Paket-Mitschnitt mit Wireshark und LCOS

02.10.2016
Dieser Inhalt ist bereits etwas älter.
This content is already a bit old.
Bild

Ich hatte bisher nur die Möglichkeit gefunden, mittels des Trace im LANconfig einen Paket-Mitschnitt auf einem Interface durchführen zu können.

Es gibt aber auch die Möglichkeit, mit welcher dies mit einigen Optionen im LCOS und mit einigen Einstellung in Wireshark direkt am Client mit Auswahl der gewünschten Interfaces möglich ist (RPCap).

Der Vorteil liegt klar in den Filteroptionen und den Analysefunktionen, welche Wireshark von Haus aus bereitstellt und es ist nicht mehr notwendig, die Daten in Wirehark-Kompatible Formate umzuwandeln.

Folgende Einstellungen müssen in LCOS (getestet mit 10.50.0519) gesetzt sein:

https://<IP/Hostname>/config/2/63/11/ "RPCap-In-Betrieb" > Ja

Bild

Nun muss eine aktuelle Version von Wireshark auf einem Client installiert sein (getestet mit 3.6.1). Nach dem Start von Wireshark öffnen wir die Optionen für die Aufzeichnung:

Bild

Dort klicken wir unter rechts auf die Schaltfläche "Schnittstellen verwalten":

Bild

Im oberen Bereich wechseln wir auf die Registerkarte "Entfernte Schnittstellen":

Bild

Dann klicken wir unten links auf die Schaltfläche mit dem "+":

Bild

Nun öffnet sich das folgende Fenster:

Bild

Hier muss nun der Hostname/IP des LCOS-Gerätes angegeben werden sowie der Port 2002 (analog Screenshot der LCOS-Einstellungen).

Wichtig ist hier die Authentifizierung. Ohne Authentifizierung ist ein Paketmitschnitt nicht möglich, es muss ein Admin-Benutzer verwendet werden. In meinem Fall verwende ich den User "root":

Bild

Nach einigen Sekunden tauchen dann die Interfaces des LCOS-Gerätes in der Übersicht auf. Nach einem Klick auf "OK" sind diese dann auch in der Interface-Übersicht sichtbar:

Bild
Bild

Nun kann ein Interface ausgewählt und mit der Schaltfläche "Start" der Paketmitschnitt gestartet werden.

Es sollten wirklich nur die Interfaces ausgewählt werden, welche auch für den Mitschnitt benötigt werden. Da die Daten an den Client gespiegelt werden müssen kann dies eine hohe CPU/RAM-Last auf dem LCOS-Gerät hervorrufen.

Noch ein kleiner Tipp bezüglich Wireshark:

Es scheint wohl einen Bug zu geben, welcher auftritt wenn Wireshark geschlossen wird und versucht wird, die Schnittstellen erneut über die Schritte oben hinzuzufügen. Hier scheinen "Reste" in den Einstellungen übrig zu bleiben, welche das erneute Hinzufügen des Gerätes verhindern.

Damit die Schnittstellen erneut hinzugefügt werden können, folgenden Eintrag auswählen:

Bild

Dann alle Dialogfenster mit "OK" bestätigen und Wireshark schließen. Nach einem Neustart von Wireshark funktioniert das Hinzufügen der Interfaces wieder korrekt.


 

Feedback, Verbesserungsvorschläge, weitere Ideen?

Einfach das Kontaktformular verwenden oder direkt eine E-Mail an info@kirgus.net.