Wireshark Tutorial: Netwerkverkeer Analyseren voor Beginners

8 min Tools

Alles wat je computer over het netwerk verstuurt — elke website, elke chat, elke download — reist in kleine pakketjes data. Meestal zie je daar niets van. Maar met Wireshark kijk je rechtstreeks onder de motorkap: je ziet elk pakketje, waar het vandaan komt, waar het naartoe gaat en wat erin zit. Daarom is het dé standaard-tool voor netwerkanalyse, gebruikt door netwerkbeheerders, security professionals en ethische hackers. In deze beginnersgids leer je wat packet sniffing is, hoe Wireshark werkt, en hoe je het legaal en zinvol inzet.

Gratis: 9 pagina's uit het Pentest Playbook

Netwerkanalyse hoort bij elke pentest — download Fase 0 en 1: voorbereiding en het doelwit verkennen. Geen account, alleen je email.

Download de gratis sample

Wat is Wireshark?

Wireshark is een gratis, open-source netwerk protocol analyzer. Het project bestaat sinds 1998 (toen nog onder de naam Ethereal) en wordt onderhouden door honderden vrijwilligers wereldwijd. De tool vangt netwerkverkeer op — dat heet een capture — en laat je elk individueel pakket bekijken, filteren en analyseren.

Waar gebruik je Wireshark voor?

  • Netwerkproblemen oplossen - Waarom is de verbinding traag? Welke applicatie veroorzaakt al dat verkeer?
  • Security analyse - Verdacht verkeer herkennen, zoals malware die "naar huis belt"
  • Protocol-onderzoek - Zien hoe HTTP, DNS en TCP er in het echt uitzien
  • Forensisch onderzoek - Achterhalen wat er precies over een netwerk is verstuurd tijdens een incident
  • Leren - Geen betere manier om netwerken te begrijpen dan echt verkeer bekijken
Wireshark zelf valt niets aan en breekt nergens in — het luistert alleen. Toch is ook luisteren aan regels gebonden: verkeer onderscheppen op netwerken die niet van jou zijn is strafbaar. Meer daarover verderop.

Hoe Werkt Packet Sniffing?

Netwerkverkeer reist in lagen, netjes verpakt als een matroesjka-pop. Een pakket bevat van buiten naar binnen:

  1. Ethernet frame - Het fysieke adres (MAC) van de volgende hop
  2. IP-header - Bron- en bestemmings-IP-adres ("van wie, naar wie")
  3. TCP/UDP-header - Poortnummers ("naar welke applicatie")
  4. Payload - De daadwerkelijke data, bijvoorbeeld een stukje webpagina

Normaal verwerkt je netwerkkaart alleen pakketten die voor jouw computer bestemd zijn. In promiscuous mode geeft de kaart alles door wat hij ziet — en dat is precies wat Wireshark nodig heeft om mee te kijken.

Versleuteld verkeer (HTTPS) blijft ook in Wireshark versleuteld: je ziet wél dat er communicatie is met een server, maar niet de inhoud. Dit is precies waarom HTTPS zo belangrijk is — op onversleuteld HTTP leest een sniffer gewoon je wachtwoorden mee. Onthoud dit als je ooit op openbare wifi zit.

De Wireshark Interface in 3 Panelen

Open je Wireshark en start je een capture, dan zie je drie panelen:

  • Packet list (boven) - Elke regel is één pakket: tijdstip, bron, bestemming, protocol en samenvatting
  • Packet details (midden) - De gelaagde opbouw van het geselecteerde pakket, uitklapbaar per protocol-laag
  • Packet bytes (onder) - De rauwe data in hexadecimaal en als tekst

Een capture op een druk netwerk levert al snel duizenden pakketten per seconde op. Zonder filters verdrink je — en daarom zijn filters de belangrijkste Wireshark-vaardigheid die je kunt leren.

Display Filters: je Belangrijkste Gereedschap

Met display filters laat je alleen zien wat relevant is. Een paar voorbeelden die je dagelijks gebruikt:

Filter Wat laat het zien?
ip.addr == 192.168.1.10 Al het verkeer van/naar dit IP-adres
http Alleen onversleuteld webverkeer
dns Alleen DNS-verzoeken ("welke domeinen worden opgezocht?")
tcp.port == 22 SSH-verkeer (poort 22)
tcp.flags.syn == 1 Verbindingspogingen — handig om poortscans te spotten
Herken je tcp.flags.syn? Dat is dezelfde SYN uit de TCP three-way handshake die we uitleggen in onze Nmap beginnersgids. Een poortscan in Wireshark herken je aan honderden SYN-pakketten naar verschillende poorten in korte tijd — zo zie je een nmap-scan dus vanaf de andere kant.

Verdacht Verkeer Herkennen

Waar let een security analist op tijdens een capture? Dit zijn de klassieke rode vlaggen:

  • Poortscans - Eén bron-IP dat in seconden tientallen poorten probeert. In de packet list zie je een waterval van SYN-pakketten zonder voltooide handshakes.
  • Ongebruikelijke DNS-verzoeken - Malware gebruikt vaak DNS om commando's op te halen. Lange, willekeurig ogende subdomeinen (x7f2a9.kwaadaardig-domein.com) zijn verdacht.
  • Verkeer naar onbekende landen/servers - Waarom praat de printer met een server in een ver buitenland? Dat soort vragen wil je stellen.
  • Onversleutelde logins - Zie je http-verkeer met formulierdata, dan gaan wachtwoorden in leesbare tekst over de lijn. Dat is een bevinding voor je rapport.
  • Grote uitgaande datastromen - Een werkstation dat 's nachts gigabytes uploadt kan duiden op data-exfiltratie.

Oefenen Zonder Wireshark te Installeren

Wireshark draait op echte netwerkdata en heeft dus een echte machine nodig. Maar de onderliggende netwerk-concepten — verbindingen, poorten, protocollen — kun je direct oefenen in de HackSimulator.nl terminal. Het command netstat toont bijvoorbeeld welke verbindingen je systeem op dit moment heeft:

$ netstat
Active Internet connections Proto Local Address Foreign Address State tcp 192.168.1.10:443 142.250.179.142:https ESTABLISHED tcp 192.168.1.10:22 192.168.1.50:51234 ESTABLISHED tcp 0.0.0.0:80 *:* LISTEN [TIP] LISTEN = poort wacht op verbindingen. ESTABLISHED = actieve verbinding.

Combineer dit met nmap (welke poorten staan open?) en traceroute (welke route legt verkeer af?) en je hebt de mentale basis die je nodig hebt om Wireshark-captures te begrijpen.

Ethische en Juridische Grenzen

Sniff alleen netwerken die van jou zijn of waar je expliciete, schriftelijke toestemming voor hebt! Het aftappen van andermans netwerkverkeer is in Nederland strafbaar (artikel 139c Wetboek van Strafrecht). Dat geldt ook voor "even meekijken" op openbare wifi in de trein of een café — de wet maakt geen onderscheid tussen nieuwsgierigheid en kwade opzet.

Veilige en legale manieren om te oefenen:

  1. Je eigen thuisnetwerk - Capture je eigen verkeer en analyseer wat jouw apparaten doen
  2. Sample captures - De Wireshark wiki biedt honderden gratis .pcap-bestanden met echt (geanonimiseerd) verkeer, inclusief malware-captures
  3. Eigen lab - Draai virtuele machines en analyseer het verkeer daartussen
  4. CTF-challenges - Veel capture-the-flag wedstrijden bevatten pcap-analyse opdrachten

Wil je een echte pentest leren uitvoeren?

Download het Pentest Playbook — van reconnaissance tot rapportage, met beslisbomen bij elke stap.

Download het Playbook

Aan de Slag: je Eerste Capture in 5 Stappen

  1. Download Wireshark van wireshark.org (Windows, macOS, Linux)
  2. Kies je netwerkinterface - Meestal je wifi-adapter; het grafiekje ernaast toont live activiteit
  3. Start de capture en open een paar websites in je browser
  4. Stop na een minuut en filter op dns - je ziet elk domein dat je computer heeft opgezocht
  5. Klik een pakket aan en vouw de lagen open in het details-paneel - daar is je matroesjka-pop
Schrik niet van de hoeveelheid verkeer die je ziet zonder dat je iets doet. Moderne systemen praten continu met update-servers, cloud-diensten en telemetrie-endpoints. Dat in kaart brengen is op zichzelf al een leerzame eerste oefening.

Samenvatting

Wireshark is de microscoop van de netwerkwereld. Wat je hebt geleerd:

  • Netwerkverkeer reist in gelaagde pakketten: Ethernet IP TCP/UDP payload
  • Wireshark vangt dit verkeer op en maakt elke laag zichtbaar
  • Display filters zoals ip.addr, dns en tcp.port zijn je belangrijkste vaardigheid
  • Verdacht verkeer herken je aan poortscans, vreemde DNS-verzoeken en onverwachte datastromen
  • HTTPS beschermt de inhoud van je verkeer tegen sniffers — onversleuteld HTTP niet
  • Sniffen zonder toestemming is strafbaar; oefen op je eigen netwerk of met sample captures

Volgende stap? Leer eerst poorten scannen met onze Nmap beginnersgids — dan begrijp je beide kanten van het netwerkverhaal. Of bekijk welke andere essentiële security tools je als beginner moet kennen.

Nuttige Resources

Vond je dit artikel nuttig?

HackSimulator.nl is een onafhankelijk project — gebouwd door één developer. Met een koffie help je de simulator gratis houden voor iedereen.

Steun met een koffie Of schrijf je in voor updates

Verder Lezen

Tools

Netwerk Scanning met Nmap

Ontdek open poorten, services en kwetsbaarheden - de eerste stap van elke security audit.

8 min leestijd Tools

5 Essentiële Security Tools

De must-know tools voor elke beginnende ethisch hacker.

8 min leestijd Tools

Hashcat Uitgelegd

Hoe wachtwoord-hashes gekraakt worden met dictionary attacks en GPU-kracht.

8 min leestijd Beginners

Terminal Commands voor Beginners

De basis van de command line: ls, cd, cat en meer - alles wat je moet weten om te starten.

6 min leestijd