LabEx
AnmeldenKostenlos beitreten

Drahtlose Frames mit Tshark erfassen

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, drahtlose Netzwerkrahmen mit Tshark, dem Befehlszeilen-Tool von Wireshark, aufzunehmen und zu analysieren. Sie üben das Aktivieren des Monitor-Modus auf einer drahtlosen Schnittstelle, das Aufnehmen von Paketen mit bestimmten Filtern und das Untersuchen von Rahmen-Details in praktischen Übungen.

Das Lab behandelt essentielle Techniken wie die Schnittstellenkonfiguration, die Echtzeit-Paketaufnahme und die gezielte Analyse von 802.11-Beacon-Rahmen. Sie erhalten praktische Erfahrungen mit sowohl Befehlszeilen- als auch GUI-Methoden, um drahtloses Verkehrsaufkommen zu beobachten, das normalerweise in Standard-Netzwerkmodi unsichtbar ist.

Aktivieren des Monitor-Modus mit -I

In diesem Schritt lernen Sie, wie Sie den Monitor-Modus in Wireshark mit der Option -I aktivieren. Der Monitor-Modus ist ein spezieller Modus für drahtlose Schnittstellen, der es Ihrem Netzwerkadapter ermöglicht, gesamten drahtlosen Verkehr auf einem bestimmten Kanal aufzunehmen, einschließlich Paketen, die nicht an Ihr Gerät gerichtet sind. Dies unterscheidet sich vom normalen "Managed-Modus", in dem Ihr Gerät nur Pakete empfängt, die für es bestimmt sind.

Bevor Sie beginnen, müssen wir überprüfen, ob Ihre drahtlose Schnittstelle verfügbar ist. Die meisten Linux-Systeme verwenden wlan0 als Standardname für die drahtlose Schnittstelle. Wir verwenden den Befehl iwconfig zur Überprüfung:

iwconfig

Sie sollten wlan0 in der Liste der Schnittstellen sehen. Wenn Sie einen anderen Namen sehen, müssen Sie ihn in den folgenden Befehlen ersetzen.

Als Nächstes verwenden wir airmon-ng aus der aircrack-ng-Suite, um den Monitor-Modus zu aktivieren. Dieses Tool hilft bei der Verwaltung von drahtlosen Schnittstellen:

sudo airmon-ng start wlan0

Dieser Befehl erstellt eine neue virtuelle Schnittstelle im Monitor-Modus, die normalerweise wlan0mon heißt. Das Suffix "mon" zeigt an, dass sich die Schnittstelle im Monitor-Modus befindet.

Lassen Sie uns überprüfen, ob der Modus aktiv ist, indem wir die Schnittstelleigenschaften prüfen:

iwconfig wlan0mon

Im Ausgabebildschirm suchen Sie nach "Mode:Monitor", was bestätigt, dass die Schnittstelle richtig konfiguriert ist. Hier sehen Sie möglicherweise auch Details zur Frequenz und zum Kanal.

Jetzt können wir Wireshark mit aktiviertem Monitor-Modus starten:

wireshark -I -i wlan0mon

Die Option -I teilt Wireshark speziell mit, den Monitor-Modus zu verwenden, während -i wlan0mon unsere Monitor-Schnittstelle angibt. Ohne diese Optionen würde Wireshark versuchen, im normalen Managed-Modus aufzunehmen.

Wenn Wireshark geöffnet ist, überprüfen Sie die Schnittstellenliste. Sie sollten wlan0mon mit einem Hinweis "(monitor mode)" neben der Schnittstelle sehen. Diese visuelle Bestätigung hilft sicherzustellen, dass Sie gesamten drahtlosen Verkehr richtig aufnehmen.

Starten der Paketaufzeichnung mit -i wlan0

In diesem Schritt nehmen Sie drahtlosen Netzwerkverkehr mit der Befehlszeilenschnittstelle von Wireshark auf. Die Option -i ist von entscheidender Bedeutung, da sie Wireshark mitteilt, welche Netzwerkschnittstelle überwacht werden soll. Da wir mit drahtlosen Netzwerken arbeiten, verwenden wir die im vorherigen Schritt eingerichtete Schnittstelle im Monitor-Modus.

Bevor wir beginnen, lassen Sie uns sicherstellen, dass unsere Schnittstelle im Monitor-Modus richtig eingerichtet ist. Diese Überprüfung stellt sicher, dass wir die richtige Art von drahtlosen Daten aufnehmen:

iwconfig wlan0mon

Suchen Sie im Ausgabebildschirm nach "Mode:Monitor". Dies bestätigt, dass Ihre Schnittstelle bereit ist, gesamten drahtlosen Verkehr in Ihrer Umgebung aufzunehmen, nicht nur den Verkehr, der für Ihr Gerät bestimmt ist.

Jetzt starten wir Wireshark, um mit der Paketaufzeichnung zu beginnen:

wireshark -i wlan0mon

Der Teil -i wlan0mon teilt Wireshark speziell mit, unsere Schnittstelle im Monitor-Modus zu verwenden. Im erscheinenden Wireshark-Fenster:

  • Die Paketliste wird in Echtzeit gefüllt, wenn Geräte in Ihrer Umgebung drahtlose Rahmen senden.
  • Überprüfen Sie, ob "wlan0mon" in der Statusleiste angezeigt wird, um die korrekte Schnittstellenauswahl zu bestätigen.
  • Beobachten Sie, wie der Paketzähler zunimmt, was auf eine erfolgreiche Aufzeichnungsaktivität hinweist.

Um die Paketaufzeichnung zu beenden, wenn Sie fertig sind:

  • Klicken Sie auf die prominente rote "Stop"-Schaltfläche in der Symbolleiste.
  • Alternativ drücken Sie Strg+E, um die Aufzeichnung ein- und auszuschalten.

Für Situationen, in denen Sie lieber in der Kommandozeile arbeiten oder die Aufzeichnung automatisieren müssen, ist Tshark (die Befehlszeilenversion von Wireshark) ideal:

tshark -i wlan0mon -c 10

Dieser Befehl nimmt genau 10 Pakete auf und stoppt dann automatisch, wobei die Ergebnisse direkt in Ihrer Kommandozeile angezeigt werden. Die Option -c steuert, wie viele Pakete vor dem Stoppen aufgenommen werden sollen.

Filtern von Beacon-Frames mit -Y "wlan.fc.type_subtype==0x08"

In diesem Schritt lernen Sie, wie Sie in Wireshark mithilfe der Anzeigefilter-Syntax nach Beacon-Frames filtern. Beacon-Frames sind spezielle Management-Frames (Typ 0x08), die drahtlose Zugangspunkte kontinuierlich senden, um die Präsenz ihres Netzwerks bekannt zu geben. Diese Frames enthalten wichtige Informationen wie den Netzwerknamen (SSID), die unterstützten Datenraten und die Sicherheitseinstellungen.

  1. Stellen Sie zunächst sicher, dass Wireshark läuft und Pakete auf der Schnittstelle wlan0mon aufnimmt (wie im vorherigen Schritt beschrieben):
wireshark -i wlan0mon

Dieser Befehl startet Wireshark und beginnt mit der Paketaufzeichnung auf der Schnittstelle wlan0mon, die bereits im Monitor-Modus sein sollte, wie zuvor eingerichtet.

  1. Im Wireshark-Interface:
    • Suchen Sie die "Filter"-Symbolleiste oben (direkt unter dem Hauptmenü).
    • Geben Sie den Filterausdruck ein:
wlan.fc.type_subtype == 0x08

Dieser Filter teilt Wireshark mit, nur Pakete anzuzeigen, bei denen der Frame-Typ/Untertyp mit Beacon-Frames übereinstimmt (0x08 in Hexadezimalnotation).

  • Drücken Sie die Eingabetaste oder klicken Sie auf "Anwenden", um den Filter zu aktivieren.

  1. In der Paketliste sollten Sie jetzt nur noch Beacon-Frames sehen. Diese zeigen typischerweise:

    • Die Quell-MAC-Adresse des Zugangspunkts (identifiziert das physische Gerät).
    • Die SSID (Netzwerknamen) in den Paketdetails (was Benutzer als WLAN-Namen sehen).
    • Regelmäßige Intervalle (normalerweise alle 100 ms, was das Standard-Beacon-Intervall ist).

  2. Um einen Beacon-Frame im Detail zu untersuchen:

    • Wählen Sie einen beliebigen Beacon-Frame in der Paketliste aus, indem Sie darauf klicken.
    • Erweitern Sie den Abschnitt "IEEE 802.11 Wireless LAN Management Frame" im mittleren Bereich.
    • Hier können Sie wichtige Details wie:
      • Die SSID (unter "Tagged Parameters").
      • Die unterstützten Datenraten.
      • Kanalinformationen.
      • Sicherheitsfunktionen.

  3. Für die Befehlszeilenfilterung mit tshark (nützlich für automatisierte Aufzeichnungen):

tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -c 5

Dieser Befehl nimmt genau 5 Beacon-Frames (-c 5) auf, die unserem Filter (-Y) entsprechen, von der Schnittstelle wlan0mon auf und beendet sich dann automatisch. Die Option -Y in tshark funktioniert ähnlich wie der Anzeigefilter in Wireshark.

Anzeigen von Frames mit -V

In diesem Schritt lernen Sie, wie Sie den ausführlichen Ausgabemodus von Wireshark mit der Option -V nutzen können, um detaillierte Rahmeninformationen im Terminal anzuzeigen. Dies ist besonders nützlich, wenn Sie mit Befehlszeilentools wie tshark arbeiten, da es umfassendere Informationen als die Standardzusammenfassungsansicht bietet.

  1. Stellen Sie zunächst sicher, dass Sie einige aufgezeichnete Beacon-Frames haben (aus dem vorherigen Schritt). Wir verwenden tshark, um sie mit vollständigen Details anzuzeigen:
tshark -r /tmp/capture.pcap -Y "wlan.fc.type_subtype==0x08" -V

Dieser Befehl liest aus Ihrer gespeicherten Aufzeichnungsdatei (/tmp/capture.pcap) und filtert nach Beacon-Frames (Typ/Untertyp 0x08). Die Option -V teilt tshark mit, alle verfügbaren Details zu jedem Rahmen anzuzeigen.

  1. Die Option -V liefert einen ausführlichen Ausgang, der zeigt:

    • Vollständige Rahmenköpfe (einschließlich aller 802.11-Rahmenfelder)
    • Alle Protokollschichten (von der physischen Schicht bis hin zu Anwendungsdaten)
    • Detaillierte Feldwerte (mit Erklärungen, was jeder Wert bedeutet)
    • Hexadezimale Payload-Dumps (nützlich für die Analyse des Rohinhalts von Paketen)

  2. Um live Frames mit ausführlichem Ausgang aufzuzeichnen und anzuzeigen:

tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -V -c 5

Dies wird:

  • Aufzeichnung von der Schnittstelle wlan0mon (Ihre Schnittstelle im Monitor-Modus)
  • Filtern nur nach Beacon-Frames (unter Verwendung des gleichen Filters wie zuvor)
  • Anzeigen des ausführlichen Ausgangs (mit allen oben erläuterten Details)
  • Stoppen nach 5 Frames (der Parameter -c 5 begrenzt die Aufzeichnung)

  1. Wichtige Informationen, die Sie im ausführlichen Ausgang beobachten sollten:

    • Frame Control-Feldwerte (zeigen den Rahmentyp, die Richtung und andere Flags)
    • MAC-Adressen (Quelle, Ziel und BSSID)
    • Beacon-Intervall (wie oft der Zugangspunkt Beacon-Frames sendet)
    • Fähigkeitsinformationen (welche Funktionen der Zugangspunkt unterstützt)
    • Unterstützte Datenraten (die Datenraten, die der Zugangspunkt verarbeiten kann)

  2. Für eine bessere Lesbarkeit, insbesondere bei langen Ausgaben, können Sie die Ausgabe an less weiterleiten:

tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -V -c 5 | less

Dadurch können Sie die Ausgabe Seite für Seite mit den Pfeiltasten durchscrollen, anstatt dass alles auf einmal in Ihr Terminal ausgegeben wird. Drücken Sie 'q', um den less-Viewer zu verlassen, wenn Sie fertig sind.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie drahtlose Frames mit Wireshark im Monitor-Modus aufzeichnen können. Die wichtigsten Schritte umfassten das Aktivieren des Monitor-Modus mit airmon-ng, die Überprüfung des Schnittstellenstatus mit iwconfig und das Starten von Wireshark mit der Option -I für die Aufzeichnung im Monitor-Modus. Sie haben auch gelernt, die Überwachungsschnittstelle mit -i anzugeben und den Echtzeitverkehr zu beobachten.

Darüber hinaus haben Sie Filtertechniken mit -Y für Beacon-Frames und -V für eine detaillierte Analyse kennengelernt. Das Lab hat sowohl GUI- als auch Befehlszeilenmethoden behandelt, einschließlich tshark für headless-Betrieb, und bietet so eine solide Grundlage für die Analyse drahtloser Frames.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger