Wireshark Namensauflösung – hosts und ethers Dateien richtig nutzen

Wireshark kann für eigene statische Namensauflösung zwei Dateien nutzen:

ethers

Auflösung von MAC Adressen

aa-aa-aa-bb-bb-bb   LAPTOP
aa-aa-aa-cc-cc-cc   FRITZBOX

hosts

Auflösung von IP Adressen

1.2.3.4   LAPTOP
1.2.3.5   FRITZBOX

Jetzt muss man nur sicherstellen, dass sich diese beiden Dateien im richtigen Verzeichnis befinden.
So kann man überprüfen, wie es um die Einstellung der Pfade steht. Unter Help / About Wireshark / Folders kann man sich die Pfade anschauen. Nun geht Wireshart davon aus, dass die Umgebungsvariable %WIRESHARK% gesetzt ist. Das standardmäßig nicht der Fall, sie sollte am einfachten auf den Pfad der Wireshark-Installation gesetzt werden. Ansonstan muss man die o.g Datein im ../AppData/Roaming/Wireshark editieren – was für eine Qual.

Bild_00105

Wenn die Pfade eingestellt sind, dann sollten die beiden Dateien im Wireshark Verzeichnis angelegt werden.

Jetzt fehlt nur noch eine Kleinigkeit. Die Namensauflösung muss noch „eingeschaltet“ werden. Hier ist eine kleine Falle eingebaut.

Wenn man die Namensauflösung auf den Layer 2 (MAC) und Layer 3 (IP) und nicht auf L4 (TCP) zuschalten will, sollte man nicht den Fehler begehen und die zwei Häkchen untereinander markieren. Das Menü ist etwas irreführend:

Enable for Mac Layer (2)

Enable for Transport Layer (4)

Enable for Network Layer (3)