Zuletzt aktualisiert am 04.12.2025 7 Minuten Lesezeit

Wireshark

Wireshark ist ein kostenloser, quelloffener Netzwerkprotokoll-Analysator, der den Datenverkehr in Computernetzwerken in Echtzeit aufzeichnet und detailliert darstellt. Das Tool ermöglicht es dir, Datenpakete zu erfassen (Packet Capture), ihren Inhalt zu untersuchen und Netzwerkprobleme systematisch zu analysieren. In der IT-Branche hat sich Wireshark als De-facto-Standard für die Netzwerkanalyse etabliert und wird weltweit von Netzwerkadministratoren, Sicherheitsexperten und Entwicklern eingesetzt.

Als Fachinformatiker für Systemintegration wirst du Wireshark regelmäßig nutzen, um Netzwerkfehler zu diagnostizieren, Verbindungsprobleme zu beheben und Sicherheitsvorfälle zu untersuchen. Das Tool gibt dir die Möglichkeit, den tatsächlichen Datenverkehr auf Paketebene zu sehen - eine Fähigkeit, die bei der Fehlersuche in komplexen Netzwerkumgebungen unverzichtbar ist.

Geschichte und Entwicklung

Die Entwicklung von Wireshark begann 1998 unter dem Namen Ethereal. Der Entwickler Gerald Combs suchte nach einem Tool zur Netzwerkanalyse, das auf Linux und Solaris lief - die damaligen kommerziellen Lösungen kosteten rund 1.500 US-Dollar und unterstützten diese Plattformen nicht. Combs entschied sich, selbst eine Lösung zu entwickeln und veröffentlichte Ethereal als Open-Source-Software.

Im Mai 2006 erfolgte die Umbenennung in Wireshark. Der Grund: Als Combs zu einem neuen Arbeitgeber (CACE Technologies) wechselte, konnte er den Markennamen "Ethereal" nicht mitnehmen, da dieser seinem früheren Arbeitgeber gehörte. Da Combs jedoch das Copyright am Quellcode besaß, konnte er das Projekt unter neuem Namen weiterführen. Seitdem wuchs das Projekt kontinuierlich weiter. 2010 übernahm Riverbed Technology die Sponsorenschaft, 2022 folgte Sysdig. Im Jahr 2023 wurde die Wireshark Foundation gegründet, um die langfristige Entwicklung und Governance des Projekts sicherzustellen.

Funktionsweise: Packet Sniffing und Protokollanalyse

Wireshark arbeitet mit dem Prinzip des Packet Sniffing (Paketerfassung). Dabei wird die Netzwerkkarte in den sogenannten Promiscuous Mode versetzt, sodass sie nicht nur an sie adressierte Pakete empfängt, sondern alle Pakete, die physisch an der Netzwerkschnittstelle ankommen. Auf diese Weise kannst du den gesamten Datenverkehr eines Netzwerksegments beobachten.

Für die Paketerfassung nutzt Wireshark unter Linux und macOS die Bibliothek libpcap, unter Windows die speziell angepasste Npcap-Bibliothek. Diese Bibliotheken stellen die Schnittstelle zum Betriebssystem her und ermöglichen den Zugriff auf den Netzwerkverkehr auf niedriger Ebene.

Protokoll-Dissektoren

Das Herzstück von Wireshark sind die Protokoll-Dissektoren. Diese spezialisierten Module analysieren die erfassten Pakete und zerlegen sie in ihre einzelnen Bestandteile. Wireshark unterstützt über 2.000 verschiedene Netzwerkprotokolle - von grundlegenden Protokollen wie Ethernet, IP und TCP bis hin zu anwendungsspezifischen Protokollen wie HTTP, DNS, SMB oder SSH.

Die Analyse erfolgt hierarchisch entlang des OSI-Modells: Zuerst wird die Ethernet-Schicht analysiert, dann die IP-Schicht, anschließend die Transportschicht (TCP/UDP) und schließlich die Anwendungsschicht. Jeder Dissektor extrahiert die relevanten Informationen aus seiner Protokollebene und gibt den Payload an den nächsten Dissektor weiter.

Wichtige Funktionen und Features

Display Filter

Display Filter sind das zentrale Werkzeug, um aus großen Mengen erfasster Pakete die relevanten herauszufiltern. Mit einer mächtigen Filtersprache kannst du präzise angeben, welche Pakete angezeigt werden sollen. Display Filter arbeiten auf bereits erfassten Daten und können jederzeit angepasst werden, ohne die Aufzeichnung neu zu starten.

Beispiele für Display Filter:

ip.addr == 192.168.1.100          # Alle Pakete von/zu dieser IP
tcp.port == 80                     # HTTP-Verkehr
http.request                       # Nur HTTP-Anfragen
dns.flags.response == 0            # Nur DNS-Queries
tcp.analysis.retransmission        # Wiederholte TCP-Pakete

Capture Filter

Capture Filter werden vor der Aufzeichnung definiert und bestimmen, welche Pakete überhaupt erfasst werden. Sie nutzen die BPF-Syntax (Berkeley Packet Filter) und sind besonders nützlich, wenn du den Festplattenspeicher schonen oder dich auf bestimmten Verkehr konzentrieren möchtest.

Beispiele für Capture Filter:

host 192.168.1.100                 # Nur Verkehr dieser IP erfassen
port 443                           # Nur HTTPS-Verkehr
not arp                            # Kein ARP-Verkehr
tcp portrange 1-1024               # Nur Well-Known Ports

Follow Stream

Die Funktion Follow TCP Stream (oder UDP/HTTP Stream) rekonstruiert die gesamte Kommunikation zwischen zwei Endpunkten. Anstatt einzelne Pakete zu betrachten, siehst du die zusammenhängende Konversation - etwa den vollständigen HTTP-Request inklusive Response oder den Inhalt einer Telnet-Sitzung. Diese Funktion ist besonders wertvoll bei der Fehleranalyse und bei Sicherheitsuntersuchungen.

Farbcodierung

Wireshark verwendet ein umfangreiches Farbschema, um verschiedene Pakettypen visuell zu unterscheiden. Standardmäßig werden beispielsweise TCP-Pakete in hellem Lila, UDP in hellblau, HTTP in grün und Fehler (wie TCP-Retransmissions) in schwarz auf rotem Hintergrund dargestellt. Diese visuelle Unterscheidung hilft dir, Anomalien schnell zu erkennen.

Anwendungsfälle

Netzwerk-Troubleshooting

Der häufigste Einsatzzweck von Wireshark ist die Fehlerdiagnose in Netzwerken. Wenn Anwendungen nicht wie erwartet funktionieren, liefert die Paketanalyse oft Antworten, die andere Diagnosetools nicht geben können. Du kannst beispielsweise prüfen, ob TCP-Verbindungen ordnungsgemäß aufgebaut werden (Three-Way-Handshake), ob Pakete verworfen werden oder ob ungewöhnliche Verzögerungen auftreten.

Typische Troubleshooting-Szenarien:

  • Verbindungsabbrüche analysieren (TCP Reset, Timeout)
  • Latenzprobleme identifizieren (hohe RTT-Werte)
  • Paketverluste erkennen (Retransmissions, Duplicate ACKs)
  • DHCP-Probleme diagnostizieren
  • DNS-Auflösung prüfen

Sicherheitsanalyse

Im Bereich der IT-Sicherheit ist Wireshark ein unverzichtbares Werkzeug. Sicherheitsanalysten nutzen es, um verdächtigen Netzwerkverkehr zu untersuchen, Malware-Kommunikation zu identifizieren und Angriffsversuche nachzuvollziehen. Dabei ist Wireshark kein Intrusion Detection System (IDS) - es alarmiert nicht automatisch bei Angriffen, sondern liefert die Rohdaten für die manuelle Analyse.

Sicherheitsrelevante Analysen:

  • Erkennung von Port-Scans
  • Analyse von Malware-Traffic (Command-and-Control-Kommunikation)
  • Aufdeckung von Man-in-the-Middle-Angriffen
  • Prüfung auf unverschlüsselte Datenübertragung
  • Forensische Untersuchung nach Sicherheitsvorfällen

Protokoll-Entwicklung und -Test

Entwickler nutzen Wireshark, um die korrekte Implementierung von Netzwerkprotokollen zu überprüfen. Wenn du selbst Netzwerkanwendungen entwickelst, kannst du mit Wireshark genau sehen, welche Daten deine Anwendung sendet und empfängt. Das ist besonders hilfreich beim Debugging von API-Kommunikation oder bei der Entwicklung von IoT-Geräten.

Technische Voraussetzungen

Wireshark ist für alle gängigen Betriebssysteme verfügbar: Windows, macOS, Linux und verschiedene Unix-Varianten. Die grafische Oberfläche basiert auf dem Qt-Framework, wodurch sie auf allen Plattformen einheitlich aussieht und funktioniert. Für Automatisierung und Scripting steht TShark als kommandozeilenbasierte Alternative zur Verfügung.

Systemanforderungen:

  • Netzwerkkarte mit Unterstützung für Promiscuous Mode
  • Administratorrechte für Live-Captures (root unter Linux, Administrator unter Windows)
  • Ausreichend Festplattenspeicher für Capture-Dateien
  • Unterstützte Dateiformate: pcap, pcapng (Standard), sowie Import von Sniffer, Network Monitor u.a.

Einschränkungen und Hinweise

Beim Einsatz von Wireshark gibt es einige wichtige Punkte zu beachten. In geswitchten Netzwerken sieht ein Host normalerweise nur seinen eigenen Verkehr sowie Broadcast- und Multicast-Pakete. Um den Verkehr zwischen anderen Geräten zu erfassen, benötigst du einen Mirror-Port (SPAN) am Switch oder einen Network Tap.

Auch der rechtliche Aspekt ist wichtig: Das Mitschneiden von Netzwerkverkehr ohne entsprechende Berechtigung ist in vielen Ländern strafbar. In Deutschland regelt das Telekommunikationsgesetz (TKG) und das Strafgesetzbuch (StGB, § 202b) das Abfangen von Daten. In Unternehmensumgebungen solltest du immer sicherstellen, dass du die erforderlichen Genehmigungen hast, bevor du Netzwerkverkehr aufzeichnest.

Verschlüsselter Verkehr (etwa TLS/HTTPS) kann von Wireshark zwar erfasst, aber nicht ohne Weiteres entschlüsselt werden. Für die Entschlüsselung benötigst du Zugang zu den Session-Keys, was in Testumgebungen über das Pre-Master-Secret-Log möglich ist.

Wireshark in der Praxis

Wireshark gehört zum Standardwerkzeug von Netzwerkadministratoren und wird in nahezu allen IT-Abteilungen eingesetzt. Für Fachinformatiker der Fachrichtung Systemintegration ist die Kenntnis von Wireshark besonders relevant, da Netzwerkanalyse und Troubleshooting zum täglichen Geschäft gehören. Auch in der Daten- und Prozessanalyse kann Wireshark nützlich sein, etwa bei der Analyse von Datenflüssen oder der Optimierung von Netzwerkprozessen.

Wireshark bietet auch ein offizielles Zertifizierungsprogramm (Wireshark Certified Network Analyst - WCNA), das fundierte Kenntnisse in der Netzwerkanalyse bescheinigt.

Quellen und weiterführende Links

Zurück zum Lexikon

Datenschutzhinweis

Keine Tracking-Cookies. Wir nutzen Fathom Analytics: cookieless, anonym und DSGVO-konform. YouTube-Videos werden über youtube-nocookie.com eingebunden.