Netzwerkanalyse mit Wireshark: Wie TCP-Reassembly funktioniert

Die Reassembly-Funktion von Wireshark fügt alle Nutzlastpakete zum ursprünglichen Objekt zusammen. So lassen sich bestimmte Attacken aus dem Netzwerk aufdecken

Artikel verschenken
In Pocket speichern vorlesen Druckansicht
Wie TCP-Reassembly in Wireshark funktioniert

(Bild: Albert Hulm)

Lesezeit: 14 Min.
Von
  • Jasper Bongertz
Inhaltsverzeichnis

Um in Wireshark Nutzdaten darzustellen, braucht man Aufzeichnungen, die alle IP-Pakete der zugehörigen Übertragungen enthalten. Außerdem sind für die Analyse einige Vorkenntnisse erforderlich. Dabei können Sie eigene Mitschnitte verwenden oder eine von zwei Beispielaufzeichnungen, die Sie von unserem Server als ZIP-Datei direkt herunterladen können.

Gelegentlich kommt aber keine Übertragung zustande, sodass man zunächst dieser Ursache auf den Grund gehen muss. Schließen Sie zunächst allgemeine Netzwerk- sowie Server- und Client-Probleme aus. Stellen Sie also sicher, dass der Internet-Anschluss funktioniert, dass Arbeits- und Massenspeicher ausreichend freien Platz haben und der Client-Prozess Schreibrechte auf dem Zielmedium hat. Falls dennoch keine oder nur eine unerwartet langsame Übertragung zustande kommt, empfiehlt es sich, den Fehler auf Protokollebene zu suchen. Dabei spielt das Transport Control Protocol (TCP) die Hauptrolle, denn ein Großteil der Downloads läuft darüber ab.

Mehr über Wireshark

Eine häufige Fehlerquelle bei Datenübertragungen übers Internet rührt daher, dass je nach Übertragungsstrecke und den daran beteiligten Routern die Größe der IP-Pakete variieren kann. Normalerweise einigen sich Sender und Empfänger auf die passende Größe. Diese Aushandlung kann aber scheitern, was je nach Situation unterschiedliche Folgen hat. Generell gilt aber: Sind Pakete größer als die Maximum Transmission Unit (MTU) eines Routers, verwirft er sie. Sind sie kleiner als erlaubt, bleiben Kapazitäten ungenutzt – Downloads sind langsamer als möglich.