LabEx
AnmeldenKostenlos beitreten

Live-Netzwerkverkehr mit Tshark aufzeichnen

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, live Netzwerkverkehr mit dem Befehlszeilentool tshark von Wireshark aufzuzeichnen. Sie üben das Identifizieren von Netzwerkschnittstellen mit -D, das Auswählen einer Schnittstelle wie eth0 mit -i und das Aufzeichnen von Paketen mit den Standardeinstellungen.

Das Lab führt Sie durch das Speichern der Aufzeichnungen in einer pcap-Datei mit -w für eine spätere Analyse. Diese grundlegenden Fähigkeiten sind für die Netzwerkfehlersuche und die Verkehrsüberwachung in realen Szenarien unerlässlich.

Auflisten von Schnittstellen mit -D

In diesem Schritt lernen Sie, wie Sie die verfügbaren Netzwerkschnittstellen mit dem Befehlszeilentool tshark von Wireshark auflisten. Netzwerkschnittstellen sind die physischen oder virtuellen Punkte, an denen Ihr Computer mit einem Netzwerk verbunden ist. Bevor Sie Netzwerkverkehr aufzeichnen, ist es wichtig, zu identifizieren, welche Schnittstellen auf Ihrem System aktiv sind, da verschiedene Schnittstellen verschiedene Arten von Netzwerkverkehr verarbeiten.

  1. Öffnen Sie zunächst das Terminal in Ihrer LabEx-VM-Umgebung. Das Terminal ist Ihr Zugangspunkt, um über Befehle mit dem Linux-System zu interagieren. Das Standardarbeitsverzeichnis ist ~/project, was bedeutet, dass alle von Ihnen erstellten Dateien hier gespeichert werden, es sei denn, Sie geben einen anderen Speicherort an.

  2. Um alle verfügbaren Netzwerkschnittstellen aufzulisten, führen Sie den folgenden Befehl aus:

tshark -D
  1. Der Befehl zeigt eine Ausgabe an, die alle Netzwerkschnittstellen auflistet, die zum Aufzeichnen geeignet sind. Eine typische Ausgabe sieht wie folgt aus:
1. eth0
2. any
3. lo (Loopback)
4. nflog
5. nfqueue
6. docker0

  1. Die Option -D ist ein spezielles Befehlsargument, das tshark anweist, die verfügbaren Schnittstellen anzuzeigen. Jede Schnittstelle hat einen bestimmten Zweck:

    • eth0: Dies ist normalerweise Ihre primäre Netzwerkschnittstelle für das Kabelnetz und verarbeitet die meisten externen Netzwerkkommunikationen.
    • lo: Die Loopback-Schnittstelle verarbeitet internen Netzwerkverkehr auf Ihrem eigenen Computer.
    • any: Eine spezielle virtuelle Schnittstelle, die gleichzeitig den Verkehr von allen verfügbaren Schnittstellen aufzeichnet.

  2. Nehmen Sie sich einen Moment Zeit, um die Liste der Schnittstellen sorgfältig zu untersuchen. Sie müssen sich später an diese Schnittstellennamen erinnern, wenn wir beginnen, Pakete aufzuzeichnen, da Sie genau angeben müssen, von welcher Netzwerkschnittstelle Sie den Verkehr überwachen möchten. Die Nummerierung erleichtert die Auswahl von Schnittstellen in nachfolgenden Befehlen.

Auswahl einer Schnittstelle mit -i eth0

In diesem Schritt lernen Sie, wie Sie eine bestimmte Netzwerkschnittstelle für die Paketaufzeichnung mit dem tshark-Tool von Wireshark auswählen. Netzwerkschnittstellen sind die physischen oder virtuellen Punkte, an denen Ihr Computer mit einem Netzwerk verbunden ist. Die Schnittstelle eth0 ist normalerweise der erste Ethernet-Anschluss auf Linux-Systemen und verarbeitet den meisten externen Netzwerkverkehr.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem wir unsere Aufzeichnungsdateien speichern werden:
cd ~/project
  1. Um die Paketaufzeichnung speziell auf der eth0-Schnittstelle zu starten, führen Sie diesen Befehl aus:
sudo tshark -i eth0

  1. Lassen Sie uns verstehen, was jeder Teil dieses Befehls bewirkt:

    • sudo: Gewährt Ihnen die Administratorrechte, die erforderlich sind, um auf Netzwerkschnittstellen zuzugreifen.
    • tshark: Die Befehlszeilenversion von Wireshark.
    • -i eth0: Weist tshark an, auf der eth0-Schnittstelle zu lauschen (ändern Sie dies, wenn Ihr System andere Schnittstellennamen verwendet).

  2. Während der Ausführung sehen Sie den live Netzwerkverkehr in Ihrem Terminal wie folgt angezeigt:

Capturing on 'eth0'
1 0.000000000 192.168.1.100 → 192.168.1.1 TCP 74 55942 → 80 [SYN] Seq=0 Win=64240 Len=0
2 0.000123456 192.168.1.1 → 192.168.1.100 TCP 74 80 → 55942 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0

Jede Zeile repräsentiert ein Netzwerkpaket und zeigt Quell- und Ziel-IPs, den Protokolltyp und andere technische Details an.

  1. Um die Paketaufzeichnung zu stoppen, drücken Sie Ctrl+C. Das Terminal zeigt dann Zusammenfassungsstatistiken über den aufgezeichneten Verkehr an.

  2. Wichtige Hinweise für Anfänger:

    • eth0 ist der Standardname für die erste Ethernet-Schnittstelle auf den meisten Linux-Systemen.
    • Verwenden Sie immer den genauen Schnittstellennamen, den Sie beim Auflisten der Schnittstellen gefunden haben.
    • sudo ist erforderlich, da die Aufzeichnung von Netzwerkverkehr besondere Berechtigungen erfordert.
    • Die Ausgabe zeigt echte Netzwerkkommunikationen, die auf Ihrem System stattfinden.

Starten der Aufzeichnung mit Standard-Einstellungen

In diesem Schritt lernen Sie, wie Sie mit Wireshark's tshark eine grundlegende Paketaufzeichnung mit Standard-Einstellungen starten. Dies baut auf den vorherigen Schritten auf, in denen Sie die Schnittstellen identifiziert und eth0 ausgewählt haben. Wir beginnen damit, den gesamten Netzwerkverkehr auf der eth0-Schnittstelle aufzuzeichnen, die normalerweise die erste Ethernet-Schnittstelle auf Linux-Systemen ist.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem wir unsere Aufzeichnungsdateien speichern werden:
cd ~/project
  1. Um die Paketaufzeichnung mit Standard-Einstellungen auf der eth0-Schnittstelle zu starten, führen Sie folgenden Befehl aus:
sudo tshark -i eth0

Der sudo-Befehl ist erforderlich, da die Aufzeichnung von Netzwerkverkehr Root-Rechte erfordert. Die Option -i eth0 weist tshark an, speziell auf der eth0-Netzwerkschnittstelle zu lauschen.

  1. Wichtige Aspekte dieses Befehls:

    • Es werden alle Pakettypen (TCP, UDP, ICMP usw.) aufgezeichnet, die über eth0 gehen.
    • Es werden Paketzusammenfassungen in Echtzeit angezeigt, während die Pakete aufgezeichnet werden.
    • Es werden die Standard-Aufzeichnungsfilter verwendet (es wird der gesamte Verkehr ohne Filterung aufgezeichnet).
    • Es werden grundlegende Paketinformationen angezeigt, darunter:
      • Paketnummer (fortlaufende Nummer ab 1)
      • Zeitstempel (zeigt, wann jedes Paket aufgezeichnet wurde)
      • Quell- und Ziel-IPs (zeigt, woher der Verkehr kommt und wohin er geht)
      • Protokoll (identifiziert den Typ des Netzwerkprotokolls)
      • Grundlegende Informationen über den Paketinhalt

  2. Sie sollten eine Ausgabe ähnlich der folgenden sehen:

1 0.000000000 192.168.1.100 → 8.8.8.8 DNS 74 Standard query
2 0.000123456 8.8.8.8 → 192.168.1.100 DNS 90 Standard query response

Jede Zeile repräsentiert ein Netzwerkpaket. Der Pfeil (→) zeigt die Richtung des Verkehrsflusses zwischen Quell- und Ziel-IP-Adressen an.

  1. Um die Ausgabe vorübergehend anzuhalten (ohne die Aufzeichnung zu stoppen), drücken Sie Ctrl+S. Drücken Sie Ctrl+Q, um fortzufahren. Dies ist nützlich, wenn Sie bestimmte Pakete untersuchen möchten, ohne dass neue Pakete zu schnell vorbeischrollen.

  2. Denken Sie an diese wichtigen Punkte bei dieser grundlegenden Aufzeichnung:

    • Die Standard-Aufzeichnung zeigt nur die Paket-Header (nicht die vollständige Nutzlast), um die Anzeige überschaubar zu halten.
    • Die Aufzeichnung läuft, bis Sie sie mit Ctrl+C stoppen.
    • Bisher werden keine Pakete auf der Festplatte gespeichert (dazu kommen wir im nächsten Schritt).
    • Die Terminalausgabe ist nur eine Live-Ansicht - wir speichern diese Informationen bisher noch nicht dauerhaft.

Stoppen der Aufzeichnung und Speichern in einer Datei mit -w capture.pcap

In diesem Schritt lernen Sie, wie Sie eine Paketaufzeichnung ordnungsgemäß beenden und die aufgezeichneten Pakete in einer Datei speichern, um sie später zu analysieren. Damit wird unser grundlegender Wireshark/tshark-Arbeitsablauf abgeschlossen. Das Speichern von Paketen in einer Datei ist unerlässlich, wenn Sie den Netzwerkverkehr zu einem späteren Zeitpunkt analysieren oder die Daten mit Kollegen teilen müssen.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem Sie Ihre Aufzeichnungsdatei speichern möchten. Das Verzeichnis ~/project wird häufig für Lab-Übungen verwendet:
cd ~/project
  1. Um eine neue Aufzeichnungssitzung zu starten, die die Pakete automatisch in einer Datei speichert, führen Sie diesen Befehl aus. Die Option -w gibt an, wo tshark die aufgezeichneten Daten speichern soll:
sudo tshark -i eth0 -w capture.pcap

  1. Lassen Sie uns die wichtigsten Aspekte dieses Befehls analysieren:

    • -w capture.pcap: Gibt den Namen der Ausgabedatei an und speichert die Pakete im Standard-PCAP-Format.
    • Die Datei wird in Ihrem aktuellen Arbeitsverzeichnis (~/project) erstellt.
    • Im Gegensatz zur Live-Überwachung läuft dieser Befehl stumm ohne Bildschirmausgabe, während die Daten in die Datei gespeichert werden.
    • Sie benötigen sudo-Berechtigungen, da die Aufzeichnung von Netzwerkverkehr Root-Zugang erfordert.

  2. Lassen Sie die Aufzeichnung etwa 30 Sekunden laufen, um sinnvollen Netzwerkverkehr zu erfassen. Diese Dauer ermöglicht es Ihnen, verschiedene Pakettypen aufzuzeichnen, ohne eine übermäßig große Datei zu erstellen.

  3. Um die Aufzeichnung ordnungsgemäß zu beenden und die Datei abzuschließen, drücken Sie Ctrl+C. Das Terminal zeigt Zusammenfassungsinformationen über Ihre Aufzeichnungssitzung an:

^CCapturing on 'eth0'
45 packets captured
  1. Überprüfen Sie, ob Ihre Aufzeichnungsdatei erfolgreich erstellt wurde, indem Sie den Inhalt des Verzeichnisses auflisten. Die Optionen -lh zeigen die Dateigröße in einem für Menschen lesbaren Format an:
ls -lh capture.pcap
  1. Sie sollten eine Ausgabe ähnlich der folgenden sehen, die zeigt, dass die Datei mit den richtigen Berechtigungen erstellt wurde und aufgezeichnete Daten enthält:
-rw-r--r-- 1 root root 12K Aug 10 15:30 capture.pcap
  1. Wichtige Hinweise zum Umgang mit PCAP-Dateien:
    • PCAP-Dateien können später mit der Wireshark-GUI oder tshark-Befehlen analysiert werden.
    • Die Dateigröße nimmt mit der Dauer der Aufzeichnung zu - beachten Sie den verfügbaren Speicherplatz auf der Festplatte.
    • Verwenden Sie eindeutige Dateinamen für separate Aufzeichnungssitzungen, um ein Überschreiben zu vermeiden.
    • Die Dateierweiterung .pcap ist standardmäßig für Paketaufzeichnungsdateien.
    • Die Root-Eigentümerschaft bedeutet, dass Sie möglicherweise sudo benötigen, um später auf die Datei zuzugreifen.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie mithilfe des Befehlszeilentools tshark von Wireshark live Netzwerkverkehr aufzeichnen können. Sie haben geübt, verfügbare Schnittstellen mit der Option -D aufzulisten und Pakete auf bestimmten Schnittstellen mit dem Parameter -i aufzuzeichnen, während Sie wichtige Netzwerkdetails wie IP-Adressen und Protokolle beobachtet haben.

Diese Übung hat Ihnen praktische Erfahrungen mit grundlegenden tshark-Befehlen vermittelt, einschließlich der richtigen Verwendung von sudo-Berechtigungen und der grundlegenden Aufzeichnungssteuerungen. Diese essentiellen Fähigkeiten bilden die Grundlage für fortgeschrittene Netzwerkanalyse- und Problembehandlungstasks.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger