Wireshark Protokollanalyse

Die aus dem Ethereal-Projekt hervorgegangene Analysesoftware Wireshark ist ein mächtiges Werkzeug für Netzwerk- und Systemadministratoren. Die Schulung Wireshark Protokollanalyse bildet eine solide Basis mit einer systematischen Einführung in die grundlegenden Funktionen und die Bedienung von Wireshark sowie Methoden und Techniken zu Monitoring, Analyse und Fehlersuche von Netzwerken auf Paketebene und die Abgrenzung von Netzwerk- und Applikationsproblemen. Darauf aufbauend erlernen die Teilnehmer im Kurs Wireshark Protokollanalyse die Analyse und Fehlersuche typischer Netzwerktechnologien wie Switched Ethernet und TCP/IP mit dem Wireshark im Detail. Besonders das Transportprotokoll TCP wird dabei genau unter die Lupe genommen.

Die Schulung Wireshark Protokollanalyse hat einen hohen Praxisanteil und versetzt die Teilnehmer in die Lage, selbstständig komplexe Analysen mit dem Wireshark durchzuführen. Nach der Schulung kennst du:

• Arbeitsweise des Wireshark Analyzer

• Live Capture und Live Capture Einstellungen

• Anzeigeoptionen und Auswertungsmöglichkeiten

• Display-Filter und Capture Filter

• Erweiterte Funktionen: Voreinstellungen, Benutzerprofile und Namensauflösung

• Methoden und Techniken der Paketanalyse

• Wireshark Statistiken und Baselining

• Fehlersuche: Eingrenzung von Netzwerk- und Anwendungsproblemen

• Analyse von Switched Ethernet: Duplex und Speed, Spanning Tree und VLAN-Analyse

• TCP/IP-Analyse der Netzwerkschicht für IPv4 und IPv6

• TCP/IP-Analyse der Transportschicht

Einführung in die Analyse mit Wireshark

• Was ist Wireshark?

• Was sieht Wireshark?

• Wireshark Architektur

• Installation und Betrieb des Npcap-Treibers

• Installation und Betrieb des USBPcap Treibers

• Messen in Ethernet Netzwerken

• Ethernet-Daten auswerten

• Messen in Wireless LAN Netzwerken

• Capture ohne Monitor Mode

• Capture in Monitor Mode – Linux

• Erste Schritte mit Wireshark

• Mitschnittoptionen – Capture Options

• Display Filter während der Aufzeichnung

• Speichern einer Aufzeichnung

• Einstellung der Sprache

Mit Wireshark arbeiten

• Navigation und Anzeigeoptionen

• Einstellungen – Preferences

• Ändern der Ansicht – Layout

• Einstellen von Schriftart und Farben

• Anpassen der Spalten – Columns

• Zeitoptionen

• Speichern der Einstellungen

• Gehe zu Paket – Goto Packet

• Paket finden – Find Packet

• Voreinstellungen und Profile

• Benutzerprofile – Configuration Profiles

• Anzeigefilter – Display Filter

• Eingabe und Syntax

• Das Filterergebnis

• Grundlegende Anzeigefilter

• Weitergehende Anzeigefilter

• Speichern von Anzeigefiltern

• Kontext-Filter – Als Filter anwenden

• Kontext-Filter – Verbindungsfilter

• Filter aus Statistiken – Endpunkte

• Filter aus Statistiken – Verbindungen

• Follow TCP Stream

• Anzeigefilter – Tipps aus der Praxis

• Mitschnittoptionen und Mitschnittfilter

• Voreinstellungen für den Mitschnitt

• Optionen der Aufzeichnung – Eingabe

• Optionen der Aufzeichnung – Ausgabe

• Optionen der Aufzeichnung – Optionen

• Mittschnittfilter – Capture Filter

• Aufzeichnen von Dateisätzen – File Sets

• Mehrere Interfaces

• Ein- und Ausgabe

Erweiterte Funktionen des Wireshark Analyzers

• Namensauflösung – Name Resolution

• Namensauflösung – Physikalische Adressen

• Namensauflösung – Transportadressen

• Namensauflösung – Netzwerkadressen

• Auflösung von Geodaten

• Was ist Protocol Reassembly?

• Packet Reassembly am Beispiel von TCP

• Packet Reassembly im Detail

• Farben im Decode

• Einfärbungsregeln – Coloring Rules

• Verbindung einfärben – Colorize Conversation

• Mit Filter einfärben – Colorize with Filter

• Kommentare für Mitschnitt und Pakete

• Kommandozeile – Command Line Tools

• Command Line – capinfos

• Command Line – tshark

• Command Line – mergecap

• Command Line – editcap

Wireshark Statistiken

• Statistiken – Eigenschaften

• Protokollhierarchie

• Statistiken – Endpunkte

• Statistiken – Verbindungen

• Statistiken – Paketlängen

• Statistiken – IO-Graph

• Grenzen der Wireshark-Statistiken

Performanceanalyse und Fehlersuche

• Paketanalyse erklärt

• Netzwerkdokumentation

• Baselining

• Fehler systematisch eingrenzen

• Troubleshooting-Methoden

• Bottom Up – Fehlersuche mit dem OSI-Modell

• Das Gegenteil beweisen

• Messen im Switched Ethernet

• Messpunkte wählen

• Port Monitoring – SPAN

• Test Access Point – TAP

• Wireshark auf dem Endgerät

• Mini-Hub

• Doppelte Pakete

• Ethernet Duplex und Speed

• Duplex Mismatch

• Auto-Negotiation-Verfahren

• Analyse von Virtuellen LANs

• Performance von Anwendung und Netzwerk

• Round Trip Time – Initial RTT

• Round Trip Time – während einer Verbindung

• Service Response Time – SRT

• Durchsatz und Overhead

• Auswerten von Laufzeitproblemen

• Hohe Round-Trip-Zeiten

• Hohe Service-Response-Zeiten

• Netzwerkprobleme und Anwendungsprobleme

• Applikationstypen und Performancefaktoren

• Durchsatzorientierte Anwendungen

• Transaktionsorientierte Anwendungen

• Echtzeitanwendungen – Voice und Streaming

TCP/IP-Analyse der Transportschicht

• Transport über UDP und TCP

• Adressierung einer Applikation

• UDP – Einfach und ungesichert

• TCP – Verbindungsorientiert und gesichert

• TCP-Funktionen in Wireshark

• TCP-Verbindungsaufbau

• Sequenzierung von Daten

• Verbindungsabbau

• TCP-Reset

• Sequenzierung in Wireshark

• TCP-Window und Performance

• Sliding Window Mechanismus

• Window Size im Wireshark

• Window Mechanismus und Performance

• TCP Window Scaling Option

• Bytes in flight und Window Size

• Paketverluste, Retransmissions und Timing

• Wiederholung bei Paketverlust

• Retransmissions in Wireshark

• Selective Acknowledgements (SACK)

• Eingrenzen von Retransmissions

• Retransmission – Timing

• TCP-Probleme mit Wireshark auswerten

• RTT und RTO in Wireshark

• Experteninformationen für TCP

• Weitere TCP-Funktionen

• Delayed Acknowledgements

• TCP-Push

• Tipps zur Fehlersuche

TCP/IP-Analyse der Netzwerkschicht

• Das Internet Protokoll im Überblick

• Das Netzwerkprotokoll und seine Adressierung

• Adressierung und ARP

• Doppelte IP-Adressen

• Dynamic Host Configuration Protocol

• DHCP Standardfunktionen: DORA

• Weitere DHCP-Funktionen

• DHCP-Relay

• DHCP-Statistiken

• MTU, PMTU, Fragmentierung

• MTU

• IP-Fragmentierung

• PMTU und PMTU-Discovery

• Anpassung der MSS

• Internet Control Message Protocol

• ICMP Echo und ICMP Echo Reply

• ICMP – Destination Unreachable

• ICMP Time Exceeded

• Analyse von DNS

• Funktionsweise und Abfragen

• DNS in Wireshark

• Wichtige DNS-Typen

• DNS Fehler im Wireshark

• DNS-Antwortzeiten in Wireshark

• Typische DNS Probleme und Hintergründe

Lab-Übungen

Ende der Wireshark Protokollanalyse Schulung

Die Wireshark Schulung Wireshark Protokollanalyse eignet sich für Netzwerker, die lernen möchten, mit Hilfe des Wireshark komplexe Analysen und Fehlersuche von Netzwerk und Anwendungen durchzuführen.

Die Teilnehmer solltest für deinen Besuch der Schulung Wireshark Protokollanalyse sattelfest im Ethernet- und TCP/IP-Umfeld sein. Der vorherige Besuch eines der beiden Kurse TCP/IP oder Ethernet, Routing & Switching ist sehr zu empfehlen.