Wireshark kort fortalt: Open source · GUI + kommandolinje (tshark) · Fanger trafik på alle interfaces · Forstår 3000+ protokoller · Windows, macOS, Linux · Kræver ikke root på Linux når det er sat korrekt op

Hvad er Wireshark?

Wireshark sætter dit netværkskort i "promiscuous mode" og fanger alle pakker der passerer interfacet. Ikke kun trafik til og fra din maskine — alt på det segment du lytter på. Du ser HTTP-headers, DNS-forespørgsler, TLS-handshakes, ARP-broadcasts og meget mere i fuld detalje.

Det er ikke et angrebsværktøj. Det er et diagnoseværktøj. Brug det til at fejlfinde netværksproblemer, verificere at din VPN faktisk krypterer det den skal, tjekke at Pi-hole fanger DNS-forespørgsler korrekt, eller opdage enheder på dit netværk der laver mystiske opkald ud på internettet.

📌 Wireshark på dit eget netværk er lovligt. At fange trafik på netværk du ikke ejer eller har tilladelse til at overvåge er ulovligt i Danmark og de fleste andre lande. Brug det kun hjemme eller i din virksomhed med relevant tilladelse.

Installation

Windows

Download installationsfilen fra wireshark.org/download.html. Accepter installationen af Npcap under installationsprocessen — det er det driver-lag Wireshark bruger til at fange pakker på Windows. Uden Npcap starter Wireshark, men kan ikke fange noget.

Linux (Debian/Ubuntu/Pi OS)

sudo apt update && sudo apt install wireshark -y

Under installationen spørger apt om ikke-root-brugere må fange pakker. Svar ja. Tilføj derefter din bruger til wireshark-gruppen og log ud og ind igen: 

sudo usermod -aG wireshark $USER

Uden dette kræver Wireshark sudo for at fange trafik. Med gruppen kan du køre Wireshark som din normale bruger.

macOS

brew install --cask wireshark

Homebrew installerer Wireshark og den nødvendige ChmodBPF-kconfig der giver adgang til capture-interfaces uden root.

Din første optagelse

Åbn Wireshark. Startsiden viser en liste over netværksinterfaces med en live bølgeform der viser trafikintensiteten. Dobbeltklik på det interface du vil lytte på — typisk eth0, wlan0 eller "Ethernet" på Windows.

Pakker begynder straks at rulle ind. Klik på den røde firkant øverst til venstre for at stoppe optagelsen. Klik på det blå haj-fin-ikon for at starte en ny.

⚠️ På et aktivt hjemmenetværk kan du hurtigt indsamle millioner af pakker. Brug capture filters (se nedenfor) til at begrænse hvad der fanges, eller lad optagelsen køre kort og stop den manuelt.

Forstå pakkeoversigten

Wiresharks hovedvindue er delt i tre dele:

Klik på en pakke i oversigten for at udforske detaljerne. Klik på en linje i detajl-træet for at highlighte de tilsvarende bytes i hex-visningen.

Display filters — det vigtigste du lærer

Display filters filtrerer hvad du ser i pakkeoversigten uden at slette data. De ændrer ikke optagelsen, kun visningen. Filterfeltet sidder øverst i grønt/gult/rødt. Grønt filter er gyldigt, rødt er ugyldigt, gult er en advarsel.

Essentielle display filters:
dns — kun DNS-trafik
http — kun HTTP (usikret)
tls — kun TLS/HTTPS
arp — kun ARP-broadcasts
ip.addr == 192.168.1.100 — al trafik til/fra én IP
ip.src == 192.168.1.100 — kun trafik fra én IP
tcp.port == 443 — kun trafik på port 443
!arp && !dns — skjul ARP og DNS-støj
http.request.method == "POST" — kun HTTP POST-requests

Kombiner filtre med && (og), || (eller) og ! (ikke). Klik på en pakke og højreklik på et felt i detaljetræet for at lade Wireshark bygge filteret for dig.

Capture filters vs display filters

Der er en vigtig forskel på de to filtertyper:

Brug capture filters til at begrænse filstørrelsen ved lange optagelser. Brug display filters til analyse. Capture filters er sæt i feltet "Enter a capture filter..." på startskærmen inden du dobbelt-klikker på interfacet.

Følg en TCP-stream

Wireshark ser individuelle pakker, men et HTTP-request er spredt over mange pakker. "Follow TCP Stream" samler dem og viser hele samtalen læsbart.

Højreklik på en hvilken som helst pakke i en TCP-forbindelse, vælg Follow → TCP Stream. Wireshark åbner et vindue med hele dialogen. For usikret HTTP kan du her se headers, cookies og body i klartekst.

Det er præcis som en angriber på dit netværk ville se din trafik — et stærkt argument for altid at bruge HTTPS og en VPN på offentlige netværk.

Praktiske hjemmelab-eksempler

Find enheder der laver mystiske DNS-opslag

dns

Filtrer på DNS og kig i Source-kolonnen. Ser du IPs du ikke genkender? Kig på hvilke domæner de slår op. En smart-TV der spørger efter Google Analytics-domæner kl. 03:00 er et tegn på telemetri du ikke vidste om.

Tjek at Pi-hole faktisk blokerer

dns && ip.dst == 192.168.1.x

Erstat 192.168.1.x med din Pi-holes IP. DNS-svar der returnerer 0.0.0.0 eller :: som IP er blokerede domæner. DNS-svar der returnerer en rigtig IP er gennemladte forespørgsler.

Spot usikret HTTP-trafik

http

Kører der stadig HTTP på dit netværk, ser du her hvilke domæner og hvilke enheder. Brug Follow TCP Stream på et interessant request og se om der sendes cookies eller credentials i klartekst.

Verificer at WireGuard krypterer

udp.port == 51820

Start Wireshark, aktiver WireGuard-forbindelsen, og filtrer på UDP-port 51820 (eller din konfigurerede port). Du bør se WireGuard-pakker — men ikke den faktiske trafik i klartekst. Ser du HTTP eller DNS-trafik udenom VPN-porten, lækker din klient trafik uden om tunnellen.

Find rogue DHCP-servere

bootp

DHCP bruger BOOTP-protokollen i Wiresharks øjne. Kør dette filter og se om der er mere end én DHCP-server på dit netværk. To DHCP-svar fra to forskellige IPs er et tegn på en rogue DHCP-server.

Gem og åbn optagelser

Wireshark gemmer optagelser i .pcapng-format. Brug File → Save As. Du kan åbne pcap-filer fra andre værktøjer som tcpdump direkte i Wireshark.

Vil du fange trafik på en Raspberry Pi uden grafisk interface, brug tcpdump og analysér pcap-filen efterfølgende på din pc: 

# Fang 1000 pakker på eth0 og gem til fil
sudo tcpdump -i eth0 -c 1000 -w capture.pcap

# Overfør til din pc og åbn i Wireshark
scp [email protected]:~/capture.pcap .

Nyttige genveje

Ctrl+E          — Start/stop optagelse
Ctrl+Shift+F    — Display filter (søg i pakker)
Ctrl+Alt+Shift+T — Følg TCP stream
Ctrl+G          — Gå til pakkenummer
Ctrl+M          — Marker/unmark pakke

Ofte stillede spørgsmål

Kan Wireshark se krypteret HTTPS-trafik?

Ikke indholdet. Du kan se at der sker en TLS-forbindelse, hvornår og til hvilken IP, men ikke hvad der sendes. Wireshark kan dekryptere HTTPS hvis du har TLS-sessionsnøglerne — det kræver at browseren eksporterer dem via SSLKEYLOGFILE-miljøvariablen. Nyttigt til debugging, ikke til aflytning.

Kan jeg se trafik fra andre enheder på mit netværk?

Ikke direkte på et moderne switchet netværk. Switches sender kun trafik til den port der er adressat. For at se andres trafik skal du enten sætte dit netværkskort i promiscuous mode på et hub-segment (sjældent), bruge port mirroring på en managed switch, eller køre Wireshark på routeren/Pi'en der ser al trafik.

Hvad er forskellen på Wireshark og tcpdump?

tcpdump er kommandolinje og kører overalt, også headless på en Pi. Wireshark har GUI og er bedre til interaktiv analyse. De bruger begge samme capture-format (pcap/pcapng). Arbejdsgangen er typisk: fang med tcpdump på Pi'en, analysér med Wireshark på din pc.

Kilder