, die empfangen werden können, bevor sie bestätigt werden müssen

Mit nur 3 Paketen erhalten Sie einen Überblick über Ihre TCP-Kommunikation.
Filtern Sie Ihre Paketerfassungen nach Ihrer Zieladresse (für benötigte Filter verwenden Sie meine Einführung in Wireshark – Teil 2) und beginnen Sie mit der Analyse.

Ab sofort verwende ich als Beispiel eine TCP-Kommunikation zwischen meinem Client in meinem privaten Netzwerk und dem tcpdump-it.com server (173.212.216.192).

Überprüfen Sie, wie viele Pakete verloren gegangen sind

Da ich auf der Infrastrukturseite arbeite, ist es mein erstes Ziel zu verstehen, ob sich das Netzwerk so verhält, wie es sein sollte.
Wenn ich aufgefordert werde, eine Netzwerkpaketerfassung zu analysieren, ist es ein obligatorischer Schritt, den Prozentsatz des Paketverlusts (TCP-Neuübertragungen) zu verstehen.

Dazu verwende ich den Anzeigefilter „ip.addr==173.212.216.192 und tcp.Analyse.Weiterverbreitung“. Es zeigt alle Pakete, die erneut übertragen wurden.
Der nächste Schritt besteht darin, die „Capture File Properties“ unter der Registerkarte „Statistic“ zu öffnen.

Im Bereich Statistik sehen Sie die Spalten „Erfasst“ und „Angezeigt“.
Die Spalte „Angezeigt“ basiert auf Ihrem Anzeigefilter und zeigt die Statistiken im Vergleich zu den „erfassten“ Daten an.

Ich habe dieses Beispiel verwendet, um Ihnen einen Extremfall zu zeigen. Sie können sehen, dass 10,4% Pakete erneut übertragen werden.

Es hängt von vielen Faktoren ab, wie viele Prozent des Paketverlusts kritisch sind. Es gibt unterschiedliche Meinungen.
Wahrscheinlich ist keine Antwort richtig, aber wenn der Paketverlust höher als 1% ist und eine hohe Verzögerung in der Kommunikation verursacht, sollten Sie besser mit der Überprüfung beginnen.

Öffnen Sie die Experteninformationen

Wiresharks Experteninformationen sind sehr nützlich und geben Ihnen eine Vorstellung davon, was in der Paketerfassung zu überprüfen.
In der Wireshark-Dokumentation finden Sie folgende Aussage „Nehmen Sie Experteninformationen als Hinweis, was es wert ist, angeschaut zu werden, aber nicht mehr“

Genau das sollten Sie tun. Als ich zum ersten Mal eine Paketerfassung analysierte, waren die Experteninformationen sehr hilfreich und gaben mir Hinweise, in welche Richtung ich analysieren sollte.

Gehen Sie zur Registerkarte „Experte“ und wählen Sie „Experteninformationen“. Es öffnet sich ein neues Fenster:

In früheren Versionen von Wireshark (v1) war die Übersicht über die „Warnungen“, „Notizen“, „Chats“ klarer.

Gewöhnen Sie sich daran, die Experteninformationen zu öffnen. Es wird Ihnen absolut helfen!

Öffnen Sie das Roundtrip-Zeitdiagramm

Eine kurze Zusammenfassung der Roundtrip-Zeit:
RTT bedeutet die Zeit zwischen dem Senden eines Pakets und dem Zurückkommen einer Antwort.

Für unsere Packet Captures Analyse ist es wichtig zu verstehen, ob es Pakete mit einer hohen RTT gibt.
Das würde bedeuten, dass wir unter einer langsamen Kommunikation leiden.

Um das Round Trip Time-Diagramm zu öffnen, gehen Sie zu „Statistics“ >> „TCP Stream Graphs“ >> „Round Trip Time“.

Das Diagramm zeigt auf der Y-Achse die RTT in ms, während die X-Achse die Zeit anzeigt, in der die Paketerfassung in Sekunden ausgeführt wurde.

Dieses RTT-Diagramm in meinem Screenshot ist nicht signifikant, sieht aber mit einer RTT von etwa 60 ms gut aus.
Suchen Sie nach Spitzen in der Y-Achse, um langsame Pakete zu identifizieren!

Zusammenfassung

Ich möchte meinen Satz wiederholen, den ich am Anfang des Beitrags geschrieben habe:
Diese Fähigkeit zu haben – in der Lage zu sein, durch Lesen einer Paketerfassung zu erkennen, wo das Problem liegt, ist ein Plus für Sie.

Wenn Sie einige Teile dieses Beitrags betrachten, werden Sie bei der Analyse von Paketerfassungen mit Wireshark erfolgreicher sein!

Wenn du mehr darüber erfahren möchtest, melde dich bei meinem Slack-Workspace an oder sende mir eine E-Mail.

Bleiben Sie auf dem Laufenden und abonnieren Sie meinen Newsletter!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.