LabEx
AnmeldenKostenlos beitreten

Zeitstempelanzeige in Tshark anpassen

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, die Zeitstempelanzeige in Wireshark's tshark-Utility anzupassen, um die Netzwerkanalyse zu verbessern. Sie werden wichtige Techniken erkunden, wie das Lesen von PCAP-Dateien mit -r und das Formatieren von Zeitstempeln in UTC (-t u) oder Epoch-Zeit (-t e).

Die praktischen Übungen werden Sie durch die Anwendung verschiedener Zeitstempelformate führen, um verschiedene Analyseanforderungen zu erfüllen. Sie werden Befehle wie tshark -r capture.pcap -t u üben, um die Zeitanzeige über verschiedene Zeitzonen hinweg zu standardisieren oder präzise Epoch-Zeitangaben zu erhalten.

Datei mit -r capture.pcap lesen

In diesem Schritt lernen Sie, wie Sie eine Paketaufzeichnungsdatei mit dem Befehlszeilentool tshark von Wireshark mithilfe der Option -r lesen. PCAP-Dateien enthalten Rohdaten des Netzwerkverkehrs, die von einer Netzwerkschnittstelle aufgezeichnet wurden, und tshark hilft uns, diese Daten zu analysieren, ohne die grafische Wireshark-Oberfläche zu verwenden.

Zunächst navigieren wir in das Verzeichnis, in dem unsere Aufzeichnungsdatei gespeichert ist. Dadurch können wir die Datei ohne Angabe des vollständigen Pfads zugreifen:

cd ~/project

Die Option -r (kurz für "read", dt. "lesen") teilt tshark mit, Pakete aus einer angegebenen Aufzeichnungsdatei statt aus Live-Netzwerkverkehr zu lesen. In unserem Fall werden wir eine vordefinierte Beispieldatei namens capture.pcap analysieren, die typische Netzwerkkommunikationsdaten enthält.

Um die grundlegenden Paketinformationen aus unserer Aufzeichnungsdatei anzuzeigen, führen Sie folgenden Befehl aus:

tshark -r capture.pcap

Dieser Befehl zeigt Ihnen eine sequenzielle Liste aller Pakete in der Datei an, wobei jede Zeile ein Netzwerkpaket darstellt. Die Ausgabe enthält mehrere wichtige Felder:

  • Paketnummern (zeigen die Reihenfolge der Aufzeichnung an)
  • Zeitstempel (aufzeichnen, wann jedes Paket aufgezeichnet wurde)
  • Quell- und Ziel-IP-Adressen
  • Protokolltypen (wie TCP, UDP oder ICMP)
  • Paketgrößen in Bytes
  • Kurze Beschreibungen des Paketinhaltes

Hier ist ein Beispiel für die Ausgabe bei der Herstellung einer TCP-Verbindung:

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 34512 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 66 34512 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0

In diesem Beispiel sehen wir zwei Pakete: Das erste ist ein TCP-SYN-Paket, das eine Verbindung von 192.168.1.1 zu 192.168.1.2 auf Port 443 initiiert, und das zweite ist das antwortende SYN-ACK-Paket. Die Option -r ist unerlässlich für die Untersuchung von zuvor aufgezeichnetem Netzwerkverkehr und bildet die Grundlage für fortgeschrittenere Paketanalyseverfahren.

UTC-Format mit -t u festlegen

In diesem Schritt werden wir untersuchen, wie man Paketzeitstempel im UTC-Format (Koordinierte Weltzeit, englisch: Coordinated Universal Time) mithilfe des Befehlszeilentools tshark von Wireshark anzeigt. Die Option -t u ist besonders wertvoll, wenn Sie mit Netzwerkverkehr arbeiten, der mehrere Zeitzonen umfasst, da sie einen standardisierten Zeitbezug bietet.

Bevor wir beginnen, stellen wir sicher, dass wir uns im richtigen Arbeitsverzeichnis befinden, in dem sich unsere Paketaufzeichnungsdatei befindet:

cd ~/project

Der Parameter -t u teilt tshark mit, alle Zeitstempel in das UTC-Format umzuwandeln. Dies unterscheidet sich von der lokalen Systemzeit. Wir kombinieren dies mit der Option -r (die Sie in vorherigen Schritten gelernt haben), um unsere Beispielaufzeichnungsdatei zu lesen:

tshark -r capture.pcap -t u

Nachdem Sie diesen Befehl ausgeführt haben, sehen Sie eine Ausgabe ähnlich der folgenden, mit eindeutigen UTC-Zeitstempeln:

1 2023-01-01 00:00:00.000000 UTC 192.168.1.1 → 192.168.1.2 TCP 66 443 → 34512 [SYN] Seq=0 Win=64240 Len=0
2 2023-01-01 00:00:00.000123 UTC 192.168.1.2 → 192.168.1.1 TCP 66 34512 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0

Beachten Sie, dass jeder Zeitstempel jetzt die Angabe "UTC" enthält. Dieses Format ist besonders nützlich, wenn Sie Protokolle von Servern an verschiedenen geografischen Standorten analysieren oder mit Teammitgliedern in verschiedenen Zeitzonen zusammenarbeiten. Das UTC-Format beseitigt die Verwirrung über Zeitbezüge, da es nicht von den lokalen Zeiteinstellungen abhängt.

Um den Unterschied besser zu verstehen, möchten Sie möglicherweise diese Ausgabe mit dem Standardformat der lokalen Zeit aus vorherigen Übungen vergleichen. Dies hilft Ihnen zu sehen, wie dieselben Netzwerkevents in verschiedenen Zeitdarstellungen erscheinen.

Epoch-Zeit mit -t e verwenden

In diesem Schritt lernen Sie, wie Sie Paketzeitstempel im Epoch-Format (auch Unix-Zeit genannt) mithilfe des Befehlszeilentools tshark von Wireshark anzeigen. Die Option -t e teilt tshark mit, die Zeitstempel als Epoch-Zeit anzuzeigen, die die Anzahl der Sekunden seit dem 1. Januar 1970 zählt. Dieses Format ist besonders hilfreich, wenn Sie genaue Zeitberechnungen durchführen oder mit anderen Systemen integrieren müssen, die Epoch-Zeit verwenden.

Bevor wir beginnen, stellen wir sicher, dass wir uns im richtigen Arbeitsverzeichnis befinden, in dem unsere Paketaufzeichnungsdatei gespeichert ist:

cd ~/project

Jetzt verwenden wir die Option -t e zusammen mit -r (kurz für "read", dt. "lesen"), um unsere Beispiel-Paketaufzeichnungsdatei zu verarbeiten. Die grundlegende Befehlsstruktur ist einfach: Geben Sie nach -r die Eingabedatei an und fügen Sie -t e für die Epoch-Zeitformatierung hinzu:

tshark -r capture.pcap -t e

Nachdem Sie diesen Befehl ausgeführt haben, sehen Sie eine Ausgabe ähnlich der folgenden, wobei die zweite Spalte die Epoch-Zeitstempel zeigt:

1 1672531200.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 34512 [SYN] Seq=0 Win=64240 Len=0
2 1672531200.000123 192.168.1.2 → 192.168.1.1 TCP 66 34512 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0

Beachten Sie, wie jeder Zeitstempel als Dezimalzahl erscheint - der Teil vor dem Dezimalpunkt repräsentiert ganze Sekunden, während der Nachkommastellenanteil Mikrosekunden zeigt. Diese Präzision macht die Epoch-Zeit in mehreren Szenarien wertvoll:

  • Messen genauer Zeitintervalle zwischen Netzwerkevents
  • Abgleichen von Paketaufzeichnungen mit Systemprotokollen, die Epoch-Zeit verwenden
  • Durchführen mathematischer Operationen auf Zeitstempeln in Skripten oder Analysetools

Um den Unterschied besser zu verstehen, möchten Sie möglicherweise diese Ausgabe mit den Ergebnissen aus dem vorherigen UTC-Format-Beispiel vergleichen. Das Nebeneinanderbetrachten beider Formate hilft Ihnen zu erkennen, wie derselbe Zeitpunkt auf verschiedene Weise dargestellt werden kann.

Pakete mit -P anzeigen

In diesem Schritt lernen Sie, wie Sie Paketzusammenfassungen in einem lesbareren Format anzeigen können, indem Sie Wiresharks tshark mit der Option -P verwenden. Diese Option bietet ein saubereres Ausgabeformat, das einfacher zu lesen und zu analysieren ist, insbesondere wenn Sie gerade erst mit der Paketanalyse beginnen.

Stellen Sie zunächst sicher, dass Sie sich im richtigen Verzeichnis befinden, in dem sich Ihre Aufzeichnungsdatei befindet. Dies ist wichtig, da tshark wissen muss, wo es die Paketaufzeichnungsdatei finden kann:

cd ~/project

Die Option -P ändert die Art und Weise, wie tshark die Paketinformationen anzeigt. Anstatt alles in einer einzigen kompakten Zeile anzuzeigen (was schwer zu lesen sein kann), zeigt es jedes Informationsstück in einer eigenen Zeile in einem vertikalen Format an. Dies macht es viel einfacher, spezifische Felder auf einen Blick zu identifizieren. Verwenden wir es mit unserer Beispielaufzeichnungsdatei:

tshark -r capture.pcap -P

So könnte ein typisches Paket in diesem Format aussehen:

Packet 1:
    Arrival Time: Jan  1, 2023 00:00:00.000000000 UTC
    Epoch Time: 1672531200.000000000 seconds
    Frame Number: 1
    Frame Length: 66 bytes
    Protocols: eth:ethertype:ip:tcp
    Source: 192.168.1.1
    Destination: 192.168.1.2
    Source Port: 443
    Destination Port: 34512
    TCP Flags: 0x002 (SYN)

Das -P-Format ist in mehreren Situationen besonders nützlich:

  • Wenn Sie schnell spezifische Felder in Paketen überprüfen müssen, ohne Ihre Augen zu strapazieren
  • Wenn Sie die Ausgabe an andere Befehle weiterleiten möchten, um sie weiter zu verarbeiten, da das strukturierte Format das Parsen erleichtert
  • Wenn Sie eine organisiertere Ansicht der Paketinformationen bevorzugen, ähnlich wie die GUI von Wireshark Pakete anzeigt

Wenn Sie tshark zuvor ohne die Option -P verwendet haben, werden Sie sofort bemerken, wie viel lesbarer dieses Format ist. Jedes Informationsstück hat seine eigene klare Zeile, was es einfacher macht, genau das zu finden, wonach Sie in den Paketdetails suchen.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie die Anzeige von Zeitstempeln in Tshark mithilfe praktischer Befehlszeilenoptionen anpassen können. Die Übungen haben gezeigt, wie Sie Paketaufzeichnungen mit -r capture.pcap lesen und Zeitstempel im UTC-Format mit -t u formatieren können, um eine konsistente Zeitzonenanalyse durchzuführen.

Sie haben auch gelernt, das Epoch-Zeitformat mit -t e für eine genaue Darstellung von Zeitstempeln zu verwenden und die Option -P für eine detaillierte Paketausgabe zu nutzen. Diese Techniken verbessern die Netzwerkverkehrsanalyse, indem sie flexible Zeitstempelformate bieten und gleichzeitig klare Workflows für die Paketüberprüfung gewährleisten.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger