LabEx
LoginBeitreten

Live-Traffic-Erfassung in Tshark

WiresharkBeginner
Jetzt üben

Einführung

In diesem Lab lernen Sie, live Netzwerkverkehr mit dem Befehlszeilentool tshark von Wireshark aufzuzeichnen. Sie üben das Identifizieren von Netzwerkschnittstellen mit -D, das Auswählen einer Schnittstelle wie eth1 mit -i und das Aufzeichnen von Paketen mit den Standardeinstellungen.

Das Lab führt Sie durch das Speichern der Aufzeichnungen in einer pcap-Datei mit -w für eine spätere Analyse. Diese grundlegenden Fähigkeiten sind für die Netzwerkfehlersuche und die Verkehrsüberwachung in realen Szenarien unerlässlich.

Schnittstellen mit -D auflisten

In diesem Schritt lernen Sie, wie Sie die verfügbaren Netzwerkschnittstellen mit dem Befehlszeilentool tshark von Wireshark auflisten. Netzwerkschnittstellen sind die physischen oder virtuellen Punkte, an denen Ihr Computer mit einem Netzwerk verbunden ist. Bevor Sie Netzwerkverkehr aufzeichnen, ist es wichtig, zu identifizieren, welche Schnittstellen auf Ihrem System aktiv sind, da verschiedene Schnittstellen verschiedene Arten von Netzwerkverkehr verarbeiten.

  1. Öffnen Sie zunächst das Terminal in Ihrer LabEx-VM-Umgebung. Das Terminal ist Ihr Zugangspunkt, um über Befehle mit dem Linux-System zu interagieren. Das Standardarbeitsverzeichnis ist ~/project, was bedeutet, dass alle von Ihnen erstellten Dateien hier gespeichert werden, es sei denn, Sie geben einen anderen Speicherort an.
Capture-capable network interfaces
  1. Um alle verfügbaren Netzwerkschnittstellen aufzulisten, führen Sie den folgenden Befehl aus:
tshark -D
  1. Der Befehl zeigt eine Ausgabe an, die alle Netzwerkschnittstellen auflistet, die zum Aufzeichnen geeignet sind. Eine typische Ausgabe sieht wie folgt aus:
1. eth1
2. any
3. lo (Loopback)
4. nflog
5. nfqueue
6. docker0

  1. Die Option -D ist ein spezielles Befehlsargument, das tshark anweist, die verfügbaren Schnittstellen anzuzeigen. Jede Schnittstelle hat einen bestimmten Zweck:

    • eth1: Dies ist normalerweise Ihre primäre Netzwerkschnittstelle für das Kabelnetz und verarbeitet die meisten externen Netzwerkkommunikationen.
    • lo: Die Loopback-Schnittstelle verarbeitet internen Netzwerkverkehr auf Ihrem eigenen Computer.
    • any: Eine spezielle virtuelle Schnittstelle, die gleichzeitig den Verkehr von allen verfügbaren Schnittstellen aufzeichnet.

  2. Nehmen Sie sich einen Moment Zeit, um die Liste der Schnittstellen sorgfältig zu untersuchen. Sie müssen sich später an diese Schnittstellennamen erinnern, wenn wir beginnen, Pakete aufzuzeichnen, da Sie genau angeben müssen, von welcher Netzwerkschnittstelle Sie den Verkehr überwachen möchten. Die Nummerierung erleichtert die Auswahl von Schnittstellen in nachfolgenden Befehlen.

Schnittstelle mit -i eth1 auswählen

In diesem Schritt lernen Sie, wie Sie eine bestimmte Netzwerkschnittstelle für die Paketaufzeichnung mit dem tshark-Tool von Wireshark auswählen. Netzwerkschnittstellen sind die physischen oder virtuellen Punkte, an denen Ihr Computer mit einem Netzwerk verbunden ist. Die Schnittstelle eth1 ist normalerweise der erste Ethernet-Anschluss auf Linux-Systemen und verarbeitet den meisten externen Netzwerkverkehr.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem wir unsere Aufzeichnungsdateien speichern werden:
cd ~/project
  1. Um die Paketaufzeichnung speziell auf der eth1-Schnittstelle zu starten, führen Sie diesen Befehl aus:
sudo tshark -i eth1

  1. Lassen Sie uns verstehen, was jeder Teil dieses Befehls bewirkt:

    • sudo: Gewährt Ihnen die Administratorrechte, die erforderlich sind, um auf Netzwerkschnittstellen zuzugreifen.
    • tshark: Die Befehlszeilenversion von Wireshark.
    • -i eth1: Weist tshark an, auf der eth1-Schnittstelle zu lauschen (ändern Sie dies, wenn Ihr System andere Schnittstellennamen verwendet).

  2. Während der Ausführung sehen Sie den live Netzwerkverkehr in Ihrem Terminal wie folgt angezeigt:

Capturing on 'eth1'
1 0.000000000 192.168.1.100 → 192.168.1.1 TCP 74 55942 → 80 [SYN] Seq=0 Win=64240 Len=0
2 0.000123456 192.168.1.1 → 192.168.1.100 TCP 74 80 → 55942 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0

Jede Zeile repräsentiert ein Netzwerkpaket und zeigt Quell- und Ziel-IPs, den Protokolltyp und andere technische Details an.

  1. Um die Paketaufzeichnung zu stoppen, drücken Sie Ctrl+C. Das Terminal zeigt dann Zusammenfassungsstatistiken über den aufgezeichneten Verkehr an.

  2. Wichtige Hinweise für Anfänger:

    • eth1 ist der Standardname für die erste Ethernet-Schnittstelle auf den meisten Linux-Systemen.
    • Verwenden Sie immer den genauen Schnittstellennamen, den Sie beim Auflisten der Schnittstellen gefunden haben.
    • sudo ist erforderlich, da die Aufzeichnung von Netzwerkverkehr besondere Berechtigungen erfordert.
    • Die Ausgabe zeigt echte Netzwerkkommunikationen, die auf Ihrem System stattfinden.

Aufzeichnung mit Standard-Einstellungen starten

In diesem Schritt lernen Sie, wie Sie mit Wireshark's tshark eine grundlegende Paketaufzeichnung mit Standard-Einstellungen starten. Dies baut auf den vorherigen Schritten auf, in denen Sie die Schnittstellen identifiziert und eth1 ausgewählt haben. Wir beginnen damit, den gesamten Netzwerkverkehr auf der eth1-Schnittstelle aufzuzeichnen, die normalerweise die erste Ethernet-Schnittstelle auf Linux-Systemen ist.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem wir unsere Aufzeichnungsdateien speichern werden:
cd ~/project
  1. Um die Paketaufzeichnung mit Standard-Einstellungen auf der eth1-Schnittstelle zu starten, führen Sie folgenden Befehl aus:
sudo tshark -i eth1

Der sudo-Befehl ist erforderlich, da die Aufzeichnung von Netzwerkverkehr Root-Rechte erfordert. Die Option -i eth1 weist tshark an, speziell auf der eth1-Netzwerkschnittstelle zu lauschen.

  1. Wichtige Aspekte dieses Befehls:

    • Es werden alle Pakettypen (TCP, UDP, ICMP usw.) aufgezeichnet, die über eth1 gehen.
    • Es werden Paketzusammenfassungen in Echtzeit angezeigt, während die Pakete aufgezeichnet werden.
    • Es werden die Standard-Aufzeichnungsfilter verwendet (es wird der gesamte Verkehr ohne Filterung aufgezeichnet).
    • Es werden grundlegende Paketinformationen angezeigt, darunter:
      • Paketnummer (fortlaufende Nummer ab 1)
      • Zeitstempel (zeigt, wann jedes Paket aufgezeichnet wurde)
      • Quell- und Ziel-IPs (zeigt, woher der Verkehr kommt und wohin er geht)
      • Protokoll (identifiziert den Typ des Netzwerkprotokolls)
      • Grundlegende Informationen über den Paketinhalt

  2. Sie sollten eine Ausgabe ähnlich der folgenden sehen:

1 0.000000000 192.168.1.100 → 8.8.8.8 DNS 74 Standard query
2 0.000123456 8.8.8.8 → 192.168.1.100 DNS 90 Standard query response

Jede Zeile repräsentiert ein Netzwerkpaket. Der Pfeil (→) zeigt die Richtung des Verkehrsflusses zwischen Quell- und Ziel-IP-Adressen an.

  1. Um die Ausgabe vorübergehend anzuhalten (ohne die Aufzeichnung zu stoppen), drücken Sie Ctrl+S. Drücken Sie Ctrl+Q, um fortzufahren. Dies ist nützlich, wenn Sie bestimmte Pakete untersuchen möchten, ohne dass neue Pakete zu schnell vorbeischrollen.

  2. Denken Sie an diese wichtigen Punkte bei dieser grundlegenden Aufzeichnung:

    • Die Standard-Aufzeichnung zeigt nur die Paket-Header (nicht die vollständige Nutzlast), um die Anzeige überschaubar zu halten.
    • Die Aufzeichnung läuft, bis Sie sie mit Ctrl+C stoppen.
    • Bisher werden keine Pakete auf der Festplatte gespeichert (dazu kommen wir im nächsten Schritt).
    • Die Terminalausgabe ist nur eine Live-Ansicht - wir speichern diese Informationen bisher noch nicht dauerhaft.

Anhalten und in einer Datei speichern mit -w capture.pcap

In diesem Schritt lernen Sie, wie Sie eine Paketerfassungssitzung ordnungsgemäß beenden und die erfassten Pakete zur späteren Analyse in einer Datei speichern. Dies schließt unseren grundlegenden Wireshark/tshark-Workflow ab. Das Speichern von Paketen in einer Datei ist unerlässlich, wenn Sie den Netzwerkverkehr zu einem späteren Zeitpunkt analysieren oder die Daten mit Kollegen teilen müssen.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem Sie Ihre Erfassungsdatei speichern möchten. Das Verzeichnis ~/project wird häufig für LabEx-Übungen verwendet:
cd ~/project
  1. Um eine neue Erfassungssitzung zu starten, die Pakete automatisch in einer Datei speichert, führen Sie diesen Befehl aus. Das Flag -w weist tshark an, wo die erfassten Daten gespeichert werden sollen:
tshark -i eth1 -w capture.pcap

  1. Lassen Sie uns die wichtigsten Aspekte dieses Befehls aufschlüsseln:

    • -w capture.pcap: Gibt den Ausgabedatei-Namen an und speichert Pakete im Standard-PCAP-Format (Packet Capture)
    • Die Datei wird in Ihrem aktuellen Arbeitsverzeichnis (~/project) erstellt
    • Im Gegensatz zur Live-Überwachung läuft dieser Befehl im Hintergrund ohne Bildschirmausgabe, während er in der Datei speichert

    Wichtiger Hinweis zu Berechtigungen:

    • Verwenden Sie sudo nicht mit diesem Befehl (z. B. sudo tshark -i eth1 -w capture.pcap)
    • Das Verzeichnis ~/project verfügt über spezifische Berechtigungen, die den Zugriff einschränken, einschließlich Root-Zugriff
    • Die Ausführung mit sudo führt zu einem "Permission denied"-Fehler (Zugriff verweigert)
    • Verwenden Sie den Befehl ohne sudo, um die ordnungsgemäße Dateierstellung mit den richtigen Berechtigungen sicherzustellen

  2. Lassen Sie die Erfassung etwa 30 Sekunden lang laufen, um aussagekräftigen Netzwerkverkehr zu erfassen. Diese Dauer ermöglicht es Ihnen, verschiedene Arten von Paketen zu erfassen, ohne eine übermäßig große Datei zu erstellen.

  3. Um die Erfassung ordnungsgemäß zu beenden und die Datei fertigzustellen, drücken Sie Ctrl+C. Das Terminal zeigt zusammenfassende Informationen zu Ihrer Erfassungssitzung an:

^CCapturing on 'eth1'
45 packets captured
  1. Überprüfen Sie, ob Ihre Erfassungsdatei erfolgreich erstellt wurde, indem Sie den Verzeichnisinhalt auflisten. Die Flags -lh zeigen die Dateigröße in einem für Menschen lesbaren Format an:
ls -lh capture.pcap
  1. Sie sollten eine ähnliche Ausgabe wie diese sehen, die zeigt, dass die Datei mit den richtigen Berechtigungen erstellt wurde und erfasste Daten enthält:
-rw-r--r-- 1 labex labex 12K Aug 10 15:30 capture.pcap
  1. Wichtige Hinweise zur Arbeit mit PCAP-Dateien:
    • PCAP-Dateien können später mit der Wireshark GUI oder tshark-Befehlen analysiert werden
    • Die Dateigröße nimmt mit der Erfassungsdauer zu - achten Sie auf den Festplattenspeicher
    • Verwenden Sie eindeutige Dateinamen für separate Erfassungssitzungen, um ein Überschreiben zu vermeiden
    • Die Erweiterung .pcap ist Standard für Paketerfassungsdateien

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie mithilfe des Befehlszeilentools tshark von Wireshark live Netzwerkverkehr aufzeichnen können. Sie haben geübt, verfügbare Schnittstellen mit der Option -D aufzulisten und Pakete auf bestimmten Schnittstellen mit dem Parameter -i aufzuzeichnen, während Sie wichtige Netzwerkdetails wie IP-Adressen und Protokolle beobachtet haben.

Diese Übung hat Ihnen praktische Erfahrungen mit grundlegenden tshark-Befehlen vermittelt, einschließlich der richtigen Verwendung von sudo-Berechtigungen und der grundlegenden Aufzeichnungssteuerungen. Diese essentiellen Fähigkeiten bilden die Grundlage für fortgeschrittene Netzwerkanalyse- und Problembehandlungstasks.

Verwandt Wireshark Kurse
Wireshark für Anfänger

Wireshark für Anfänger

cybersecuritywireshark
Cybersicherheitsanalyse mit Wireshark und Tshark

Cybersicherheitsanalyse mit Wireshark und Tshark

cybersecuritywireshark