Wireshark gebruiken (Windows)

Door Dreeke fixed op zaterdag 13 mei 2017 20:21 - Reacties (10)
Categorie: -, Views: 3.342

Aangezien er vaak product reviews worden gedaan waarbij het apparaat een netwerk aansluiting heeft, en er in de reacties soms wordt gevraagd of dit apparaat 'vaag' netwerk verkeer genereerd heb ik besloten een kleine handleiding te maken voor Wireshark.

Download Wireshark hier:
https://www.wireshark.org/download.html

Download WinPCAP hier als wireshark daarom vraagt:
https://www.winpcap.org/install/default.htm

Als je Wireshark hebt geinstalleerd of de zip file hebt uitgepakt en Whireshark hebt opgestart moet je een adapter kiezen die wireshark gaat monitoren:
  • Als je het netwerk verkeer van je eigen PC wilt bekijken kies je de juiste adapter, let wel op als je PC 2 adapters heeft, b.v. een bekabeld en een WIFI adapter, dan kan je het best er 1 even uitschakelen en de andere kiezen.
  • Als je een ander apparaat wilt monitoren moet je PC/laptop tussen dat apparaat en internet zitten, hiervoor heeft je PC/laptop 2 netwerk adapters nodig in bridge modus, en ze moeten gelijktijdig kunnen werken.
Om de 2 adapters in brigde mode te zetten moet je ze gelijktijdig selecteren en rechter-muis klikken en in het contect menu bridge modus kiezen. Er komt nu een adapter bij!
http://www.thewindowsclub...-a-network-bridge-windows

Heb je een laptop, dan heb je meestal al 2 netwerk adapters, maar deze werken meestal niet gelijktijdig.
Er zijn zat USB -> netwerk adapters te koop, dit is de simpelste oplossing.
Let wel op dat je misschien een CROSS-kabel nodig hebt, soms zijn netwerk adapters auto switching, en dan volstaat een gewone kabel!

Als je een WIFI apparaat (telefoon b.v.) wilt monitoren, zal je je WIFI access punt moeten monitoren of je WIFI adapter moet ook een access punt kunnen maken. Indien je je WIFI access wilt monitoren zal je je PC/laptop dus tussen je WIFI access en internet moeten zetten, en het liefst met alleen het apparaat dat je wilt onderzoeken geconnect.
https://wiki.wireshark.org/CaptureSetup/Ethernet

Bovenstaande stelt niet veel voor als je dit een keer hebt gedaan, alleen de eerste keer is dit lastig.
Je hoeft Windows niet te rebooten om adapers in bridge mode te zetten en als dit weer verwijderd.

Als je nu aan het monitoren bent kan je vrij simpel kijken welke unieke IP adressen Wireshark vind:
Statistics -> endpoints en kies IPv4 of IPv6
https://ask.wireshark.org...st-of-source-ip-addresses
Bij statistics staan nog meer leuke opties.

Wireshark kan de ipadressen ook voor je opzoeken, maar achteraf is handiger volgens internet.
Hier kan je bulk ip adressen opzoeken:
https://www.infobyip.com/ipbulklookup.php

De capture file kan je opslaan en later bewerkingen op uitvoeren, zoals filteren op soort pakketten of IP adressen.

Vanaf nu iedereen zijn leuke (Chineese) gadgets voorzien van Wireshark info. En het liefst ook na een firmware update en na een paar weken gebruik.

Edit: auto sensing naar auto switching gewijzigd n.a.v. reactie van MrBreaker.

Volgende: Dataverbruik verminderen van je smartphone 07-'15 Dataverbruik verminderen van je smartphone

Reacties


Door Tweakers user Blommie01, zondag 14 mei 2017 08:30

Behoorlijk omslachtige manier om Wireshark te gebruiken. Met name het stuk met de twee netwerk adapters en een kruiskabel kan veel simpeler dan het aanschaffen van een USB adapter.

De meest simpele manier is om het verkeer van de apparaten die je wilt monitoren gewoon via je laptop te laten verlopen. Dan hoef je ook niet met kabels en dubbele netwerkkaarten aan de slag.

[Reactie gewijzigd op zondag 14 mei 2017 08:37]


Door Tweakers user TenTimes, zondag 14 mei 2017 08:40

Ik meen me te herinneren dat je met een airPCAP dongle ook WiFi verkeer zou kunnen monitoren zonder dat je als tuasenpunt moet fungeren.
Het is lang geleden dat ik die dongle heb gebruikt (voor wifi coverage onderzoek) dus ik zou hier fout mee kunnen zitten.

Door Tweakers user MrBreaker, zondag 14 mei 2017 09:40

Let wel op dat je misschien een CROSS-kabel nodig hebt, soms zijn netwerk adapters auto sensing, en dan volstaat een gewone kabel!
"Auto sensing" heb je voor de snelheid van de verbinding. "Auto switching" zorgt ervoor dat je zowel een "cross" en een normale "patch" kabel kunt gebruiken om te verbinden met een netwerk.

Bij voorkeur gebruik je een "managed switch" waarop je de "data" van een poort dupliceert.

[Reactie gewijzigd op zondag 14 mei 2017 09:47]


Door Tweakers user Blommie01, zondag 14 mei 2017 09:42

TenTimes schreef op zondag 14 mei 2017 @ 08:40:
Ik meen me te herinneren dat je met een airPCAP dongle ook WiFi verkeer zou kunnen monitoren zonder dat je als tuasenpunt moet fungeren.
Het is lang geleden dat ik die dongle heb gebruikt (voor wifi coverage onderzoek) dus ik zou hier fout mee kunnen zitten.
WiFi verkeer komt ergens je netwerk in en daar kun je het onderscheppen en naar je pc omleiden.

Door Tweakers user peterrus_, maandag 15 mei 2017 16:07

MrBreaker schreef op zondag 14 mei 2017 @ 09:40:
[...]

"Auto sensing" heb je voor de snelheid van de verbinding. "Auto switching" zorgt ervoor dat je zowel een "cross" en een normale "patch" kabel kunt gebruiken om te verbinden met een netwerk.

Bij voorkeur gebruik je een "managed switch" waarop je de "data" van een poort dupliceert.
Waarvoor deze een goede kandidaat is (V1 niet, maar V2 en hoger wel, let hier even op als je hem koopt):

pricewatch: TP-Link TL-SG105E-Gigabit Easy Smart Switch met 5 aansluitingen

De feature heet 'port mirroring'

[Reactie gewijzigd op maandag 15 mei 2017 16:07]


Door Tweakers user Dreeke fixed, dinsdag 16 mei 2017 20:13

Blommie01 schreef op zondag 14 mei 2017 @ 08:30:
Behoorlijk omslachtige manier om Wireshark te gebruiken. Met name het stuk met de twee netwerk adapters en een kruiskabel kan veel simpeler dan het aanschaffen van een USB adapter.

De meest simpele manier is om het verkeer van de apparaten die je wilt monitoren gewoon via je laptop te laten verlopen. Dan hoef je ook niet met kabels en dubbele netwerkkaarten aan de slag.
En hoe ga je dat verkeer dan via je laptop laten lopen van een extern apparaat?
2 bekabelde netwerk aansluitingen is het goedkoopst en makkelijkst te realiseren.
peterrus_ schreef op maandag 15 mei 2017 @ 16:07:
[...]


Waarvoor deze een goede kandidaat is (V1 niet, maar V2 en hoger wel, let hier even op als je hem koopt):

pricewatch: TP-Link TL-SG105E-Gigabit Easy Smart Switch met 5 aansluitingen

De feature heet 'port mirroring'
Goede optie, maak eens een blog hoe dit te gebruiken. Voor de meeste zijn 2 bekabelde netwerk aansluitingen toch het makkelijkst in gebruik (denk ik).

Door Tweakers user Blommie01, woensdag 17 mei 2017 19:10

[quote]Dreeke fixed schreef op dinsdag 16 mei 2017 @ 20:13:
[...]


En hoe ga je dat verkeer dan via je laptop laten lopen van een extern apparaat?
2 bekabelde netwerk aansluitingen is het goedkoopst en makkelijkst te realiseren.


[...]


Wel eens van arp gehoord ?

[Reactie gewijzigd op woensdag 17 mei 2017 19:12]


Door Tweakers user Dreeke fixed, woensdag 17 mei 2017 20:15

Blommie01 schreef op woensdag 17 mei 2017 @ 19:10:
[quote]Dreeke fixed schreef op dinsdag 16 mei 2017 @ 20:13:
[...]


En hoe ga je dat verkeer dan via je laptop laten lopen van een extern apparaat?
2 bekabelde netwerk aansluitingen is het goedkoopst en makkelijkst te realiseren.


[...]


Wel eens van arp gehoord ?
Nee, maar wel een interessante optie :)
Heb een tutorial gevonden voor linux:
https://www.irongeek.com/...ity/AQuickIntrotoSniffers
Voor thuis is dit een interessante optie, voor een productie omgeving zou ik deze niet aanraden.

Door Tweakers user Blommie01, woensdag 17 mei 2017 21:51

Dreeke fixed schreef op woensdag 17 mei 2017 @ 20:15:
[...]

Nee, maar wel een interessante optie :)
Heb een tutorial gevonden voor linux:
https://www.irongeek.com/...ity/AQuickIntrotoSniffers
Voor thuis is dit een interessante optie, voor een productie omgeving zou ik deze niet aanraden.
Is juist heel handig in een productieomgeving. Je kunt met Linux heel makkelijk verkeer weer doorsturen dat je ontvangt. Zo kun je tussen twee of meerdere apparaten gaan zitten.

Ik gebruik het veel om met Wireshark verkeer dat bijvoorbeeld een VLAN in en uit gaat te analyseren.

Het is ook erg makkelijk voor servers aangezien je daar geen grafische omgeving in hebt en ik Wireshark via cli niet altijd handig vind.

[Reactie gewijzigd op woensdag 17 mei 2017 22:06]


Door Tweakers user Dreeke fixed, donderdag 18 mei 2017 21:43

Blommie01 schreef op woensdag 17 mei 2017 @ 21:51:
[...]


Is juist heel handig in een productieomgeving. Je kunt met Linux heel makkelijk verkeer weer doorsturen dat je ontvangt. Zo kun je tussen twee of meerdere apparaten gaan zitten.

Ik gebruik het veel om met Wireshark verkeer dat bijvoorbeeld een VLAN in en uit gaat te analyseren.

Het is ook erg makkelijk voor servers aangezien je daar geen grafische omgeving in hebt en ik Wireshark via cli niet altijd handig vind.
Helder, zal er eens naar kijken.

Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier ťťn aanmaken.