Wat is Wireshark?
Wireshark is een krachtige en gratis protocol analyzer waarmee je netwerkverkeer in realtime kunt vastleggen en analyseren. Het ondersteunt honderden netwerkprotocollen, waaronder die veel gebruikt worden in Industriële Automatisering.
In OT-netwerken is Wireshark een essentieel hulpmiddel voor troubleshooting, protocolanalyse en securityonderzoek, bijvoorbeeld bij Modbus TCP, ProfiNET, OPC UA of ARP-problemen.
🧠 Hoe werkt Wireshark?
- Wireshark luistert naar een netwerkinterface en legt alle pakketten vast (bijv. op een SPAN-poort of TAP)
- Pakketten worden weergegeven in drie delen:
- Pakketlijst (met tijd, bron, doel, protocol)
- Pakketdetails (structuur volgens OSI-model)
- Pakketbytes (hex en ASCII)
- Filters zoals
ip.addr == 192.168.0.10ofmodbusmaken gerichte analyse mogelijk - Ondersteuning voor export naar
.pcap,.csv,.jsonen deelanalyse
Wireshark werkt op Windows, Linux en macOS en ondersteunt zowel Ethernet als draadloze interfaces.
🏭 Toepassing van Wireshark in OT-netwerken
- Analyse van communicatie tussen PLC’s en HMI’s of SCADA
- Troubleshooten van netwerkproblemen (bijv. verkeerd BOOTP/DHCP gedrag, ARP-conflicten)
- Inspecteren van Modbus TCP-verkeer om foutcodes of timeouts te begrijpen
- Verifiëren van tijdsynchronisatie via NTP of PTP
- Opsporen van ongeautoriseerde of abnormale apparaten (via MAC-adres en SNMP)
- Ondersteuning bij cybersecurity-onderzoek, zoals detectie van ARP spoofing of Port scanning
Wireshark is vaak de eerste tool die wordt ingezet bij OT-netwerkincidenten.
🔍 Wireshark vs. tcpdump
| Aspect | Wireshark | tcpdump (CLI-tool) |
|---|---|---|
| Interface | Grafisch (GUI) | Command line |
| Gebruiksgemak | Intuïtief, visueel | Vereist kennis van CLI |
| Filtermogelijkheden | Geavanceerd (display en capture filters) | Ook krachtig, maar zonder visualisatie |
| Toepassing in OT | Ja – breed gebruikt | Ja – vooral op headless systemen |
🔐 Beveiligingsaspecten
- Gebruik alleen Wireshark op gecontroleerde en geautoriseerde netwerken
- Let op met gevoelige data — captured verkeer kan logingegevens of PLC-commando’s bevatten
- Wireshark zelf verstoort geen verkeer, maar het gebruik op SPAN-poorten of TAP’s moet zorgvuldig gebeuren
- Combineer met SIEM voor forensische analyse na incidenten
- Log bestandstoegang en verwijder gevoelige captures na analyse
In productienetwerken is het aan te raden om Wireshark alleen via een read-only switchpoort of TAP te gebruiken.
📌 Samengevat
Wireshark is een onmisbaar diagnostisch hulpmiddel in industriële netwerken, geschikt voor zowel onderhoud als beveiligingsonderzoek. Door zijn uitgebreide protocolondersteuning en visuele filters is het ideaal voor het analyseren van communicatie tussen industriële componenten.