LabEx
AnmeldenKostenlos beitreten

Capture-Dateien in Tshark komprimieren

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, Netzwerkverkehr mit dem Befehlszeilentool tshark von Wireshark aufzunehmen, zu komprimieren und zu analysieren. Sie üben die wichtigen Befehle zur Schnittstellenauswahl, zum Speichern von komprimierten Dateien und zum Lesen von Paketen, während Sie die Datenintegrität überprüfen.

Die Übungen umfassen das Auflisten von Schnittstellen, das Aufnehmen von Liveverkehr und die Inspektion von komprimierten Dateien. Durch die Absolvierung dieses Labs erwerben Sie die Fähigkeiten, um Paketaufzeichnungen in komprimierten Formaten effizient zu verwalten und den Speicherplatz zu optimieren, ohne die Datenqualität zu beeinträchtigen.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/protocol_dissection("Protocol Dissection") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/interface -.-> lab-548918{{"Capture-Dateien in Tshark komprimieren"}} wireshark/packet_capture -.-> lab-548918{{"Capture-Dateien in Tshark komprimieren"}} wireshark/display_filters -.-> lab-548918{{"Capture-Dateien in Tshark komprimieren"}} wireshark/protocol_dissection -.-> lab-548918{{"Capture-Dateien in Tshark komprimieren"}} wireshark/packet_analysis -.-> lab-548918{{"Capture-Dateien in Tshark komprimieren"}} wireshark/commandline_usage -.-> lab-548918{{"Capture-Dateien in Tshark komprimieren"}} end

Netzwerkverkehr mit -i eth1 aufnehmen

In diesem Schritt lernen Sie, wie Sie tshark, die Befehlszeilenversion von Wireshark, verwenden, um Live-Netzwerkverkehr aufzunehmen. Die Option -i ermöglicht es Ihnen, anzugeben, welche Netzwerkschnittstelle überwacht werden soll – ein entscheidender Punkt, wenn Ihr Computer über mehrere Netzwerkverbindungen verfügt.

  1. Zunächst bereiten wir unseren Arbeitsbereich vor. Öffnen Sie das Terminal in Ihrer LabEx-VM und navigieren Sie zum Projektverzeichnis, in dem wir unsere Aufzeichnungen speichern werden:

    cd ~/project

  2. Bevor wir mit der Aufzeichnung beginnen, müssen wir die verfügbaren Netzwerkschnittstellen identifizieren. Führen Sie diesen Befehl aus, um sie aufzulisten:

    tshark -D

    Sie sehen eine Ausgabe, die Ihre Netzwerkschnittstellen auflistet, typischerweise einschließlich:

    1. eth1 (Ihre primäre Ethernet-Schnittstelle)
2. any (alle Schnittstellen)
3. lo (Loopback für interne Kommunikation)

  3. Um mit der Aufzeichnung von Paketen auf Ihrer Hauptnetzwerkschnittstelle (normalerweise eth1) zu beginnen, verwenden Sie:

    tshark -i eth1

    Dadurch wird der Echtzeit-Netzwerkverkehr in Ihrem Terminal angezeigt – jede Zeile repräsentiert ein Paket mit Quell- und Zieladressen sowie Protokollinformationen.

  4. Um die kontinuierliche Aufzeichnung zu stoppen (die andernfalls unendlich laufen würde), drücken Sie Ctrl+C. Das Terminal zeigt dann Aufzeichnungsstatistiken an, einschließlich der insgesamt aufgezeichneten Pakete.

  5. Üben wir, genau 5 Pakete aufzuzeichnen. Die Option -c begrenzt die Anzahl der aufgezeichneten Pakete:

    tshark -i eth1 -c 5

    Dieser Befehl stoppt automatisch nach der Aufzeichnung von 5 Paketen und liefert Ihnen eine überschaubare Stichprobe zum Untersuchen.

Speichern mit Gzip mithilfe von -w capture.pcap.gz

In diesem Schritt werden wir untersuchen, wie Sie Netzwerkverkehrsaufzeichnungen effizient speichern können, indem Sie sie direkt in komprimierter Form mit Tshark speichern. Die Komprimierung hilft, den Speicherplatz zu reduzieren, während alle ursprünglichen Paketdaten beibehalten werden. Die Option -w in Tshark behandelt die Komprimierung automatisch, wenn wir die Dateierweiterung .gz verwenden.

  1. Zunächst navigieren wir in unser Arbeitsverzeichnis, in dem wir die Aufzeichnungsdateien speichern werden. Dadurch stellen wir sicher, dass alle unsere Dateien an einem Ort organisiert bleiben:

    cd ~/project

  2. Jetzt nehmen wir Live-Netzwerkverkehr auf und speichern ihn komprimiert. Der folgende Befehl erledigt auf einmal drei wichtige Dinge:

    • Gibt an, welche Netzwerkschnittstelle überwacht werden soll (eth1)
    • Komprimiert die Ausgabedatei automatisch (beachten Sie die .gz-Erweiterung)
    • Begrenzt die Aufzeichnung auf 10 Pakete zu Demonstrationszwecken
    tshark -i eth1 -w capture.pcap.gz -c 10

    Während der Befehl ausgeführt wird, sehen Sie, wie Tshark jedes aufgezeichnete Paket zählt, bis es 10 erreicht.

  3. Nachdem die Aufzeichnung abgeschlossen ist, überprüfen wir, ob unsere komprimierte Datei korrekt erstellt wurde. Die Optionen -lh zeigen die Dateigröße in menschenlesbarer Form an:

    ls -lh capture.pcap.gz

    Die Ausgabe zeigt die Details der komprimierten Datei, einschließlich ihrer Größe (viel kleiner als eine unkomprimierte Aufzeichnung):

    -rw-r--r-- 1 labex labex 1.2K Mar 1 10:00 capture.pcap.gz

  4. Schließlich können wir direkt aus der komprimierten Datei lesen, ohne sie manuell zu dekomprimieren. Dieser Befehl zeigt nur die ersten 3 Pakete an, um zu bestätigen, dass unsere Aufzeichnung funktioniert hat:

    tshark -r capture.pcap.gz -c 3

    Tshark behandelt die Dekomprimierung automatisch und zeigt Ihnen die Paketdetails genauso an, als hätten Sie eine unkomprimierte Datei verwendet.

Lesen einer komprimierten Datei mit -r capture.pcap.gz

In diesem Schritt werden Sie mit der komprimierten Paketaufzeichnungsdatei (capture.pcap.gz) arbeiten, die Sie zuvor erstellt haben. Wir verwenden das Befehlszeilentool tshark von Wireshark, um diese Datei zu lesen und zu analysieren, ohne sie zunächst manuell dekomprimieren zu müssen. Dies ist besonders nützlich, wenn Sie mit großen Aufzeichnungsdateien arbeiten, die bei Dekomprimierung viel Speicherplatz belegen würden.

  1. Zunächst überprüfen wir, ob wir uns am richtigen Ort befinden und ob unsere komprimierte Aufzeichnungsdatei existiert. Die folgenden Befehle navigieren in das Projektverzeichnis und listen die Datei mit Details auf:

    cd ~/project
ls -l capture.pcap.gz

    Sie sollten die komprimierte Datei mit ihrer Größe und ihren Berechtigungen aufgeführt sehen. Dies bestätigt, dass wir bereit sind, fortzufahren.

  2. Der grundlegende Befehl zum Lesen der komprimierten Aufzeichnungsdatei zeigt Paketzusammenfassungen an. Jede Zeile repräsentiert ein Netzwerkpaket mit wesentlichen Informationen wie Zeitstempel, Quell- und Zieladressen sowie Protokoll:

    tshark -r capture.pcap.gz

    Beachten Sie, dass tshark die Gzip-Komprimierung automatisch behandelt – wir benötigen keine separaten Dekomprimierungsschritte.

  3. Bei der Arbeit mit großen Dateien ist es oft hilfreich, die Ausgabe zu begrenzen. Dieser Befehl zeigt nur die ersten 5 Pakete an, was für eine schnelle Überprüfung nützlich ist:

    tshark -r capture.pcap.gz -c 5

    Die Option -c steht für "count" und steuert, wie viele Pakete angezeigt werden sollen.

  4. Um tiefer in den Paketinhalt einzusteigen, verwenden wir den ausführlichen Modus mit -V. Dieses Beispiel zeigt die vollständigen Details der ersten 3 Pakete, einschließlich aller Protokollheader und Payload-Daten:

    tshark -r capture.pcap.gz -V -c 3

    Die ausführliche Ausgabe ist unschätzbar, wenn Sie bestimmte Paketfelder untersuchen oder Netzwerkprobleme beheben müssen.

  5. Für eine gezielte Analyse können wir Pakete nach Protokoll filtern. Dieser Befehl zeigt die ersten 2 HTTP-Pakete, die in der Aufzeichnung gefunden werden:

    tshark -r capture.pcap.gz -Y "http" -c 2

    Die Option -Y wendet einen Anzeigefilter an (ähnlich der Hauptfiltersyntax von Wireshark).

  6. Schließlich können wir Statistiken über die gesamte Aufzeichnungsdatei erhalten, ohne einzelne Pakete anzuzeigen. Hierzu verwenden wir diesen Zählbefehl:

    tshark -r capture.pcap.gz -q -z io,stat,0

    Die Option -q macht die Ausgabe stumm (unterdrückt die Paketanzeige), während -z verschiedene Statistikoptionen bietet. Dies gibt einen schnellen Überblick über die Größe und den Inhalt der Aufzeichnung.

Überprüfung mit -V

In diesem Schritt werden Sie den leistungsstarken ausführlichen Modus von Wireshark mithilfe der Option -V erkunden. Dieser Modus zeigt die vollständige Protokollanalyse der Pakete an und gibt Ihnen genau Auskunft darüber, was auf jeder Ebene der Netzwerkkommunikation passiert. Dies ist besonders nützlich, wenn Sie den Paketinhalt über die einfachen Header hinaus untersuchen müssen.

  1. Zunächst navigieren wir in unser Arbeitsverzeichnis und überprüfen, ob unsere komprimierte Aufzeichnungsdatei existiert. Der Befehl cd wechselt das Verzeichnis, während ls -l detaillierte Dateiinformationen anzeigt:

    cd ~/project
ls -l capture.pcap.gz

  2. Jetzt verwenden wir -V, um umfassende Protokolldetails anzuzeigen. Die Option -c 3 begrenzt die Ausgabe auf die ersten 3 Pakete, was die Analyse erleichtert:

    tshark -r capture.pcap.gz -V -c 3

    Die Ausgabe jedes Pakets zeigt schichtweise Informationen, einschließlich Ethernet-, IP- und Transportschicht-Header, gefolgt von allen Anwendungsdaten.

  3. Wenn wir uns auf HTTP-Verkehr konzentrieren, kombinieren wir -V mit einem Anzeigefilter (-Y). Dies zeigt nur HTTP-Pakete mit ihren vollständigen Protokolldetails an:

    tshark -r capture.pcap.gz -Y "http" -V -c 2

  4. Für die TCP-Analyse zeigt dieser Befehl ein TCP-Paket mit allen seinen Protokollfeldern an. Sie werden Sequenznummern, Flags, Fenstergröße und andere TCP-spezifische Informationen sehen:

    tshark -r capture.pcap.gz -V -Y "tcp" -c 1

  5. DNS-Abfragen enthüllen in ausführlichem Modus interessante Details. Dies zeigt ein einzelnes DNS-Paket, einschließlich Abfragetyp, -klasse und dem vollständigen Frageteil:

    tshark -r capture.pcap.gz -V -Y "dns" -c 1

  6. Schließlich können wir nach Paketen mit fehlerhaften Prüfsummen suchen. Dies hilft, potenzielle Netzwerkfehler oder Probleme bei der Aufzeichnung zu identifizieren:

    tshark -r capture.pcap.gz -V -Y "tcp.checksum_bad==1" -c 1

Zusammenfassung

In diesem Lab haben Sie gelernt, Netzwerkverkehr effizient mit dem Befehlszeilentool tshark von Wireshark aufzuzeichnen, zu komprimieren und zu analysieren. Sie haben das Aufzeichnen von Live-Verkehr auf der Schnittstelle eth1 mit -i eth1 geübt und direkt komprimierte Dateien im Gzip-Format mit -w capture.pcap.gz gespeichert.

Die Übungen haben gezeigt, wie Sie Paketaufzeichnungen effektiv verwalten können, indem Sie Komprimierung und Analyse kombinieren. Sie haben überprüft, dass Sie komprimierte Dateien ohne manuelle Dekomprimierung mit -r capture.pcap.gz lesen können und haben wichtige Optionen wie -i, -w, -r und -c beherrscht.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger