# Wireshark Deep Dive: Protokoll-Analyse für Experten

TL;DR / Management Summary Wenn Ping und Log-Files nicht mehr ausreichen, müssen wir die rohen Datenpakete sehen. Wireshark ist der Industriestandard für die Paket-Analyse. Es erlaubt uns, jeden Byte eines Ethernet-Frames (Artikel 727) zu sezieren. Ein Senior Admin nutzt Wireshark, um hängende TCP-Handshakes zu debuggen, langsame SQL-Queries im Netz zu finden oder verschlüsselten Traffic (TLS) mit Session-Keys zu analysieren.

# 1. Capturing: Die Datenquelle

Wo kommen die Pakete her?

Lokal: Direkt am Interface Ihres Management-PCs.
Remote (tcpdump): Am Proxmox-Host oder der OPNsense mitschneiden und via SSH an Wireshark streamen.

ssh root@firewall "tcpdump -i eth0 -U -s0 -w -" | wireshark -k -i -

Port Mirroring (SPAN): Den Traffic eines Switch-Ports auf Ihren Analyse-PC kopieren.

# 2. Filter-Meisterschaft

Die Nadel im Heuhaufen finden.

Wireshark bietet zwei Arten von Filtern:

Capture Filter (BPF): Was soll überhaupt aufgezeichnet werden? (z.B. host 10.0.0.5).
Display Filter: Was soll in der GUI angezeigt werden? (z.B. http.request.method == "POST").

# Die 3 wichtigsten Display-Filter

tcp.flags.reset == 1: Sucht nach abgebrochenen Verbindungen.
dns.flags.response == 0: Sucht nach unbeantworteten DNS-Anfragen.
tcp.analysis.retransmission: Sucht nach Netzwerk-Engpässen.

# 3. Deep Dive: TCP Stream Analysis

Den Dialog verstehen.

Das mächtigste Werkzeug in Wireshark ist der TCP Stream Follower.

Aktion: Rechtsklick auf ein Paket -> Follow -> TCP Stream.
Vorteil: Wireshark setzt die zerstückelten Pakete wieder zu einem lesbaren Text-Dialog (z.B. HTTP oder SMTP) zusammen.
Visualisierung: Nutzen Sie den I/O Graph, um Durchsatzschwankungen über die Zeit zu sehen.

# 4. Day-2 Operations: TLS Decryption

In die Verschlüsselung schauen.

Normalerweise sehen Sie in Wireshark bei HTTPS nur “Encrypted Application Data”.

Aktion: Konfigurieren Sie Ihren Browser (Chrome/Firefox) so, dass er SSL-Session-Keys in eine Datei schreibt (SSLKEYLOGFILE).
Ergebnis: Wireshark nutzt diese Datei, um den Traffic live zu entschlüsseln – ohne das Zertifikat des Servers zu besitzen.

# 5. Troubleshooting & “War Stories”

Wenn die Wahrheit im Header liegt.

# Top 3 Fehlerbilder

Symptom: “TCP Previous Segment Not Seized”.
- Ursache: Der Capture-Start war nach dem Verbindungsaufbau oder es gibt Paketverluste im Monitor-Pfad.
Symptom: Unfassbar viele rote Zeilen im Log.
- Bedeutung: TCP-Retransmissions. Ihr Netzwerk ist entweder physisch defekt (Kabel) oder massiv überlastet.
Symptom: “Malformated Packet”.
- Ursache: Falsches Protokoll-Decoding oder korrupte Pakete durch MTU-Fragmentierung.

# “War Story”: Der “Stumme” ERP-Hänger

Ein Kunde klagte über sporadische 30-Sekunden-Hänger in seiner ERP-Software. Alle Server-Metriken waren perfekt. Die Diagnose: Wir starteten einen Wireshark-Dauer-Trace am Client. Die Entdeckung: Wir sahen einen DNS Query für einen alten Lizenzserver, der nicht mehr existierte. Der Client wartete exakt 30 Sekunden auf den Timeout, bevor er mit der IP-Adresse des neuen Servers weitermachte. Lehre: Die Applikation hat den Fehler nicht geloggt, da der Timeout kein “Error” war. Erst die Analyse auf Protokollebene brachte das DNS-Problem ans Licht.

# 6. Monitoring & Reporting

Statistiken der Schichten.

# Protocol Hierarchy

Statistics -> Protocol Hierarchy.

KPI: Welchen Anteil hat UDP vs. TCP? Gibt es ungewöhnliche Protokolle (z.B. BitTorrent oder ICMP Tunneling) im Netz?

# 7. Fazit & Empfehlung

Wireshark ist das Stethoskop des Netzwerk-Arztes.

Empfehlung: Nutzen Sie Coloring Rules, um Fehler (RST, Retransmissions) sofort visuell zu erkennen.
Wichtig: Achten Sie auf den Datenschutz. Paket-Analyse erfasst Passwörter im Klartext und private Inhalte. Nutzen Sie Wireshark nur zur technischen Diagnose in Absprache mit dem Datenschutzbeauftragten.

# Anhang: Cheatsheet (Filter Syntax)

Filter	Ziel
`ip.addr == 1.2.3.4`	Alles von/zu dieser IP
`tcp.port == 443`	Nur HTTPS Traffic
`http.host contains "firma"`	Suche nach Hostnamen
`frame contains "password"`	Volltextsuche in Payloads