LabEx
AnmeldenKostenlos beitreten

IPv6-Traffic in Tshark analysieren

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab werden Sie lernen, IPv6-Netzwerkverkehr mit dem Befehlszeilentool Tshark von Wireshark zu analysieren. Sie üben essentielle Techniken wie das Erfassen von Paketen mit IPv6-Filtern und das Untersuchen spezifischer Paketdetails, einschließlich Hop-Limits (Hopschranken) und Verkehrsklassen.

Durch praktische Übungen gewinnen Sie Erfahrung beim Erfassen von Live-IPv6-Verkehr und beim Anwenden von Anzeigefiltern zur Analyse von gespeicherten Erfassungen. Das Lab behandelt grundlegende Befehle bis hin zu fortgeschrittenen Analysemethoden unter Nutzung der leistungsstarken Funktionen von Tshark.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/capture_filters("Capture Filters") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") subgraph Lab Skills wireshark/packet_capture -.-> lab-548911{{"IPv6-Traffic in Tshark analysieren"}} wireshark/display_filters -.-> lab-548911{{"IPv6-Traffic in Tshark analysieren"}} wireshark/capture_filters -.-> lab-548911{{"IPv6-Traffic in Tshark analysieren"}} wireshark/packet_analysis -.-> lab-548911{{"IPv6-Traffic in Tshark analysieren"}} end

Erfassen von IPv6 mit -f "ip6"

In diesem Schritt lernen Sie, wie Sie IPv6-Netzwerkverkehr mit der Option -f "ip6" für den Erfassungsfilter von Wireshark erfassen. Dieser Filter stellt sicher, dass nur IPv6-Pakete während des Netzwerk-Sniffing-Prozesses erfasst werden. IPv6 ist die neueste Version des Internetprotokolls und wurde entwickelt, um IPv4 mit seinem größeren Adressraum zu ersetzen. Bei der Analyse von Netzwerkverkehr ist es oft nützlich, sich auf bestimmte Protokolle wie IPv6 zu konzentrieren, um die Störungen in Ihrer Erfassung zu reduzieren.

  1. Öffnen Sie zunächst ein Terminal in Ihrer LabEx-VM, indem Sie auf das Terminal-Symbol auf dem Xfce-Desktop klicken oder die Tastenkombination Strg+Alt+T verwenden. Im Terminal führen Sie alle Befehle für dieses Lab aus.

  2. Navigieren Sie in das Standard-Arbeitsverzeichnis, in dem wir unsere Erfassungsdateien speichern werden:

cd ~/project
  1. Starten Sie Wireshark mit dem IPv6-Erfassungsfilter. Dieser Befehl weist Wireshark an, nur Pakete zu erfassen, die das IPv6-Protokoll verwenden:
sudo wireshark -k -f "ip6" -i any

Lassen Sie uns diesen Befehl zerlegen:

  • -k startet die Erfassung sofort, wenn Wireshark gestartet wird
  • -f "ip6" wendet den IPv6-Erfassungsfilter an (nur IPv6-Pakete werden erfasst)
  • -i any erfasst von allen verfügbaren Netzwerkschnittstellen
  1. Sie sollten sehen, dass die Wireshark-GUI geöffnet wird und nur IPv6-Pakete erfasst werden. Wenn kein IPv6-Verkehr in Ihrem Netzwerk vorhanden ist (was in vielen Umgebungen üblich ist), können Sie Testverkehr generieren, indem Sie eine IPv6-Adresse anpingen:
ping6 -c 4 ipv6.google.com

Der Befehl ping6 sendet ICMPv6-Pakete, um die IPv6-Konnektivität zu testen. Die Option -c 4 sendet genau 4 Pakete und stoppt dann.

  1. Beobachten Sie die erfassten Pakete in Wireshark. Alle angezeigten Pakete sollten IPv6-Pakete sein. Die Paketliste zeigt grundlegende Informationen wie:

    • Quell-IPv6-Adresse (woher das Paket stammt)
    • Ziel-IPv6-Adresse (wohin das Paket geht)
    • Protokoll (welcher Art der IPv6-Verkehr ist)
    • Paketlänge und andere grundlegende Details

  2. Um die Erfassung zu stoppen, wenn Sie mit der Analyse fertig sind, klicken Sie auf die rote Quadrat-Schaltfläche "Stopp" in der Wireshark-Toolbar. Dies wird die Paketanzeige einfrieren, sodass Sie den erfassten Verkehr untersuchen können, ohne dass neue Pakete Ihre Analyse stören.

Filtern von IPv6-Paketen mit -Y "ipv6"

In diesem Schritt lernen Sie, wie Sie Anzeigefilter anwenden, um erfassten IPv6-Verkehr mit der Anzeigefilteroption -Y "ipv6" von Wireshark zu analysieren. Dieser Filter zeigt nur IPv6-Pakete aus einer vorhandenen Erfassungsdatei an und hilft Ihnen, sich auf den IPv6-Verkehr zu konzentrieren, während andere Protokollpakete ignoriert werden.

  1. Stellen Sie zunächst sicher, dass Sie eine Erfassungsdatei aus dem vorherigen Schritt haben. Wenn nicht, erfassen wir zuerst etwas IPv6-Verkehr. Der folgende Befehl startet Wireshark und erfasst nur IPv6-Pakete auf allen Schnittstellen:
cd ~/project
sudo wireshark -k -f "ip6" -i any -w ipv6_capture.pcapng

(Lassen Sie es 10 - 15 Sekunden laufen, um genügend Pakete zu erfassen, und stoppen Sie dann die Erfassung, indem Sie auf die Stopp-Schaltfläche in Wireshark klicken)

  1. Jetzt filtern wir die erfassten IPv6-Pakete mit der Anzeigefilterfunktion von Wireshark. Die Option -Y ermöglicht es uns, anzugeben, was aus der Erfassungsdatei angezeigt werden soll:
sudo wireshark -r ipv6_capture.pcapng -Y "ipv6"

Dieser Befehl macht zwei Hauptsachen:

  • -r weist Wireshark an, aus der angegebenen Erfassungsdatei (ipv6_capture.pcapng) zu lesen
  • -Y wendet den Anzeigefilter "ipv6" an, der nur IPv6-Pakete anzeigt

  1. Wenn Wireshark geöffnet wird, sehen Sie nur IPv6-Pakete in der Schnittstelle angezeigt. Beachten Sie, dass die Anzeigefilterleiste oben "ipv6" als aktiven Filter anzeigt. Dies bedeutet, dass alle Nicht-IPv6-Pakete vorübergehend aus dem Blickfeld entfernt werden.

  2. Versuchen wir einige spezifischere IPv6-Filter, um zu verstehen, wie Anzeigefilter funktionieren. Diese Beispiele zeigen, wie Sie den Verkehr einschränken können:

## Filtern nur von IPv6-ICMP-Paketen (z.B. ping6-Verkehr)
sudo wireshark -r ipv6_capture.pcapng -Y "icmpv6"

## Filtern von IPv6-Verkehr, der eine bestimmte Adresse betrifft (hier wird localhost ::1 als Beispiel verwendet)
sudo wireshark -r ipv6_capture.pcapng -Y "ipv6.addr == ::1"
  1. Wenn Sie verschiedene Filter ausprobieren, beobachten Sie, wie sich die Paketliste sofort aktualisiert. Diese Echtzeitfilterung hilft Ihnen, schnell bestimmte Verkehrsmuster in großen Erfassungsdateien zu finden. Die Syntax der Anzeigefilter ist leistungsstark - Sie können Bedingungen kombinieren, um sehr spezifische Filter zu erstellen.

Überprüfen der Hop Limits mit -z ip6_hop,tree

In diesem Schritt lernen Sie, wie Sie die IPv6 Hop Limit-Werte mit der Statistikfunktion von Wireshark analysieren. Das Hop Limit-Feld in IPv6 ist ähnlich dem TTL (Time To Live)-Feld in IPv4 – es gibt an, wie viele Router (Hops) ein Paket durchlaufen kann, bevor es verworfen wird. Dies ist ein entscheidender Mechanismus, um zu verhindern, dass Pakete unendlich lange im Netzwerk zirkulieren.

  1. Navigieren Sie zunächst in das Projektverzeichnis, in dem wir mit Erfassungsdateien arbeiten werden. Dies stellt sicher, dass alle unsere Dateien an einem Ort organisiert bleiben:
cd ~/project
  1. Wenn Sie noch keine Erfassungsdatei erstellt haben, erstellen wir jetzt eine, die speziell IPv6-Verkehr erfasst. Der Filter -f "ip6" weist Wireshark an, nur IPv6-Pakete zu erfassen, während -i any bedeutet, dass es auf allen verfügbaren Schnittstellen lauscht:
sudo wireshark -k -f "ip6" -i any -w ipv6_hoplimit.pcapng

(Lassen Sie die Erfassung 10 - 15 Sekunden laufen, um genügend Pakete zu sammeln, und stoppen Sie sie dann, indem Sie auf die Stopp-Schaltfläche in Wireshark klicken)

  1. Jetzt verwenden wir Tshark (die Befehlszeilenversion von Wireshark), um die Hop Limit-Werte zu analysieren. Die Option -z ip6_hop,tree erzeugt einen statistischen Baum, der die Verteilung der Hop Limit-Werte in unseren erfassten Paketen zeigt:
sudo tshark -r ipv6_hoplimit.pcapng -z ip6_hop,tree
  1. Die Ausgabe zeigt drei wichtige Informationen zu jedem in den Paketen gefundenen Hop Limit-Wert an:
  • Der tatsächliche Hop Limit-Wert (häufige Werte sind 64, 128 oder 255)
  • Wie viele Pakete diesen spezifischen Hop Limit-Wert hatten
  • Welchen Prozentsatz der Gesamtpakete dieser Wert darstellt
  1. So sieht eine typische Ausgabe aus. Ihre tatsächlichen Zahlen können je nach Netzwerkverkehr variieren:
===================================================================
IPv6 Hop Limit Tree
===================================================================
Hop Limit    Count     %
      64       12    60%
     128        6    30%
     255        2    10%
===================================================================
  1. Für eine detailliertere Ansicht, die auch IPv6-Adressen enthält, können wir diesen Befehl verwenden. Die Option -q macht die Ausgabe leiser, indem sie die Paketanzahlinformationen unterdrückt:
sudo tshark -r ipv6_hoplimit.pcapng -z ip6_hop,ipv6 -q

Anzeigen von Details mit -V

In diesem Schritt werden wir untersuchen, wie man IPv6-Pakete mit dem ausführlichen Modus von Wireshark detailliert analysieren kann. Die Option -V ist besonders nützlich, wenn Sie alle technischen Details eines Netzwerkpakets Schicht für Schicht sehen möchten. Dies hilft beim Verständnis, wie verschiedene Protokolle in der IPv6-Kommunikation interagieren.

  1. Zunächst wechseln wir in das richtige Arbeitsverzeichnis. So können wir unsere Erfassungsdateien einfach zugreifen:
cd ~/project
  1. Wenn Sie noch keine Erfassungsdatei haben, erstellen wir eine neue, die speziell auf IPv6-Verkehr zugeschnitten ist. Der folgende Befehl startet eine Live-Erfassung:
sudo wireshark -k -f "ip6" -i any -w ipv6_verbose.pcapng

(Lassen Sie die Erfassung etwa 10 - 15 Sekunden laufen, um genügend Daten zu sammeln, und stoppen Sie sie dann manuell)

  1. Jetzt verwenden wir Tshark, um die erfassten Pakete detailliert zu untersuchen. Der ausführliche Modus (-V) liefert uns die vollständige Analyse:
sudo tshark -r ipv6_verbose.pcapng -V -c 5

Zerlegung dieses Befehls:

  • -r gibt die Eingabedatei an, aus der gelesen werden soll
  • -V aktiviert die ausführliche Ausgabe, die alle Protokollschichten anzeigt
  • -c 5 begrenzt die Ausgabe auf 5 Pakete, um die erste Analyse zu vereinfachen
  1. Die Ausgabe zeigt mehrere wichtige Abschnitte an:
  • Rahmeninformationen (zeigt, wann und wie das Paket erfasst wurde)
  • Ethernet-Schicht (MAC-Adressen und Details der Vermittlungsschicht)
  • IPv6-Spezifikationen (einschließlich Version, Verkehrsklasse und Flow-Labels)
  • Transportschichtprotokolle (ob es sich um TCP, UDP oder ICMPv6 handelt)
  • Tatsächliche Nutzlastdaten, wenn verfügbar
  1. Wenn wir mit bestimmten Protokollen arbeiten, können wir Filter mit der ausführlichen Ausgabe kombinieren. Dieses Beispiel konzentriert sich nur auf ICMPv6-Pakete:
sudo tshark -r ipv6_verbose.pcapng -Y "icmpv6" -V -c 3
  1. Für die Dokumentation oder eine spätere Analyse können wir die detaillierte Ausgabe in eine Textdatei speichern. So erstellen wir eine dauerhafte Aufzeichnung unserer Untersuchung:
sudo tshark -r ipv6_verbose.pcapng -V > ipv6_packet_details.txt

Zusammenfassung

In diesem Lab haben Sie die wichtigsten Techniken zur Analyse von IPv6-Verkehr mit Tshark, dem Befehlszeilentool von Wireshark, gelernt. Sie haben das Erfassen von IPv6-Paketen mit dem Filter -f "ip6" und die Überwachung von Schnittstellen mit -i any geübt, während Sie die Ergebnisse mit ping6-Testverkehr überprüft haben.

Darüber hinaus haben Sie die fortgeschrittene IPv6-Analyse erkundet, indem Sie Anzeigefilter wie -Y "ipv6" angewendet, Hop Limits mit -z ip6_hop,tree untersucht und detaillierte Paketstrukturen mit der ausführlichen Option -V betrachtet haben. Mit diesen Fähigkeiten können Sie effizient IPv6-Verkehr in Netzwerkumgebungen überprüfen und Probleme beheben.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger