Analyse eines Pcap Files

Enormer Zeitgewinn durch das Vorfiltern eines Pcap Files für die weitere Paketanalyse mit Wireshark

Wireshark ist ein sehr hilfreiches und in seiner Art konkurrenzloses Programm, wenn es um die detaillierte Paketanalyse geht. Das Problem dabei: Teilweise ist Wireshark sehr unübersichtlich und langsam.

In diesem Use Case erfahren Sie, wie Sie ein bereits aufgezeichnetes Pcap File mit dem Allegro Network Multimeter analysieren und die gewünschten Daten vorfiltern können. Dadurch wird die weitere Bearbeitung mit Hilfe von Wireshark nicht nur schneller, sondern auch übersichtlicher.

Beispiel hierfür: Ein Kollege hat oft Probleme mit seinem Rechner. Er kann dem Administrator allerdings keine genauen Hinweise geben, bei welchen Anwendungen oder zu welchen Zeitpunkten diese auftreten. Um die Ursache zu erkennen wird direkt am PC ein Pcap aufgezeichnet, mittels tcpdump oder Wireshark. Schnell wächst dieses Pcap File auf viele Gigabyte an.

Große Pcap Files werden zum Problem

Das Finden des Fehlers ist über Wireshark sehr langwierig. Denn sobald das Pcap File eine gewisse Größe übersteigt, benötigt Wireshark für den Analyseprozess der Pakete relativ viel Zeit. Eine Beispiel-Datei mit drei Millionen Paketen liest Wireshark in 30 Sekunden ein. Bei einer etwas größeren Datei mit vier Millionen gespeicherten Paketen dauert der Einlesevorgang bereits über elf Minuten. Ähnlich hohe Einlesezeiten sind bei Wireshark auch bei der Nutzung von Filtern zu erwarten.

Aus diesem Grund sollte zur genaueren Wireshark-Analyse nur ein Teil des gesamten Verkehrs – genau der Verkehr, in dem Sie das Problem identifiziert haben – bereitgestellt werden.

Dieser Isolation des gewünschten Datenverkehrs bzw. die fehlerhaften Verkehrsströme erfolgt durch die im Allegro Network Multimeter integrierten Analysemodule. Die Datei wird über ein USB-Stick hier zur nachträglichen Pcap-Analyse auf das Allegro Network Multimeter geladen Daraufhin erscheint das Pcap File in der Storage-Übersicht. Mit Klick auf den "Analyze PCAP"-Knopf startet die Analyse (vgl. Screenshot).

Nach weniger als einer Minute sind die auf dem USB-Stick abgelegten vier Millionen Pakete analysiert. Anschließend können alle Module des Multimeters genutzt werden, um genau den Verkehr zu suchen, der von Interesse ist.

Anschließend können Sie den separierten Verkehr durch einen Klick auf den "Capture PCAP"-Knopf als Pcap File speichern (vgl. Screenshot) und im Anschluss die Analyse des Traces in Wireshark starten, bzw. je nach Ausführung Ihres Allegro Network Multimeter, im integrierten Webshark starten.

Sie sehen, mit Hilfe des Allegro Network Multimeters ist die Analyse von Pcap Files sehr schnell und einfach und Sie müssen nicht auf die Vorteile von Wireshark verzichten. Das Vorfiltern des Verkehrs hat den großen Vorteil, danach mit Wireshark oder Webshark wesentlich schneller zum gewünschten Ergebnis zu gelangen.