Wireshark gebruiken (Windows)

Door Dreeke fixed op zaterdag 13 mei 2017 20:21 - Reacties (10)
Categorie: -, Views: 3.415

Aangezien er vaak product reviews worden gedaan waarbij het apparaat een netwerk aansluiting heeft, en er in de reacties soms wordt gevraagd of dit apparaat 'vaag' netwerk verkeer genereerd heb ik besloten een kleine handleiding te maken voor Wireshark.

Download Wireshark hier:
https://www.wireshark.org/download.html

Download WinPCAP hier als wireshark daarom vraagt:
https://www.winpcap.org/install/default.htm

Als je Wireshark hebt geinstalleerd of de zip file hebt uitgepakt en Whireshark hebt opgestart moet je een adapter kiezen die wireshark gaat monitoren:
  • Als je het netwerk verkeer van je eigen PC wilt bekijken kies je de juiste adapter, let wel op als je PC 2 adapters heeft, b.v. een bekabeld en een WIFI adapter, dan kan je het best er 1 even uitschakelen en de andere kiezen.
  • Als je een ander apparaat wilt monitoren moet je PC/laptop tussen dat apparaat en internet zitten, hiervoor heeft je PC/laptop 2 netwerk adapters nodig in bridge modus, en ze moeten gelijktijdig kunnen werken.
Om de 2 adapters in brigde mode te zetten moet je ze gelijktijdig selecteren en rechter-muis klikken en in het contect menu bridge modus kiezen. Er komt nu een adapter bij!
http://www.thewindowsclub...-a-network-bridge-windows

Heb je een laptop, dan heb je meestal al 2 netwerk adapters, maar deze werken meestal niet gelijktijdig.
Er zijn zat USB -> netwerk adapters te koop, dit is de simpelste oplossing.
Let wel op dat je misschien een CROSS-kabel nodig hebt, soms zijn netwerk adapters auto switching, en dan volstaat een gewone kabel!

Als je een WIFI apparaat (telefoon b.v.) wilt monitoren, zal je je WIFI access punt moeten monitoren of je WIFI adapter moet ook een access punt kunnen maken. Indien je je WIFI access wilt monitoren zal je je PC/laptop dus tussen je WIFI access en internet moeten zetten, en het liefst met alleen het apparaat dat je wilt onderzoeken geconnect.
https://wiki.wireshark.org/CaptureSetup/Ethernet

Bovenstaande stelt niet veel voor als je dit een keer hebt gedaan, alleen de eerste keer is dit lastig.
Je hoeft Windows niet te rebooten om adapers in bridge mode te zetten en als dit weer verwijderd.

Als je nu aan het monitoren bent kan je vrij simpel kijken welke unieke IP adressen Wireshark vind:
Statistics -> endpoints en kies IPv4 of IPv6
https://ask.wireshark.org...st-of-source-ip-addresses
Bij statistics staan nog meer leuke opties.

Wireshark kan de ipadressen ook voor je opzoeken, maar achteraf is handiger volgens internet.
Hier kan je bulk ip adressen opzoeken:
https://www.infobyip.com/ipbulklookup.php

De capture file kan je opslaan en later bewerkingen op uitvoeren, zoals filteren op soort pakketten of IP adressen.

Vanaf nu iedereen zijn leuke (Chineese) gadgets voorzien van Wireshark info. En het liefst ook na een firmware update en na een paar weken gebruik.

Edit: auto sensing naar auto switching gewijzigd n.a.v. reactie van MrBreaker.