Hex-Daten in Tshark ausgeben

Einführung

In diesem Lab lernen Sie, Netzwerkpakete mit dem Befehlszeilentool tshark von Wireshark mit hexadezimaler Ausgabe zu analysieren. Sie üben das Lesen von Paketaufzeichnungsdateien (capture.pcap) mit der Option -r und die Anzeige von Rohdaten der Pakete im Hexadezimalformat mit -x.

Die Übungen führen Sie durch die Ausführung von tshark-Befehlen, die Interpretation von Paketzusammenfassungen und die Untersuchung von hexadezimalen Dumps. Sie analysieren ein Beispiel für eine TCP-Handshake, um zu verstehen, wie diese Technik bei der Netzwerkfehlersuche und bei Sicherheitsuntersuchungen hilft.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/protocol_dissection("Protocol Dissection") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/protocol_dissection -.-> lab-548923{{"Hex-Daten in Tshark ausgeben"}} wireshark/packet_analysis -.-> lab-548923{{"Hex-Daten in Tshark ausgeben"}} wireshark/commandline_usage -.-> lab-548923{{"Hex-Daten in Tshark ausgeben"}} end

Datei mit -r capture.pcap lesen

In diesem Schritt lernen Sie, wie Sie eine Paketaufzeichnungsdatei mit dem Befehlszeilentool tshark von Wireshark und der Option -r lesen. Dies ist die grundlegende Methode, um zuvor aufgezeichnete Netzwerkverkehrsdaten zu analysieren.

Bevor wir beginnen, ist es wichtig zu verstehen, dass PCAP-Dateien Rohdaten des Netzwerkverkehrs enthalten, die von einer Netzwerkschnittstelle aufgezeichnet wurden. Die Option -r ermöglicht es Ihnen, eine Paketaufzeichnungsdatei anzugeben, die gelesen werden soll. Dies ist ähnlich wie das Öffnen eines Dokuments mit einem Texteditor. Wir verwenden eine Beispieldatei namens capture.pcap, die sich in Ihrem ~/project-Verzeichnis befindet.

Stellen Sie zunächst sicher, dass Sie sich im richtigen Verzeichnis befinden. Dies ist wichtig, da tshark wissen muss, wo es die Aufzeichnungsdatei finden kann:

cd ~/project

Verwenden Sie nun tshark, um die Aufzeichnungsdatei zu lesen. Der grundlegende Befehl ohne Filter zeigt Ihnen alle Pakete in der Datei an:

tshark -r capture.pcap

Dieser Befehl zeigt grundlegende Informationen zu jedem Paket in der Aufzeichnungsdatei an, darunter:

Paketnummer (zeigt die Reihenfolge der Aufzeichnung)
Zeitstempel (wann das Paket aufgezeichnet wurde)
Quell- und Ziel-IP-Adressen (wer das Paket gesendet und empfangen hat)
Protokoll (um welche Art von Netzwerkkommunikation es sich handelt)
Paketlänge (wie groß das Paket ist)
Grundlegende Protokollinformationen (Details, die für jedes Protokoll spezifisch sind)

Beispielausgabe (Ihre tatsächliche Ausgabe kann variieren):

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 49234 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 66 49234 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0
3 0.000234 192.168.1.1 → 192.168.1.2 TCP 54 443 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0

Diese Ausgabe zeigt eine grundlegende TCP-Handshake zwischen zwei Hosts. Das erste Paket mit [SYN] zeigt eine Verbindungsanfrage an, das zweite mit [SYN, ACK] ist die Antwort und das dritte [ACK] schließt die Handshake ab. Jede Zeile repräsentiert ein Netzwerkpaket mit seinen wesentlichen Details und gibt Ihnen eine chronologische Ansicht der Netzwerkkommunikation.

Hexadezimalen Dump mit -x aktivieren

In diesem Schritt werden wir untersuchen, wie man den rohen Binärinhalt von Netzwerkpaketen mit dem Befehlszeilentool tshark von Wireshark analysiert. Die Option -x ist besonders leistungsstark, da sie die tatsächlichen hexadezimalen Daten, aus denen jedes Paket besteht, aufzeigt. Dies ist für eine tiefe Paketanalyse unerlässlich.

Beim Umgang mit Netzwerkverkehr bestehen Pakete im Grunde nur aus Bytefolgen. Die Option -x veranlasst tshark, Folgendes anzuzeigen:

Die Standard-Headerinformationen des Pakets (z. B. Quell- und Zieladressen)
Die vollständige hexadezimale Darstellung der Rohdaten des Pakets
Eine ASCII-Interpretation dieser Daten (sofern anwendbar)

Bevor wir fortfahren, stellen wir sicher, dass wir uns im richtigen Arbeitsverzeichnis befinden, in dem sich unsere Paketaufzeichnungsdatei befindet:

cd ~/project

Jetzt analysieren wir unsere Paketaufzeichnungsdatei (capture.pcap) mit aktivierter hexadezimaler Ausgabe:

tshark -r capture.pcap -x

Dieser Befehl erzeugt für jedes Paket eine Ausgabe, die in drei Hauptabschnitte unterteilt ist:

Die Zusammenfassungszeile mit grundlegenden Paketinformationen
Der hexadezimale Dump, der die rohen Paketbytes zeigt
Die ASCII-Darstellung dieser Bytes (mit darstellbaren Zeichen)

So sieht ein typischer Ausgabebereich aus (gekürzt zur Demonstration):

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 49234 [SYN] Seq=0 Win=64240 Len=0
0000  00 1a 4b 12 34 56 00 1b 11 22 33 44 08 00 45 00   ..K.4V..."3D..E.
0010  00 34 12 34 00 00 80 06 78 9a c0 a8 01 01 c0 a8   .4.4....x.......
0020  01 02 01 bb c0 52 00 00 00 00 00 00 00 00 50 02   .....R........P.
0030  fa f0 00 00 00 00 00 00 00 00                     ..........

Die hexadezimale Anzeige ist wie folgt organisiert:

Die am weitesten links stehende Spalte (0000, 0010 usw.) zeigt den Byte-Offset in Hexadezimalnotation an.
Der mittlere Abschnitt zeigt pro Zeile 16 Bytes der Paketdaten im hexadezimalen Format an.
Der rechte Abschnitt zeigt die ASCII-Zeichendarstellung an (nicht darstellbare Zeichen werden als Punkte angezeigt).

Diese Ansicht ist unschätzbar, wenn Sie Protokollheader auf Byte-Ebene untersuchen oder den genauen Inhalt von Netzwerkübertragungen überprüfen müssen.

Ausgabe auf bestimmte Frames beschränken mit --hexdump frames

In diesem Schritt lernen Sie, wie Sie mithilfe der --hexdump-Option von Wireshark in Kombination mit Frame-Filtern präzise steuern können, welche Pakete in Ihrer hexadezimalen Ausgabe erscheinen. Diese Technik hilft Ihnen, sich auf bestimmte Netzwerkpakete zu konzentrieren, während Sie deren rohe hexadezimale Daten untersuchen – besonders wertvoll, wenn Sie mit großen Aufzeichnungsdateien arbeiten, die viele Pakete enthalten.

Die --hexdump-Option bietet Ihnen eine präzisere Steuerung als die einfache -x-Option. Während -x hexadezimale Dumps für alle Pakete anzeigt, ermöglicht es Ihnen --hexdump, genau anzugeben, welche Frame-Nummern angezeigt werden sollen. Dies ist wie ein Lupe, die nur die Pakete zeigt, die Sie genau untersuchen möchten.

Zunächst stellen wir sicher, dass wir uns im richtigen Arbeitsverzeichnis befinden, in dem sich unsere Aufzeichnungsdatei befindet. Dadurch wird sichergestellt, dass Tshark die Datei finden kann, die wir analysieren möchten:

cd ~/project

Jetzt verwenden wir Tshark, um hexadezimale Daten für bestimmte Frames anzuzeigen. Die Befehlsstruktur ist wie folgt:
- -r capture.pcap liest unsere Paketaufzeichnungsdatei
- --hexdump frame=1-3 teilt Tshark mit, dass wir nur die Frames 1 bis 3 möchten
- Das Gleichheitszeichen (=) verbindet den Frame-Filter mit der --hexdump-Option

Führen Sie diesen Befehl aus, um die Frames 1 bis 3 in Hexadezimalnotation anzuzeigen:

tshark -r capture.pcap --hexdump frame=1-3

Dieser Befehl erzeugt eine Ausgabe, die Folgendes zeigt:

Nur die drei Frames, die wir angefordert haben (1, 2 und 3)
Die vollständige hexadezimale Darstellung jedes Frames
Die rohen Bytdaten ohne die üblichen Paketzusammenfassungsinformationen

Beispielausgabe (gekürzt zur Demonstration):

Frame 1: 66 bytes on wire
0000  00 1a 4b 12 34 56 00 1b 11 22 33 44 08 00 45 00   ..K.4V..."3D..E.
0010  00 34 12 34 00 00 80 06 78 9a c0 a8 01 01 c0 a8   .4.4....x.......
0020  01 02 01 bb c0 52 00 00 00 00 00 00 00 00 50 02   .....R........P.
0030  fa f0 00 00 00 00 00 00 00 00                     ..........

Frame 2: 66 bytes on wire
0000  00 1b 11 22 33 44 00 1a 4b 12 34 56 08 00 45 00   ..."3D..K.4V..E.
0010  00 34 ab cd 00 00 80 06 12 34 c0 a8 01 02 c0 a8   .4.......4......
0020  01 01 c0 52 01 bb 00 00 00 00 00 00 00 01 50 12   ...R..........P.
0030  ff ff 00 00 00 00 00 00 00 00                     ..........

Beachten Sie die wesentlichen Unterschiede zu den vorherigen Ausgaben:

Es erscheinen nur die von Ihnen angegebenen Frames (keine zusätzlichen Pakete)
Jeder Frame zeigt seine vollständige hexadezimale Darstellung
Die Ausgabe überspringt die üblichen Paketzusammenfassungszeilen, sodass Sie sauberere hexadezimale Daten zur Analyse erhalten

Hexadezimale Ausgabe überprüfen

In diesem letzten Schritt werden Sie die hexadezimale Ausgabe aus Ihrer Paketaufzeichnung analysieren und interpretieren. Das Verständnis von hexadezimalen Dumps ist für die Netzwerkanalyse grundlegend, da es die rohen Binärdaten genau so zeigt, wie sie über das Netzwerk übertragen werden. Diese Fähigkeit ist unerlässlich für das Verständnis von Netzwerkprotokollen, das Debuggen von Kommunikationsproblemen und die Durchführung einer tiefergehenden Paketüberprüfung.

Zunächst generieren wir einen umfassenden hexadezimalen Dump der ersten 3 Frames. Wir verwenden diesen Befehl im Projektverzeichnis:

cd ~/project
tshark -r capture.pcap --hexdump frame=1-3

Dieser Befehl liest die Datei capture.pcap und zeigt die hexadezimale Darstellung der Frames 1 bis 3 an. Die Option --hexdump veranlasst Tshark, sowohl die hexadezimale als auch die ASCII-Darstellung nebeneinander anzuzeigen.

Untersuchen Sie die Ausgabe-Struktur sorgfältig. Der hexadezimale Dump ist so organisiert, dass Sie die Paketstruktur besser visualisieren können:

Jeder Frame beginnt mit seiner Größe (z. B. "Frame 1: 66 bytes on wire"), die die Gesamtlänge des Pakets angibt.
Die linke Spalte zeigt den Byte-Offset (0000, 0010 usw.), der Ihnen hilft, bestimmte Bytes zu lokalisieren.
Der mittlere Abschnitt zeigt pro Zeile 16 Bytes hexadezimale Daten an, die den tatsächlichen Paketinhalt darstellen.
Die rechte Spalte zeigt die ASCII-Darstellung von druckbaren Zeichen an, was hilfreich ist, um Textprotokolle zu erkennen.

Jetzt identifizieren wir die wichtigsten Protokoll-Header im hexadezimalen Dump. Netzwerkpakete folgen einer geschichteten Struktur, und wir können dies in der hexadezimalen Ausgabe sehen:

## Ethernet-Header (erste 14 Bytes)
0000 00 1a 4b 12 34 56 00 1b 11 22 33 44 08 00

## IP-Header (nächste 20 Bytes)
0010 45 00 00 34 12 34 00 00 80 06 78 9a c0 a8 01 01
0020 c0 a8 01 02

## TCP-Header (nächste 20 Bytes)
0020 01 bb c0 52 00 00 00 00 00 00 00 00 50 02
0030 fa f0 00 00 00 00 00 00 00 00

Der Ethernet-Header kommt zuerst, gefolgt vom IP-Header und dann vom TCP-Header. Jeder Protokoll-Header enthält bestimmte Felder an festen Positionen, die wir dekodieren können.

Üben wir die Interpretation einiger gängiger Werte, die Sie in Netzwerkpaketen antreffen werden:

08 00 zeigt IPv4 an (EtherType) - dies teilt der Netzwerkkarte mit, welches Protokoll als nächstes folgt.
45 zeigt IPv4 mit einer Headerlänge von 5 Wörtern an (die '4' ist die IP-Version, '5' ist die Headerlänge in 32-Bit-Wörtern).
c0 a8 01 01 ist 192.168.1.1 in Hexadezimalnotation (jedes Paar repräsentiert ein Oktett der IP-Adresse).
01 bb ist Port 443 in Dezimalnotation (das erste Byte 01 entspricht 256, plus bb ist 187, insgesamt 443).

Denken Sie daran, dass Netzwerkprotokolle die Big-Endian-Byte-Reihenfolge verwenden, was bedeutet, dass das höchstwertige Byte beim Interpretieren von mehrbyteigen Feldern zuerst kommt.

Zusammenfassung

In diesem Lab haben Sie gelernt, das Befehlszeilentool tshark von Wireshark zur Analyse von Paketaufzeichnungen und zur Untersuchung von hexadezimalen Daten zu nutzen. Die Übungen haben gezeigt, wie Sie mit der Option -r PCAP-Dateien lesen können, um grundlegende Paketinformationen anzuzeigen, und wie Sie die Option -x verwenden können, um detaillierte hexadezimale Dumps zu erhalten.

Sie haben untersucht, wie diese Techniken eine umfassende Analyse des Netzwerkverkehrs ermöglichen, von der Beobachtung von TCP-Handshakes bis zur Untersuchung von rohen Paketdaten auf Byte-Ebene. Die Kombination von Paketzusammenfassungen mit hexadezimalen und ASCII-Darstellungen bietet leistungsstarke Möglichkeiten für die Netzwerkfehlersuche und die Protokolluntersuchung.