Hoezeer de systeembeheerder ook zijn best doet, het is pas de netwerkkabel die de server echt een server maakt. Frustrerend? Hoeft niet. Met een goed snifferpakket kan de systeembeheerder net zo goed zien wat er op het netwerk gebeurt als de netwerkbeheerder.

Grote kracht

Hoewel het vaak een ‘sniffer’ wordt genoemd, past de naam ‘protocol analyzer’ beter bij een programma zoals Wireshark. Dat het programma alle netwerkpakketjes individueel kan vangen en lezen is namelijk niet de grootste kracht van het programma. Dat kan een commando als tcpdump ook. Veel belangrijker is de kennis van netwerkprotocollen die Wireshark meebrengt en die het gebruikt om de ruwe data die het van het netwerk gehaald heeft te vertalen naar begrijpelijke informatie over sessies.

Een belangrijk onderscheid binnen Wireshark is dat tussen de Capture Filters en de Screen Filters. Met de eerste kan al bij het vangen van de informatie gefilterd worden. Handig wanneer Wireshark bijvoorbeeld wordt ingezet bij het oplossen van een probleem tussen twee servers. Er kan dan al op IP-adres gefilterd worden. Een Screen Filter is een filter dat pas later op een hoeveelheid gevangen netwerkgegevens wordt toegepast, bijvoorbeeld om binnen de capture stap voor stap niet relevante informatie weg te filteren.

Drie delen

Zodra er live wordt gecaptured, of als er een eerder gemaakte capture is ingeladen om te analyseren, bestaat het scherm van Wireshark uit drie delen. Van bovenaf zijn dat de Packet List, de Packet Details en de Packet Bytes. De bovenste laat de sessies zien. In de Packet Details staan de informatie van de netwerkpakketjes binnen een sessie terwijl in het onderste schermdeel echt de bits staan uitgetekend. De drie delen van het scherm zijn interactief. Klik in het bovenste scherm op een packet en in de andere delen worden de overeenkomstige delen getoond, en omgekeerd. Open in het middelste scherm een header en in het onderste venster wordt direct weer de bijbehorende informatie geselecteerd.

Om de informatie in de Packet List begrijpelijk te maken, gebruikt Wireshark kleurcodering. Packets die hetzelfde protocol gebruiken krijgen dezelfde kleur. Zo zijn bijvoorbeeld DNS-packets blauw en HTTP-packets groen. Een erg leuke optie is Follow Stream waarmee bijvoorbeeld een TCP, UDP of SSL conversatie in een apart scherm wordt geplakt en daar nog gemakkelijker stap voor stap kan worden gevolgd.

Levendige gemeenschap

Wireshark is een briljant programma en bovendien open source en dus gratis te gebruiken. Er is een levendige community rond het programma die via de Wireshark-website niet alleen nieuwe versies van het product lanceert maar ook erg veel evangelisatie verricht met goede documentatie in zowel print als video.

De installatie van Wireshark is erg straight forward. Installatie van de capture-drive WinPcap is een noodzakelijk onderdeel. Wireshark is beschikbaar voor Windows, 32 en 64-bit, als portable app (32-bit) om direct vanaf usb-geheugenstick gebruikt te kunnen worden, en voor Intel en PowerPC-versies van Mac OSX.

Bron: Techworld