LabEx
LoginBeitreten

Mehrere Capture-Dateien mit mergecap zusammenführen

Beginner
Jetzt üben

Einleitung

In der Netzwerkanalyse und der IT-Forensik enden Sie oft mit mehreren Paketmitschnittdateien (packet capture files). Diese können aus verschiedenen Zeiträumen, von verschiedenen Netzwerkschnittstellen oder von verschiedenen Maschinen stammen. Die separate Analyse kann umständlich sein und verhindern, dass Sie ein vollständiges Bild eines Netzwerkereignisses erhalten.

mergecap ist ein Kommandozeilenwerkzeug, das mit der Wireshark-Suite geliefert wird. Sein spezifischer Zweck ist die Kombination mehrerer Mitschnittdateien zu einer einzigen Ausgabedatei. Es fasst die Pakete aus den Eingabedateien intelligent in chronologischer Reihenfolge basierend auf ihren Zeitstempeln zusammen und schafft so eine einheitliche Ansicht für die Analyse.

In diesem Lab lernen Sie, wie Sie mergecap verwenden, um mehrere Beispiel-Mitschnittdateien zusammenzuführen.

Identifizieren mehrerer .cap-Dateien aus verschiedenen Scans

In diesem Schritt identifizieren Sie die Beispiel-Mitschnittdateien (capture files), die für Sie in der Laborumgebung vorbereitet wurden. In einem realen Szenario könnten diese Dateien durch die Ausführung von tcpdump oder Wireshark zu verschiedenen Zeiten generiert worden sein.

Unser Setup-Skript hat bereits drei Dateien erstellt: scan1.pcap, scan2.pcap und scan3.pcap. Lassen Sie uns den Inhalt des aktuellen Verzeichnisses auflisten, um sie zu sehen. Alle Ihre Arbeiten werden im Verzeichnis ~/project durchgeführt.

Verwenden Sie den Befehl ls -l, um die Dateien mit Details aufzulisten:

ls -l

Sie sollten eine Ausgabe ähnlich der folgenden sehen, die die Anwesenheit unserer drei Mitschnittdateien bestätigt. Die Größen und Zeitstempel können leicht variieren.

total 12
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan1.pcap
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan2.pcap
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan3.pcap

Diese drei .pcap-Dateien repräsentieren die verschiedenen Datenquellen, die wir kombinieren möchten.

Verstehen, warum das Zusammenführen von Dateien für die Analyse nützlich ist

In diesem Schritt werden wir die Vorteile des Zusammenführens von Mitschnittdateien (capture files) diskutieren. Hier sind keine Befehle auszuführen; dieser Abschnitt dient dem konzeptionellen Verständnis.

Wenn Sie ein Netzwerkproblem oder einen Sicherheitsvorfall untersuchen, ist es entscheidend, alle relevanten Daten an einem Ort zu haben. Hier sind die Gründe, warum das Zusammenführen so nützlich ist:

  1. Chronologische Analyse: mergecap sortiert Pakete aus allen Eingabedateien automatisch nach ihrem Zeitstempel. Dies ermöglicht es Ihnen, eine einzige, chronologische Zeitachse von Ereignissen zu rekonstruieren, was für das Verständnis von Ursache und Wirkung unerlässlich ist.
  2. Vereinfachter Workflow: Anstatt drei separate Dateien in Wireshark zu öffnen und ständig zwischen ihnen zu wechseln, können Sie mit einer einzigen, konsolidierten Datei arbeiten. Dies macht das Filtern, Suchen und Analysieren von Daten wesentlich effizienter.
  3. Umfassende Ansicht: Stellen Sie sich vor, Sie haben gleichzeitig den Datenverkehr auf einem Client-Computer und einem Server erfasst. Das Zusammenführen dieser beiden Mitschnitte ermöglicht es Ihnen, beide Seiten der Konversation in einem einzigen Datenstrom zu sehen und so ein vollständiges Bild der Interaktion zu erhalten.

Durch das Zusammenführen von Dateien verwandeln Sie fragmentierte Daten in ein kohärentes und analysierbares Ganzes.

Verwenden des mergecap-Befehls aus der Wireshark-Suite

In diesem Schritt lernen Sie den mergecap-Befehl selbst kennen. Das Setup-Skript hat bereits das tshark-Paket installiert, das das mergecap-Dienstprogramm enthält.

Um sicherzustellen, dass mergecap verfügbar ist und um seine grundlegenden Nutzungshinweise zu sehen, können Sie seine Hilfeseite aufrufen. Dies ist eine gute Praxis, um die Fähigkeiten jedes Befehlszeilenwerkzeugs zu verstehen.

Führen Sie den Befehl mergecap mit dem Flag -h (help) aus:

mergecap -h

Dies zeigt eine Liste aller verfügbaren Optionen und deren Beschreibungen an. Die Ausgabe wird ungefähr so aussehen:

Mergecap (Wireshark) 4.0.x
Merge two or more capture files into one.
See https://www.wireshark.org for more information.

Usage: mergecap [options] -w <outfile>|- <infile> [<infile> ...]

Output:
  -w <outfile>|-      set the output filename to <outfile> or '-' for stdout
  -a                  append packets to the end of the output file
...

Achten Sie genau auf die Option -w <outfile>. Dies ist das wichtigste Flag, da es mergecap mitteilt, wo die kombinierte Ausgabe gespeichert werden soll.

Geben Sie die Ausgabedatei mit -w und alle Eingabedateien an

In diesem Schritt führen Sie die eigentliche Zusammenführungsoperation durch. Die Syntax ist einfach: Sie geben die Ausgabedatei mit -w an und listen dann alle Eingabedateien auf, die Sie zusammenführen möchten.

Wir werden scan1.pcap, scan2.pcap und scan3.pcap zu einer einzigen neuen Datei namens merged_scans.pcap kombinieren.

Führen Sie den folgenden Befehl in Ihrem Terminal aus:

mergecap -w merged_scans.pcap scan1.pcap scan2.pcap scan3.pcap

Der Befehl erzeugt bei Erfolg keine Ausgabe. Um zu bestätigen, dass die neue Datei erstellt wurde, listen Sie die Dateien im Verzeichnis erneut auf:

ls -l

Sie sollten nun die Datei merged_scans.pcap in der Liste sehen. Ihre Größe sollte ungefähr der Summe der drei Eingabedateien entsprechen.

total 16
-rw-r--r-- 1 labex labex 208 Oct 26 10:35 merged_scans.pcap
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan1.pcap
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan2.pcap
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan3.pcap

Sie haben die drei Quelldateien erfolgreich zu einer zusammengeführt.

Überprüfen, ob die zusammengeführte Datei Daten aus allen Quellen enthält

In diesem Schritt überprüfen Sie, ob die zusammengeführte Datei tatsächlich die kombinierten Daten aus allen Quelldateien enthält. Eine einfache Methode hierfür ist, die Anzahl der Pakete in den Originaldateien zu überprüfen und sie mit der Anzahl der Pakete in der zusammengeführten Datei zu vergleichen.

Das Tool capinfos, ebenfalls Teil der Wireshark-Suite, liefert zusammenfassende Statistiken für Capture-Dateien. Überprüfen wir zunächst die Paketanzahl für eine der Originaldateien:

capinfos scan1.pcap

Die Ausgabe zeigt verschiedene Details zur Datei an. Suchen Sie nach der Zeile "Number of packets".

File name:           scan1.pcap
File type:           pcapng
...
Number of packets:   5
...

Wie Sie sehen können, enthält scan1.pcap 5 Pakete. Da wir alle drei Quelldateien mit jeweils 5 Paketen erstellt haben, sollte die zusammengeführte Datei insgesamt 15 Pakete enthalten.

Führen Sie nun capinfos für die zusammengeführte Datei aus:

capinfos merged_scans.pcap

Überprüfen Sie die Paketanzahl in der Ausgabe:

File name:           merged_scans.pcap
File type:           pcapng
...
Number of packets:   15
...

Die "Number of packets" beträgt 15, was bestätigt, dass die Daten aus allen drei Quelldateien erfolgreich in merged_scans.pcap kombiniert wurden.

Zusammenfassung

In diesem Lab haben Sie eine grundlegende Fähigkeit für die Netzwerktraffic-Analyse erlernt. Sie haben damit begonnen, mehrere separate Paketaufzeichnungsdateien zu identifizieren. Anschließend haben Sie die Kernsyntax des Befehls mergecap kennengelernt und ihn verwendet, um die separaten Dateien zu einer einzigen, einheitlichen Capture-Datei zu kombinieren. Schließlich haben Sie das Dienstprogramm capinfos verwendet, um zu überprüfen, ob die Zusammenführung erfolgreich war, indem Sie bestätigt haben, dass die Gesamtzahl der Pakete in der neuen Datei der Summe der Pakete aus den Quelldateien entsprach.

Sie sind nun in der Lage, Netzwerkerfassungen aus verschiedenen Quellen zu konsolidieren, was Ihren Analyse-Workflow erheblich vereinfacht.