Robert Kneschke - stock.adobe.co

Wireshark: Mit Farbregeln wichtige Datenpakete hervorheben

Der Netzwerk-Sniffer Wireshark bietet die Möglichkeit, wichtige Datenpakete zur besseren Übersicht farblich zu markieren.

Bereits in der Standardeinstellung färbt Wireshark die Datenpakete anhand von vorgegeben Regeln ein. In unserem Fall wird ein Mitschnitt über ein paar Sekunden bereits ein recht buntes Werk: Hellblaue Farbe für DNS-Anfragen, leichtes Grün für Standard-TCP-Transfer oder hellgelb für Broadcast. Schon nach kurzer Zeit, wenn man Wireshark öfters benutzt, geht das Farbschema in Fleisch und Blut über und der Administrator erkennt schon anhand der Farbe, um was für einen Pakettypen es sich handelt.

Wo werden die Farben definiert?

Wenn es den Administrator genauer interessiert, warum ein Paket von Wireshark welche Farbe erhalten hat, so gilt es die Farbregelzuweisung anzuschauen. Hierzu geht der Benutzer wie folgt vor:

  1. Mitschreiben eines Datenstroms
  2. das gewünschte Datenpaket selektieren
  3. im Detailbereich das Plussymbol bei Frame öffnen
  4. die Ausgabe ganz nach unten scrollen und nach „Coloring Rule“ suchen

Mit dem Befehl „Colorize with Filter“ hat der Administrator die Möglichkeit, für ihn besondere Datenpakete farblich hervorzuheben. Soll diese Änderung dauerhaft sein, so muss unter „New Coloring Rule…“ eine neue Regel erstellt werden.

Die kompletten Farbregeln speichert Wireshark in einer Datei mit dem Namen colorfilters im Programmverzeichnis ab. Wenn Sie diese Datei manuell bearbeiten oder über das Internet eine Farbdefinitionsdatei von anderen Experten einlesen wollen, so ist das Programm anschließend neu zu starten. 

Die Datei wird nur beim Neuaufruf eingelesen und erst dann ist Änderung zu sehen. Eine besonders detaillierte Datei für WLAN-Pakete erstellte Hideyuki Osaki als wireshark_coloring_rule_for_wireless_2015.zip im März 2015.

Alle Farbregeln speichert Wireshark in der Datei „colorfilters“ im Programmordner. Im Internet finden Sie verschiedene, bereits vorgefertigte Farbfilterdateien.

Möchten Sie eine Farbregel anpassen, oder eine komplett neue Farbregel erstellen, so gehen Sie wie folgt vor:

  1. Markieren Sie das gewünschte Paket, für das eine Regel verändert/erneuert werden soll
  2. öffnen Sie mit der rechten Maustaste das Kontextmenü
  3. wählen Sie „Colorize Conversation“ und „New Coloring Rule“

Das Programm zeigt nun zwei Dialogfenster an: Die bereits angelegten Regeln, üblicherweise für das Profile „Default“ und den Dialog für das Erstellen einer neuen Regeln. Das Fenster für die bereits angelegten Regeln ist glücklicherweise sehr logisch aufgebaut. Auf der linken Seite entdeckt der Administrator die Befehle für die Bearbeitung und Aktivierung der bereits definierten Regeln, in der Mitte die Regeln selbst und auf der rechten Seite die Reihenfolge.

Eigene Farbregeln definieren

Die Schaltfläche New im Abschnitt Edit startet, sofern ohne Kontextmenüaufruf gestartet, mit einem leeren Eintrag. Wird der Vorgang durch den Rechtsklick geöffnet, so blendet Wireshark die aktuelle Kommunikation vor – beispielsweise einen Router-zu-Router-Datentransfer. 

Weitere Artikel zu Wireshark:

Wireshark richtig einsetzen: Vier Schlüssel-Funktionen im Überblick

Best Practices für das Network-Sniffing mit Wireshark

WiFi-Sniffer Wireshark: Netzwerk-Verkehr richtig mitschneiden

Wireshark: Netzwerk-Protokolle mit Dissektoren richtig interpretieren

Wireshark: Anwendung von Anzeigefiltern

Wireshark: So schreiben Sie Filter für Netzwerk-Traffic

Der Farbauswahldialog mit dem Dreieck als „Color-Picker“ ist zum Anfang etwas gewöhnungsbedürftig, aber nach 2-3 Farbzuweisungen ist auch diese Kuriosität der Software-Entwicklung keine Herausforderung mehr. Die Software unterscheidet zwischen Vordergrundfarbe für den Text (Foreground) und Hintergrundfarbe (Background).

Ein Klick auf Apply und die soeben definierte Farbregel wird sofort von der Software genutzt. Die Farbregel wird, da sie dem aktuellen Profil zugeordnet ist, bei allen künftigen Aktionen von Wireshark angewandt. Soll Wireshark eine Regel nicht mehr beachten, so kann sie der Administrator mit einem Mausklick deaktivieren:

  1. Im Menü von Wireshark auf View
  2. Coloring Rules
  3. gewünschte Farbregel selektieren
  4. links auf Disable klicken

Reihenfolge von Farbregeln und Profilen

Mitunter kommt es vor, dass der Benutzer so viele Farbregeln anlegt, dass mehrere Kriterien gleichzeitig zur Erfüllung auftauchen. Beispielsweise die passende IP-Adresse, aber auch der Pakettyp oder die Paketlänge. Um dem Anwender die Möglichkeit zu geben auf das Farbverhalten einzuwirken, gibt es in Wireshark eine Reihenfolge für die Farbregeln.

Die Entwickler der Sniffing-Software haben sich an den üblichen Gepflogenheiten der Firewall/Router-Konvention angelehnt und sind gemäß „first match“ vorgegangen. Es gilt somit die erste Regel, die alle Kriterien erfüllt. Diese Regel, von oben nach unten im Programmfenster gesehen, kommt zum Zug und bestimmt die Farbmarkierung. Die nachfolgenden Regeln, nach einem Treffer, ignoriert die Software.

Das Dialogfenster für Farbregeln ist an sich recht einfach. Die Reihenfolge kann der Administrator über die Schaltflächen „Up“ und „Down“ anpassen. Nur die erstgreifende Regel wird von der Software zum Einfärben herangezogen.

Die Reihenfolge selbst beeinflusst der Benutzer über die Schaltflächen Up und Down im Abschnitt Order im Dialogfenster Wireshark: Coloring Rules. Wie die Mehrzahl aller Konfigurationseinstellungen, so speichert Wireshark auch diese Änderungen zu einem Profil. Möchten Sie das Standardprofil (Default) von Wireshark unangetastet lassen, um beispielsweise Fehlkonfigurationen zu verhindern? Dann sollten Sie zunächst ein eigenes Profil anlegen, bevor Sie mit den Farbanpassungen beginnen.

Sie erzeugen ein eigenes Profil indem Sie:

  1. in der Menüleiste auf Edit klicken
  2. Configuration Profiles auswählen
  3. auf New klicken
  4. das neue Profil benennen
  5. mit Apply aktivieren

Möchten Sie zum ursprünglichen Profil zurückkehren, so wechseln Sie mit einem Doppelklick auf Default. Insgesamt empfiehlt es sich das Default-Profil mit Copy im Dialog Wireshark: Configuration Profiles zu kopieren.

Einfärbung einzelner Unterhaltungen

Nicht immer möchte der Anwender für den aktuell mitprotokollierten Netzwerkmittschnitt gleich die Farbfilter dauerhaft anlegen und speichern. Insbesondere wenn es um eine Analyse im Kundennetzwerk geht, so ergibt eine gespeicherte Farbanpassung wohl eher selten Sinn. Glücklicherweise können Sie auf die zehn bereits vordefinierten Farbmarkierungen aus Wireshark zurückgreifen, auch wenn deren Farbverlauf ein wenig zaghaft ist. Soll heißen: Die Farben unterscheiden sich nur schwach voneinander.

Die kurzfristige Markierung ist denkbar einfach und wird wie folgt aktiviert:

  1. Mitschreiben eines Datenstroms
  2. das gewünschte Datenpaket selektieren
  3. mit einem Rechtsklick das Kontextmenü öffnen
  4. Colorize Conversation wählen
  5. Pakettyp/Protokoll wählen
  6. Farbe (1-10) auswählen

Von nun an färbt Wireshark alle Pakete nach der soeben ausgewählten Farbe. Das erfolgt solange, bis ein anderes Profil gewählt oder Wireshark neugestartet wird. Es stehen insgesamt 10 Farben zur Verfügung. Wer sich bei der Zuordnung der Farben „verhaut“, hat leider nur die Möglichkeit, alle temporären Zuweisungen wieder zu entfernen. Dies geschieht über das Menü View und den Befehl Reset Coloring 1-10 oder über das Tastaturkürzel STRG+LEERTASTE.

Detaillierte Farbanleitung

Wenn Sie mit Englisch kein Problem haben und sich gleichzeitig bis ins Detail mit der Färbung von Datenpaketen in Wireshark auseinandersetzen möchten, dann sei Ihnen ein Dokument mit dem Titel „wireshark-guide-color-packets-35272.pdf“ des SANS Institute von Roy Cheok und Robert VandenBrink ans Herz gelegt.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksoftware