1. Verkeer vastleggen:

* Interfaceselectie: Start Wireshark. U krijgt een lijst met netwerkinterfaces te zien. Kies de interface waar het TCP/UDP-verkeer dat u wilt analyseren, naartoe stroomt. Dit is cruciaal. Als u de verkeerde interface kiest, worden irrelevante gegevens vastgelegd. Als je het niet zeker weet, kijk dan naar de namen en beschrijvingen van de interfaces; een Wi-Fi-adapter wordt duidelijk als zodanig gelabeld.

* Opname starten: Klik op de knop "Start" om te beginnen met het vastleggen van pakketten. Wireshark begint al het verkeer op de geselecteerde interface vast te leggen. Laat de opname lang genoeg duren om er zeker van te zijn dat u de relevante gebeurtenissen vastlegt.

* Filteren (optioneel, maar sterk aanbevolen): Gebruik filters om te voorkomen dat u wordt overspoeld met irrelevante gegevens. U kunt filteren op:

* Protocol: `tcp` of `udp` toont respectievelijk alleen TCP- of UDP-pakketten.

* IP-adres: `ip.addr ==192.168.1.100` toont alleen pakketten van of naar dit IP-adres.

* Poort: `tcp.port ==80` toont alleen TCP-verkeer op poort 80 (HTTP). `udp.port ==53` toont alleen UDP-verkeer op poort 53 (DNS).

* Combinatie: Je kunt filters combineren. 'tcp en poort 80 en ip.addr ==192.168.1.100' tonen bijvoorbeeld alleen TCP-verkeer op poort 80 naar of van 192.168.1.100. Gebruik `||` (of) om verschillende filtercriteria te combineren.

* Weergavefilters: Deze filters worden toegepast *nadat* de opname is voltooid en zijn van invloed op wat wordt weergegeven. Ze worden toegepast in het veld 'Weergavefilter' bovenaan het Wireshark-venster.

* Opnamefilters: Deze filters worden toegepast *voordat* het vastleggen zelfs maar begint, waardoor Wireshark wordt verteld alleen pakketten vast te leggen die voldoen aan de filtercriteria. Ze worden ingesteld in het dialoogvenster "Capture filters".

2. Vastgelegd verkeer analyseren:

Zodra u het relevante verkeer heeft vastgelegd, presenteert Wireshark de pakketten in een lijst. Elke rij vertegenwoordigt een enkel pakket. Belangrijke kolommen zijn onder meer:

* Nee.: Pakketnummer.

* Tijd: Tijdstempel van aankomst van het pakket.

* Bron: Bron-IP-adres en poort.

* Bestemming: Doel-IP-adres en poort.

* Protocol: Gebruikt protocol (TCP, UDP, enz.).

* Lengte: Pakketlengte.

Specifieke TCP-analyse:

* TCP-stream: Klik met de rechtermuisknop op een TCP-pakket en selecteer 'Volgen' -> 'TCP-stream'. Dit toont u het hele gesprek tussen de bron en de bestemming, waarbij vaak de gegevens op applicatieniveau worden gereconstrueerd (bijvoorbeeld HTTP-verzoeken en -antwoorden).

* TCP-segmentvlaggen: Onderzoek de TCP-vlaggen (SYN, ACK, FIN, RST, PSH, enz.) binnen de pakketdetails. Deze vlaggen zijn cruciaal voor het begrijpen van de status van de TCP-verbinding.

* Volgorde- en bevestigingsnummers: Analyseer de reeks- en bevestigingsnummers om de gegevensstroom te begrijpen en potentiële hertransmissies (als gevolg van pakketverlies) te identificeren.

* Venstergrootte: Houd rekening met de venstergrootte om mogelijke problemen met de congestiecontrole te diagnosticeren.

Specifieke UDP-analyse:

* Volg UDP-stream: Klik met de rechtermuisknop op een UDP-pakket en selecteer 'Volgen' -> 'UDP-stream'. In tegenstelling tot TCP garandeert UDP geen levering of bestelling. De stream toont eenvoudigweg de onbewerkte gegevens die in elk UDP-pakket zijn verzonden.

* Inspectie van de lading: Onderzoek de payload van het UDP-pakket om inzicht te krijgen in de gegevens op applicatieniveau (bijvoorbeeld DNS-query's en -antwoorden). Vaak moet u het toepassingsprotocol (DNS, DHCP, enz.) kennen om de payload correct te kunnen interpreteren. De protocol-dissectors van Wireshark helpen hierbij.

3. De functies van Wireshark gebruiken:

* Protocolhiërarchie: Het paneel met pakketdetails toont een hiërarchische uitsplitsing van de structuur van het pakket, zodat u elke laag (Ethernet, IP, TCP/UDP, applicatie) kunt onderzoeken.

* Kleurcodering: Wireshark gebruikt kleurcodering om verschillende aspecten van het netwerkverkeer te benadrukken, zoals TCP-hertransmissies.

* Expertinformatie: Zoek naar waarschuwingen en fouten die zijn gemarkeerd in het gedeelte 'Expertinfo'. Dit kan potentiële problemen aan het licht brengen, zoals weggevallen pakketten of verbindingsproblemen.

* Statistieken: Wireshark biedt verschillende statistieken die samenvattingen kunnen geven van het vastgelegde verkeer.

Voorbeeldscenario's:

* Problemen met een websiteverbinding oplossen: Leg verkeer vast terwijl u probeert toegang te krijgen tot een website, filter op 'tcp en poort 80' of 'tcp en poort 443' en onderzoek de HTTP-verzoeken en -antwoorden in de TCP-stroom om problemen te identificeren.

* DNS-query's analyseren: Leg het verkeer vast, filter op 'udp en poort 53' en onderzoek de DNS-query's en -antwoorden om te zien met welke DNS-servers contact wordt opgenomen en welke records worden opgevraagd.

* Netwerkcongestie onderzoeken: Leg verkeer vast en analyseer de TCP-venstergroottes en hertransmissies om potentiële congestiepunten te identificeren.

Door effectief gebruik te maken van filters, het volgen van streams en het onderzoeken van pakketdetails, stelt Wireshark u in staat TCP- en UDP-verkeer diepgaand te analyseren, waardoor u netwerkproblemen kunt diagnosticeren en netwerkgedrag kunt begrijpen. Vergeet niet de uitgebreide documentatie van Wireshark te raadplegen voor meer geavanceerde technieken.