Wie aktiviere ich die vollständige Paketanzeige in Wireshark bei fragmentierten Paketen?
- Einleitung
- Grundlagen der Fragmentierung und deren Darstellung in Wireshark
- Reassemblierung der Pakete in Wireshark aktivieren
- Schritte zur Aktivierung der Fragment-Reassemblierung
- Darstellung und Verifikation
- Weitere Hinweise
- Fazit
Einleitung
Wireshark ist ein weit verbreitetes Tool zur Analyse von Netzwerkverkehr. Häufig trifft man in Netzwerken auf fragmentierte Pakete, insbesondere wenn IP-Pakete größer als die maximale Übertragungseinheit (MTU) sind. Fragmentierte Pakete werden dabei in mehrere Teilstücke zerlegt, bevor sie übertragen werden. Standardmäßig zeigt Wireshark diese Fragmente in der Paketanalyse separat an, was die Analyse erschweren kann. Es ist daher sinnvoll, die Anzeige so zu konfigurieren, dass die vollständigen rekonstruierten Pakete dargestellt werden.
Grundlagen der Fragmentierung und deren Darstellung in Wireshark
Bei IPv4 kann es vorkommen, dass große Pakete fragmentiert werden und als mehrere Fragmente ankommen. Jedes dieser Fragmente wird im Netzwerk als einzelnes Paket behandelt. Wireshark zeigt diese Fragmente an sich zunächst unabhängig voneinander an, jedoch besitzt das Programm eine Funktion, um diese Fragmente rekonstruiert zusammenzuführen und den ursprünglichen Datenverkehr darzustellen.
Reassemblierung der Pakete in Wireshark aktivieren
Um die vollständige Paketanzeige bei fragmentierten Paketen zu aktivieren, muss in Wireshark die Option zur Fragment-Reassemblierung eingeschaltet werden. Diese Einstellung bewirkt, dass Wireshark fragmentierte IP-Pakete zusammenführt und als ein logisches Paket anzeigt. Dies erleichtert die Analyse, da der Gesamtdatenstrom erhalten bleibt und über Fragmentgrenzen hinaus sichtbar ist.
Schritte zur Aktivierung der Fragment-Reassemblierung
Nach dem Start von Wireshark sollte im Hauptmenü der Punkt Bearbeiten (unter macOS Wireshark) gewählt und anschließend Einstellungen geöffnet werden. Im Einstellungsfenster wählt man auf der linken Seite unter dem Abschnitt Protokolle den Eintrag IPv4 aus. Hier findet sich eine Einstellung mit der Bezeichnung Fragmented IP reassembly oder auf Deutsch Fragmentierte IP-Reassemblierung. Diese Option muss aktiviert werden, indem das Kontrollkästchen aktiviert wird.
Optional kann auch die Einstellung für TCP-Streams aktiviert werden, die ebenfalls fragmentierte oder segmentierte Verbindungen zusammensetzt, aber für reine IP-Fragmentierung ist die Option im IPv4-Bereich entscheidend.
Darstellung und Verifikation
Nach Aktivierung dieser Einstellung und dem erneuten Laden des Netzwerkverkehrs oder während der laufenden Aufzeichnung wird Wireshark nun die fragmentierten Pakete erkennen und im Analysefenster die vollständigen, rekonstituierten Pakete anzeigen. Man sieht dann nicht mehr nur einzelne Fragmente, sondern die Gesamtheit des Datenpakets, wie es vom ursprünglichen Sender abgesendet wurde.
Weitere Hinweise
Diese Funktion kann die Leistung von Wireshark leicht beeinträchtigen, da das Zusammenfügen der Pakete zusätzlichen Rechenaufwand bedeutet. Bei sehr großen Capture-Dateien oder sehr fragmentiertem Verkehr kann sich die Analyse dadurch verlangsamen. Zudem funktioniert die Reassemblierung nur dann korrekt, wenn alle Fragmente des Paketes im Capture mitgeschnitten wurden.
Zusätzlich ist erwähnenswert, dass es auch für IPv6 entsprechende Einstellungen zur Fragment-Reassemblierung gibt, die analog aktiviert werden können, falls IPv6-Verkehr in Fragmenten vorliegt.
Fazit
Durch Aktivieren der Fragment-Reassemblierung unter den IPv4-Protokolleinstellungen in Wireshark wird die Darstellung fragmentierter Pakete deutlich übersichtlicher und vollständiger. Dies erleichtert die Analyse komplexer Netzwerkdaten, da die gesamte Paketinformation in einem Zusammenhang sichtbar bleibt.