Wireshark: Grundlagen der Paketanalyse

Wireshark Grundlagen

Wenn ping, traceroute und nslookup nicht reichen, kommt das schärfste Werkzeug im Werkzeugkasten: Wireshark. Damit siehst du jedes einzelne Paket, das über deine Netzwerkkarte geht – mit allen Headern, allen Flags, allem Inhalt. Wo andere Tools eine Zusammenfassung liefern, zeigt Wireshark die Realität in voller Auflösung.

Die Analogie: ping ist ein Stethoskop – „lebt der Patient?". traceroute ist ein Röntgenbild – „wie ist die grobe Struktur?". Wireshark ist die Mikrochirurgie – jeder Nerv, jede Blutbahn, sichtbar. Damit kannst du Probleme finden, die mit keinem anderen Tool zu sehen sind: TLS-Fehler beim Handshake, Retransmissions, Out-of-Order-Pakete, fehlerhafte HTTP-Header. Eine zweite Analogie: Mit ping fragst du „bist du da?", mit Wireshark hörst du das ganze Gespräch mit.

Hinweis zur Legalität: Wireshark mitschneiden darfst du nur Verkehr, der dir gehört oder für den du eine Erlaubnis hast. Fremde Daten mitlesen – z. B. in öffentlichen WLANs – kann strafbar sein (§ 202b StGB, „Abfangen von Daten"). Im Unternehmen: vorher mit dem Datenschutzbeauftragten klären.

1) Die drei Bereiche der Wireshark-Oberfläche

Wireshark zeigt jedes Paket in drei zusammenhängenden Bereichen. Wer das System versteht, navigiert in Sekunden durch tausende Pakete. Klick eine Zeile in der Paketliste, um die Details zu sehen:

Drei-Pane-Ansicht – das Herzstück von Wireshark

Filter: tcp.port == 443 or dns

① Paketliste – jedes Paket eine Zeile

10.00010.0.0.51.1.1.1DNSQuery A google.de

20.0151.1.1.110.0.0.5DNSResponse A 142.250.74.195

30.01610.0.0.5142.250.74.195TCP51244→443 [SYN] Seq=0

40.040142.250.74.19510.0.0.5TCP443→51244 [SYN, ACK]

50.04010.0.0.5142.250.74.195TCP51244→443 [ACK]

60.04110.0.0.5142.250.74.195TLSClient Hello

② Paket-Details – Header schichtweise aufgeklappt

Wähle ein Paket oben aus.

③ Roh-Bytes – Hex + ASCII

0000 00 50 56 8f 12 34 00 0c 29 ae bc de 08 00 45 00  .PV..4..)....E.
0010 00 3c 1c 46 40 00 40 06 b1 e6 0a 00 00 05 8e fa  .<.F@.@.........
0020 4a c3 c8 2c 01 bb 50 70 ae 1f 00 00 00 00 a0 02  J..,..Pp........

Pane 1 zeigt die zeitliche Reihenfolge der Pakete – darin erkennt man Muster wie Handshakes, Retransmissions oder Fehler. Pane 2 zerlegt das ausgewählte Paket entlang der OSI-Schichten: Ethernet → IP → TCP → Anwendung. Pane 3 ist für Bit-genaue Analyse – im Alltag selten gebraucht.

2) Capture-Filter vs. Display-Filter

Eine der häufigsten Verwechslungen bei Wireshark: Es gibt zwei verschiedene Filter-Systeme. Capture-Filter (BPF-Syntax, beim Start) entscheiden, was überhaupt aufgenommen wird – einmal verworfene Pakete sind weg. Display-Filter (Wireshark-Syntax, im Hauptfenster) entscheiden, was angezeigt wird – alles ist noch da, nur ausgeblendet. Im Alltag arbeitet man fast immer mit Display-Filtern: zuerst alles aufnehmen, dann gezielt filtern.

Wichtige Display-Filter – klick zum Übernehmen

Nach Protokoll

tcp# nur TCP

dns# nur DNS

http# nur HTTP (Klartext)

icmp# Ping & Co.

arp# ARP-Anfragen/Antworten

Nach IP / Port

ip.addr == 10.0.0.5# beide Richtungen

ip.src == 10.0.0.5# nur als Quelle

tcp.port == 443# Port 443 (HTTPS)

tcp.dstport == 22# nur SSH-Ziel

Fehlersuche

tcp.analysis.retransmission

tcp.analysis.duplicate_ack

tcp.flags.reset == 1# RST-Pakete

expert.severity == error

Kombinationen

tcp and ip.addr == 10.0.0.5

http.request.method == "POST"

dns.flags.response == 0# nur DNS-Queries

not arp and not icmp# Rauschen weg

Capture-Filter (BPF) sieht anders aus: tcp port 443 (ohne Doppelpunkt-Eq), host 10.0.0.5, not broadcast. Diese Syntax wird auch von tcpdump verwendet – beide Tools nutzen denselben BPF-Kernel-Filter.

3) Der TCP-Handshake in Wireshark

Die Königsdisziplin der Wireshark-Analyse beginnt beim TCP-Handshake. Jede TCP-Verbindung – HTTP, SSH, FTP, SMB, alles – startet mit dem klassischen Drei-Wege-Handshake: SYN, SYN+ACK, ACK. Wenn dieser Handshake nicht klappt, sieht man in Wireshark genau, wo es hakt: Kommt der SYN nicht zurück? Antwortet die Gegenseite mit RST („Port zu")? Animier den Handshake:

TCP-Drei-Wege-Handshake

Client
10.0.0.5:51244

SYN, Seq=0

SYN+ACK, Seq=0 Ack=1

ACK, Seq=1 Ack=1

→ Daten (HTTP/TLS)

Server
142.x.x.x:443

Drücke „Nächster Schritt".

Was du in Wireshark beim Handshake-Problem siehst: Nur SYN, kein SYN+ACK = Port am Server zu oder Firewall droppt. SYN gefolgt von RST = Port erreichbar, aber Dienst lehnt ab. SYN, kein SYN+ACK, dann mehrere Retransmissions = klassisches Timeout, Standard-Fall bei dropped Packets.

4) Typische Analyse-Aufgaben

Welche Fragen lassen sich mit Wireshark gut beantworten? Eine kleine Auswahl aus der Praxis, die jeder FISI im Werkzeugkasten haben sollte:

Frage	Filter / Vorgehen
„Funktioniert TLS-Handshake?"	Filter `tls.handshake`, „Client Hello" und „Server Hello" sichtbar? Wenn ja: Welche Version/Cipher? Wenn Alert: Code im Detail-Pane.
„Antwortet der DNS-Server?"	Filter `dns`, sind sowohl Query (Response=0) als auch Response (=1) zu sehen? Wenn nur Queries: DNS-Server tot.
„Wer sendet Broadcasts in mein Netz?"	Filter `eth.dst == ff:ff:ff:ff:ff:ff`, Source-MAC zeigt den Übeltäter.
„Gibt es Duplex-Mismatch?"	Filter `tcp.analysis.retransmission` – viele Retransmits ohne Lastsituation = Hardware/Layer-2-Problem.
„Welche Daten gehen unverschlüsselt raus?"	Filter `http or ftp or telnet` – jeder Treffer ist ein Vertraulichkeits-Verstoß.

5) Praxis-Tipps

Drei Dinge, die einem das Leben mit Wireshark spürbar leichter machen:

Statistik > Conversations: Listet alle „Gespräche" zusammen mit Anzahl Pakete und Bytes. Schneller Überblick, wer am meisten redet.
Follow TCP Stream (Rechtsklick auf TCP-Paket): Setzt alle Pakete einer Verbindung zu lesbarem Klartext zusammen – ideal bei HTTP, SMTP, Telnet.
tshark: Wireshark auf der Kommandozeile. Hilfreich auf Servern ohne GUI oder in Skripten: tshark -i eth0 -f "tcp port 443" -w capture.pcap

Zusammenfassung

Wireshark ist das Schweizer Taschenmesser für Paketanalyse: drei Bereiche (Paketliste, Details, Roh-Bytes), zwei Filter-Systeme (Capture-Filter beim Start, Display-Filter danach). Wichtige Display-Filter: tcp.port == 443, dns, http, tcp.analysis.retransmission. Klassische Fehlersuche: TCP-Handshake prüfen (SYN/SYN+ACK/ACK vorhanden?), DNS-Antworten checken, TLS-Handshake auf Alerts. Mit „Follow TCP Stream" werden Verbindungen lesbar zusammengesetzt. Rechtlich: nie fremden Verkehr ohne Erlaubnis mitschneiden.