Wireshark für Mac OS ist ein Tool zur Netzwerkdiagnose. Die große Anzahl an Protokollen, die es beherrscht, übertrifft sogar viele kommerzielle Lösungen, wobei man unter “beherrschen” versteht, dass es ein Protokoll nicht nur als Hexdump-Paket auflistet, sondern auch analysiert und erläutert. So lassen sich beispielsweise VoIP-Gespräche aus einem Netzwerk-Capture herausfiltern und ganz einfach abspielen.

Wenn man an einem ganz normalen Ethernetport hängt oder in ein verschlüsseltes WLAN eingebucht ist, dann sieht man nur die Unicast-Pakete des eigenen Rechners sowie alle Broad- und Multicast-Pakete. Alle Pakete, die sich zwei andere Rechner gegenseitig verschicken, können nicht mitgeschnitten werden.

Broadcast-Pakete kommen häufiger vor, als man zunächst annehmen möchte. Sie werden in der Regel zum Verbindungsaufbau benötigt. Bekanntestes Beispiel dürfte das ARP-Paket sein. Wenn ein Rechner mit einem zweiten Rechner im selben Netz per IP kommunizieren möchte, fragt er zunächst per Broadcast-ARP-Paket: “Wer ist 192.168.10.4?”. Falls es einen Rechner mit dieser IP-Adresse gibt, antwortet dieser in einem Unicast-ARP-Paket zurück “Ich bin es und habe die MAC-Adresse 00:10:00:12:34:56!”. Ein anderes Beispiel ist die Suche nach NetBIOS-Rechnern in einem Netzwerk, in dem kein WINS-Server implementiert ist.

Weitere Features

• Kann mit G.711 kodierte VoIP-Telefonate abspielen (VoIP Call Playback)
• Zeichnet den Traffic von USB-Geräten auf
• Unterstützt u.a. folgende Netzwerkprotokolle: Enea LINX, Ethernet Powerlink (v1 und v2), H.248 Q.1950 Annex A, Linux pktgen, MP2T, NEWMAIL, PNG, SCSI OSD, UDLD, UMTS FP, USB, WLCCP, WZCSVC, DMP, Homeplug (INT51X1), NBD, OMAPI, PKCS#12, RGMP, Roofnet, STUN v2, ANSI TCAP, application/xcap-error (MIME type), CFM, DPNSS, EtherCAT, ETSI e2/e4, H.282, H.460, H.501, IEEE 802.1ad and 802.1ah, IMF (RFC 2822), RSL, SABP, T.125, TNEF, TPNCP, UNISTIM, Wake on LAN, WiMAX ASN Control Plane, X.224, IEEE 802.15.4, Infiniband, Parallel Redundancy Protocol, RedBack Lawful Intercept, Xcsl
• Liest und schreibt u.a. folgende Dateiformate: tcpdump (libpcap), NAI Sniffer, Sniffer Pro, Netxray, Sun snoop und atmsnoop, Shomiti/Finisar Surveyor, AIX iptrace, Microsoft Network Monitor, Novell Lanalyzer, RADCOM WAN/LAN Analyzer, HP-UX nettl, i4btrace des ISDN4BSD-Projektes, Cisco Secure IDS iplog, pppd log (pppdump-format), AG Group/WildPacket EtherPeek/TokenPeek/AiroPeek, Visual Networks Visual Uptime
• AirPcap-Support
• WPA/WPA2-Verschlüsselung
• Unterstützt Dateidialoge
• Filtermakros anzeigen
• Export von HTTP-Objekten
• Modifizieren der Displayfilter
• Columns können verändert werden ohne Neustart von Wireshark
• Die Buttons der Toolbar werden auch angezeigt, wenn das Fenster klein ist
• SNMP OIDs können direkt gefiltert werden
• UDP Streams werden unterstützt

Fazit
Macht das Netzwerk Probleme, ist Wireshark genau das richtige Tool. Viele Experten benutzen die Software, um Netzwerke bis ins Detail zu analysieren. Die Oberfläche ist auf den ersten Blick gewöhnungsbedürftig, die Funktionen des Tools überzeugen dafür umso mehr. Sämtliche laufende Prozesse und der komplette Netzwerkverkehr entgehen Wireshark nicht, und somit auch nicht dem User.

Neu in der aktuellen Version

• Verbesserter Protokoll-Support für: ACTRACE, BACnet BVLC, BOOTP, E212, iSCSI, IUA, LDAP, MGCP, MIKEY, MSMMS, RMI, RPC, RTCP, RTP, SIP, SNMP, TCP, UNIStim, WiMAX

Unter Mountain Lion gehört das X Windows System, welches von Wireshark genutzt wird, nicht mehr zum Lieferumfang. Diese Komponente muss nachträglich installiert.

Ausführlicher Artikel: Diagnosetool oder Spyware: So nutzt man Wireshark