Protokolle in Tshark deaktivieren

Einführung

In diesem Lab lernen Sie, wie Sie die Protokollanalyse in Wireshark's Befehlszeilentool tshark steuern können, indem Sie Protokolle selektiv deaktivieren und aktivieren. Sie üben das Lesen von Paketaufzeichnungen mit -r, das Ausschließen von UDP-Verkehr mit --disable-protocol udp und die Überprüfung der Ergebnisse mit ausführlicher Ausgabe (-V).

Die Übungen bieten praktische Erfahrungen mit Protokollfilterung, Ausgabevergleich und Anzeigesteuerung. Sie arbeiten mit einer Beispiel-Datei capture.pcap, während Sie in einer strukturierten Lab-Umgebung die wesentlichen tshark-Befehle lernen.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/protocol_dissection("Protocol Dissection") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548922{{"Protokolle in Tshark deaktivieren"}} wireshark/protocol_dissection -.-> lab-548922{{"Protokolle in Tshark deaktivieren"}} wireshark/packet_analysis -.-> lab-548922{{"Protokolle in Tshark deaktivieren"}} wireshark/commandline_usage -.-> lab-548922{{"Protokolle in Tshark deaktivieren"}} end

Datei mit -r capture.pcap lesen

In diesem Schritt lernen Sie, wie Sie eine Paketaufzeichnungsdatei mit Wireshark's Befehlszeilentool tshark und der Option -r lesen können. Dies ist der erste Schritt bei der Analyse von Netzwerkverkehr aus einer zuvor aufgezeichneten Aufzeichnungsdatei. Das -r-Flag teilt tshark mit, Pakete aus einer Datei zu lesen, anstatt live Netzwerkverkehr aufzuzeichnen.

Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem die Paketaufzeichnungsdatei gespeichert ist. Dies ist wichtig, da tshark wissen muss, wo es die Datei finden kann:
```
cd ~/project
```
Die Lab-Umgebung bietet eine Beispiel-Paketaufzeichnungsdatei namens capture.pcap. Lassen Sie uns deren Existenz überprüfen und ihre Eigenschaften prüfen, bevor wir fortfahren. Der Befehl ls -l zeigt detaillierte Dateiinformationen wie Größe und Berechtigungen an:
```
ls -l capture.pcap
```
Sie sollten eine Ausgabe ähnlich der folgenden sehen:
```
-rw-r--r-- 1 labex labex 12345 Jan 1 00:00 capture.pcap
```
Jetzt lesen wir die Aufzeichnungsdatei mit tshark. Der grundlegende Befehl zeigt einfach eine Zusammenfassung jedes Pakets an, einschließlich Zeitstempel, Quell- und Zieladressen sowie des Protokolls:
```
tshark -r capture.pcap
```
Für eine tiefere Analyse können wir das -V-Flag verwenden, um eine ausführliche Ausgabe zu sehen. Dies zeigt alle Protokolldetails und Paketinhalt in einer hierarchischen Struktur an, was nützlich ist, wenn Sie bestimmte Protokollfelder untersuchen müssen:
```
tshark -r capture.pcap -V
```
Wenn Sie mit großen Aufzeichnungsdateien arbeiten, möchten Sie möglicherweise die Ausgabe begrenzen. Die Option -c lässt Sie angeben, wie viele Pakete angezeigt werden sollen. Hier zeigen wir nur die ersten 5 Pakete:
```
tshark -r capture.pcap -c 5
```

UDP mit --disable-protocol udp deaktivieren

In diesem Schritt lernen Sie, wie Sie den UDP (User Datagram Protocol)-Verkehr beim Analysieren von Paketaufzeichnungen mit Wireshark's Befehlszeilentool tshark herausfiltern können. UDP ist ein gängiges Transportschichtprotokoll, aber manchmal möchten Sie es möglicherweise ausschließen, um sich auf die Analyse anderer Protokolle wie TCP zu konzentrieren. Die Option --disable-protocol ermöglicht es Ihnen, UDP-Pakete während der Analyse vollständig zu ignorieren.

Stellen Sie zunächst sicher, dass Sie sich immer noch im richtigen Arbeitsverzeichnis befinden, in dem sich Ihre Paketaufzeichnungsdatei befindet. Dies stellt sicher, dass alle Befehle mit der richtigen Datei funktionieren:
```
cd ~/project
```
Um die UDP-Protokollanalyse beim Lesen der Aufzeichnungsdatei zu deaktivieren, verwenden Sie die Option --disable-protocol gefolgt vom Protokollnamen. Dies teilt tshark mit, alle Pakete, die UDP verwenden, zu überspringen:
```
tshark -r capture.pcap --disable-protocol udp
```
Vergleichen wir diese gefilterte Ausgabe mit der ursprünglichen, ungefilterten Ausgabe aus Schritt 1. Der Befehl head -n 10 zeigt nur die ersten 10 Zeilen der Ausgabe an, um den Vergleich zu erleichtern:
```
tshark -r capture.pcap --disable-protocol udp | head -n 10
```
Sie sollten bemerken, dass UDP-Pakete jetzt aus der Ausgabe fehlen.
Um ordnungsgemäß zu überprüfen, dass UDP-Pakete ausgeschlossen werden, können wir sie vor und nach der Anwendung des Filters zählen. Der erste Befehl zählt alle UDP-Pakete in der ursprünglichen Datei, während der zweite 0 zurückgeben sollte, da wir die UDP-Verarbeitung deaktiviert haben:
```
## Zähle alle UDP-Pakete in der ursprünglichen Aufzeichnung
tshark -r capture.pcap -Y "udp" | wc -l

## Zähle UDP-Pakete nach Deaktivierung des Protokolls (sollte 0 sein)
tshark -r capture.pcap --disable-protocol udp -Y "udp" | wc -l
```
Sie können die Protokolldeaktivierung mit anderen Anzeigefiltern kombinieren. Dieses Beispiel zeigt nur TCP-Verkehr, während alle UDP-Pakete auf Verarbeitungsebene vollständig ignoriert werden:
```
tshark -r capture.pcap --disable-protocol udp -Y "tcp"
```
Denken Sie daran, dass --disable-protocol anders funktioniert als Anzeigefilter (-Y) - es verhindert, dass tshark das Protokoll überhaupt verarbeitet, anstatt es nur aus der Ansicht zu verbergen.

Exklusion mit -V überprüfen

In diesem Schritt werden wir überprüfen, ob Tshark die UDP-Pakete korrekt von der Analyse ausschließt. Das ausführliche (-V)-Flag ermöglicht es uns, detaillierte Paketinformationen anzuzeigen, was hilft, zu bestätigen, ob unsere Einstellung --disable-protocol udp ordnungsgemäß funktioniert. Dies ist wichtig, da die Netzwerkanalyse oft darauf abzielt, sich auf bestimmte Protokolle zu konzentrieren, während andere ignoriert werden.

Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem sich Ihre Paketaufzeichnungsdatei befindet:
```
cd ~/project
```
Führen Sie nun tshark mit beiden Flags, dem Protokoll deaktivieren und dem ausführlichen Flag, aus. Der Befehl head -n 30 zeigt nur die ersten 30 Zeilen der Ausgabe an, was die Überprüfung erleichtert:
```
tshark -r capture.pcap --disable-protocol udp -V | head -n 30
```
Untersuchen Sie die Ausgabe sorgfältig. Sie sollten detaillierte Protokollinformationen zu den Paketen sehen, aber es sollte kein UDP-bezogener Inhalt erscheinen.
Um speziell auf das Fehlen des UDP-Protokolls zu prüfen, verwenden wir grep, um nach "UDP" in der Ausgabe zu suchen. Der Befehl wc -l zählt die übereinstimmenden Zeilen:
```
tshark -r capture.pcap --disable-protocol udp -V | grep -i "udp" | wc -l
```
Eine Anzahl von Null bestätigt, dass Tshark keine UDP-Pakete verarbeitet. Wenn Sie eine Zahl größer als Null sehen, funktioniert die Exklusion nicht richtig.
Zum Vergleich sehen wir uns an, wie die normale ausführliche Ausgabe ohne Protokolldeaktivierung aussieht:
```
tshark -r capture.pcap -V | grep -i "udp" | head -n 5
```
Dieser Befehl kann UDP-Pakete anzeigen, wenn sie in Ihrer Aufzeichnungsdatei vorhanden sind. Der Unterschied zwischen dieser Ausgabe und der Ausgabe des vorherigen Befehls zeigt die Wirkung von --disable-protocol udp auf.
Schließlich untersuchen wir nur ein Paket im Detail, um die Protokollexklusion auf Paketebene zu überprüfen:
```
tshark -r capture.pcap --disable-protocol udp -V -c 1
```
Die Option -c 1 begrenzt die Ausgabe auf nur ein Paket. Prüfen Sie die Protokollschichten in der Ausgabe dieses Pakets - Sie sollten keine Erwähnung von UDP in der Protokollhierarchie sehen.

Wiederaktivieren mit --enable-protocol udp

In diesem Schritt lernen Sie, wie Sie die UDP-Protokollanalyse in tshark wiederherstellen können, nachdem Sie sie deaktiviert haben. Dies ist wichtig, wenn Sie erneut den gesamten Netzwerkverkehr analysieren müssen, einschließlich UDP-Paketen, die häufig für DNS, Videostreaming und andere Echtzeitanwendungen verwendet werden.

Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem sich Ihre Paketaufzeichnungsdatei befindet:
```
cd ~/project
```
Dieser Befehl führt Sie in das Projektverzeichnis, in dem wir mit unserer Paketaufzeichnungsdatei (capture.pcap) arbeiten werden.
Um die UDP-Protokollanalyse wiederzuerlangen, verwenden Sie die Option --enable-protocol gefolgt vom Protokollnamen:
```
tshark -r capture.pcap --enable-protocol udp
```
Dies teilt tshark mit, UDP-Pakete erneut zu verarbeiten, wenn es die Aufzeichnungsdatei liest.
Überprüfen wir, ob UDP-Pakete jetzt verarbeitet werden, indem wir sie zählen:
```
tshark -r capture.pcap --enable-protocol udp -Y "udp" | wc -l
```
Der Filter -Y "udp" zeigt nur UDP-Pakete an, und wc -l zählt sie. Sie sollten jetzt UDP-Pakete sehen, wenn sie in Ihrer Aufzeichnung vorhanden sind.

Um den Unterschied deutlich zu sehen, vergleichen Sie die Ausgaben mit aktiviertem und deaktiviertem UDP:

## Mit aktiviertem UDP (sollte UDP-Pakete anzeigen)
tshark -r capture.pcap --enable-protocol udp -Y "udp" | head -n 5

## Mit deaktiviertem UDP (soll leere Ausgabe zeigen)
tshark -r capture.pcap --disable-protocol udp -Y "udp" | head -n 5

Der Befehl head -n 5 zeigt nur die ersten 5 Zeilen der Ausgabe für einen schnellen Vergleich an.

Für eine gründliche Überprüfung prüfen wir, ob die UDP-Protokolldetails in der ausführlichen Ausgabe erscheinen:
```
tshark -r capture.pcap --enable-protocol udp -V | grep -i "User Datagram Protocol" | head -n 3
```
Das -V zeigt detaillierte Paketinformationen an, und wir filtern nach UDP-Protokollheadern, um zu bestätigen, dass sie wieder verarbeitet werden.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie tshark für die Protokollanalyse nutzen können, indem Sie mit einer Beispiel-Paketaufzeichnungsdatei gearbeitet haben. Sie haben grundlegende Befehle wie -r zum Lesen von Dateien und -V für eine detaillierte Ausgabe geübt, die die Grundlage für die Paketanalyse in tshark bilden.

Das Lab hat Sie auch durch Protokollfilterungstechniken geführt, insbesondere die Deaktivierung des UDP-Verkehrs mithilfe von --disable-protocol udp. Durch den Vergleich von gefilterten und ungefilterten Ausgaben haben Sie gesehen, wie Sie während der Analyse effektiv bestimmten Protokollverkehr isolieren können.