Aufgedröselt
Wie TCP-Reassembly in Wireshark funktioniert
Wer Netzwerkverkehr in Wireshark analysiert, muss früher oder später auch Nutzdaten wie komplette Downloads untersuchen. Dafür fügt die Software-Suite automatisch alle Nutzlastpakete zum ursprünglichen Objekt zusammen und zeigt sie am Stück an. Mit etwas Know-how lassen sich so letztlich auch bestimmte Attacken aus dem Netzwerk aufdecken.
Um in Wireshark Nutzdaten darzustellen, braucht man Aufzeichnungen, die alle IP-Pakete der zugehörigen Übertragungen enthalten. Außerdem sind für die Analyse einige Vorkenntnisse erforderlich. Einzelheiten dazu finden Sie ab dem Abschnitt „Reassembly in Aktion“. Dabei können Sie eigene Mitschnitte verwenden oder eine von zwei Beispielaufzeichnungen, die wir zum Download via ct.de/ybc3 bereitgestellt haben.
Gelegentlich kommt aber keine Übertragung zustande, sodass man zunächst dieser Ursache auf den Grund gehen muss. Schließen Sie zunächst allgemeine Netzwerk- sowie Server- und Client-Probleme aus. Stellen Sie also sicher, dass der Internet-Anschluss funktioniert, dass Arbeits- und Massenspeicher ausreichend freien Platz haben und der Client-Prozess Schreibrechte auf dem Zielmedium hat. Falls dennoch keine oder nur eine unerwartet langsame Übertragung zustande kommt, empfiehlt es sich, den Fehler auf Protokollebene zu suchen. Dabei spielt das Transport Control Protocol (TCP) die Hauptrolle, denn ein Großteil der Downloads läuft darüber ab.