LabEx
AnmeldenKostenlos beitreten

Pakete aus Wireshark exportieren

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, wie Sie Pakete aus Wireshark, einem leistungsstarken Netzwerkprotokoll-Analyzer, exportieren können. Das Exportieren von Paketen ist für die Netzwerkanalyse, die Fehlerbehebung und Sicherheitsuntersuchungen von entscheidender Bedeutung. Es ermöglicht Ihnen auch, die aufgezeichneten Daten mit Kollegen zu teilen.

Im Laufe dieses Labs werden Sie Netzwerkverkehr aufzeichnen, Filter anwenden, um bestimmte Kommunikationstypen anzuzielen, und die aufgezeichneten Daten in verschiedenen Formaten für eine weitere Analyse exportieren.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") subgraph Lab Skills wireshark/installation -.-> lab-415945{{"Pakete aus Wireshark exportieren"}} wireshark/interface -.-> lab-415945{{"Pakete aus Wireshark exportieren"}} wireshark/packet_capture -.-> lab-415945{{"Pakete aus Wireshark exportieren"}} wireshark/display_filters -.-> lab-415945{{"Pakete aus Wireshark exportieren"}} wireshark/export_packets -.-> lab-415945{{"Pakete aus Wireshark exportieren"}} wireshark/packet_analysis -.-> lab-415945{{"Pakete aus Wireshark exportieren"}} end

Wireshark verstehen und installieren

Wireshark ist einer der am weitesten verbreiteten Netzwerkprotokoll-Analyzer weltweit. In Computernetzen erfolgt die Kommunikation über kleine Einheiten namens Pakete. Stellen Sie sich Pakete als kleine Umschläge vor, die Daten über das Netzwerk transportieren. Wireshark ermöglicht es Ihnen, diese Pakete aufzuzeichnen und zu analysieren, sodass Sie auf sehr detaillierter Ebene sehen können, was in Ihrem Netzwerk passiert. Es ist wie ein Mikroskop für Ihr Netzwerk, das Ihnen hilft, zu verstehen, wie die Daten fließen und ob es irgendwelche Probleme gibt.

Wireshark starten

Zunächst müssen wir Wireshark öffnen. Dazu öffnen wir zuerst ein Terminalfenster. Das Terminal ist eine textbasierte Schnittstelle, in der Sie Befehle eingeben können, um mit Ihrem Computer zu interagieren. Sie können ein Terminalfenster auf zwei Arten öffnen:

  1. Drücken Sie Ctrl+Alt+T auf Ihrer Tastatur. Dies ist ein Shortcut, der das Terminal schnell öffnet.
  2. Alternativ können Sie auf das Terminal-Symbol in der Taskleiste klicken. Die Taskleiste befindet sich normalerweise am unteren Rand oder an der Seite Ihres Bildschirms und enthält Symbole für verschiedene Anwendungen.

Sobald das Terminal geöffnet ist, verwenden wir einen Befehl, um Wireshark zu starten. Geben Sie im Terminal den folgenden Befehl ein und drücken Sie dann die Eingabetaste:

wireshark

Wenn Sie diesen Befehl ausführen, wird die Wireshark-Anwendung geöffnet. Sie sehen eine Liste der verfügbaren Netzwerkschnittstellen. Netzwerkschnittstellen sind die Verbindungen, die Ihr Computer verwendet, um mit anderen Geräten im Netzwerk zu kommunizieren, wie z. B. Wi-Fi oder Ethernet.

Wireshark-Hauptschnittstelle

Nachdem Wireshark geöffnet ist, nehmen Sie sich einen Moment Zeit, um sich die Schnittstelle anzusehen. Das Verständnis des Layouts erleichtert es Ihnen später, das Tool zu verwenden.

  • Der obere Abschnitt zeigt die verfügbaren Netzwerkschnittstellen an. Hier wählen Sie aus, von welcher Netzwerkverbindung Wireshark Pakete aufzeichnen soll.
  • Der mittlere Abschnitt zeigt kürzlich geöffnete Dateien an. Wenn Sie Wireshark zuvor verwendet und einige Paketaufzeichnungsdateien geöffnet haben, werden diese hier aufgelistet, um einen einfachen Zugriff zu ermöglichen.
  • Der untere Abschnitt enthält nützliche Links und Funktionen. Diese können Ihnen bei verschiedenen Aufgaben helfen, wie z. B. beim Anfordern von Hilfe oder beim Zugriff auf zusätzliche Tools.

Die Wireshark-Schnittstelle verstehen

Bevor wir mit der Paketaufzeichnung beginnen, ist es wichtig zu wissen, was jeder Teil der Wireshark-Schnittstelle macht. Dieses Wissen hilft Ihnen, das Tool effektiv zu bedienen und die benötigten Informationen zu finden.

  • Menüleiste: Wie in anderen Anwendungen enthält die Menüleiste die üblichen Anwendungsmenüs wie Datei, Bearbeiten, Anzeige usw. Sie können diese Menüs verwenden, um gängige Aktionen auszuführen, wie z. B. eine neue Datei zu öffnen, eine Aufzeichnung zu speichern oder die Anzeigeeinstellungen zu ändern.
  • Hauptwerkzeugleiste: Die Hauptwerkzeugleiste enthält Shortcuts zu gängigen Funktionen. Diese Shortcuts ermöglichen es Ihnen, Aufgaben, die Sie häufig verwenden, schneller auszuführen, wie z. B. das Starten oder Stoppen einer Paketaufzeichnung.
  • Filterleiste: Die Filterleiste ist sehr nützlich. Sie ermöglicht es Ihnen, Anzeigefilter auf die aufgezeichneten Pakete anzuwenden. Dies bedeutet, dass Sie die angezeigten Pakete basierend auf bestimmten Kriterien einschränken können, wie z. B. der Quell- oder Ziel-IP-Adresse.
  • Paketlistenbereich: Dieser Bereich zeigt jedes aufgezeichnete Paket in einer separaten Zeile an. Er gibt Ihnen einen schnellen Überblick über alle aufgezeichneten Pakete.
  • Paketdetailsbereich: Wenn Sie ein Paket im Paketlistenbereich auswählen, zeigt der Paketdetailsbereich detaillierte Informationen zu diesem Paket an. Dies umfasst Dinge wie das verwendete Protokoll, die Quell- und Zieladressen und andere relevante Daten.
  • Paket-Bytes-Bereich: Dieser Bereich zeigt die Rohbytes des ausgewählten Pakets an. Dies ist nützlich, wenn Sie die tatsächlichen Daten sehen möchten, die im Paket übertragen werden.

Nachdem Sie die Grundlagen der Wireshark-Schnittstelle verstanden haben, sind Sie bereit, mit der Aufzeichnung von Netzwerkverkehr zu beginnen.

Netzwerkverkehr aufzeichnen

In diesem Schritt lernen Sie, wie Sie Netzwerkpakete aufzeichnen können, was die grundlegende Funktion von Wireshark ist. Die Paketaufzeichnung ist wie ein Detektivwerkzeug, das es Ihnen ermöglicht, alle Netzwerkkommunikationen auf Ihrem System zu sehen. Sie ist essentiell, da sie Ihnen einen klaren Überblick darüber gibt, welche Daten in Ihr Gerät hinein und aus ihm heraus fließen. Dies kann für verschiedene Zwecke von entscheidender Bedeutung sein, wie z. B. die Fehlerbehebung von Netzwerkproblemen oder die Analyse potenzieller Sicherheitsbedrohungen.

Eine Paketaufzeichnung starten

  1. In der Wireshark-Hauptschnittstelle sehen Sie eine Liste der verfügbaren Netzwerkschnittstellen. Diese Schnittstellen sind wie verschiedene Türen, durch die Ihr Gerät sich mit dem Netzwerk verbinden kann. Jede Schnittstelle repräsentiert eine andere Möglichkeit, wie Ihr Gerät Daten senden und empfangen kann, wie z. B. Wi-Fi, Ethernet oder eine virtuelle Netzwerkverbindung. Suchen Sie diese Liste, um die geeignete Schnittstelle für die Paketaufzeichnung auszuwählen.

  2. Wählen Sie die eth1-Schnittstelle aus, indem Sie darauf klicken. Dies ist Ihre Haupt-Ethernet-Verbindung. Ethernet ist eine gängige Methode, um Geräte über ein physisches Kabel mit einem lokalen Netzwerk zu verbinden. Indem Sie eth1 auswählen, entscheiden Sie sich dafür, den Netzwerkverkehr aufzuzeichnen, der über diese bestimmte Ethernet-Verbindung geht.

    Netzwerkschnittstelle auswählen

  3. Klicken Sie auf das blaue Haiflossen-Symbol in der Werkzeugleiste, um die Paketaufzeichnung zu starten. Dieses Symbol ist die Start-Schaltfläche für die Paketaufzeichnung in Wireshark. Alternativ können Sie doppelt auf die eth1-Schnittstelle klicken. Sobald Sie die Aufzeichnung starten, beginnt Wireshark, alle Netzwerkpakete zu sammeln, die durch die ausgewählte Schnittstelle gehen.

  4. Sie sollten jetzt sehen, wie Pakete aufgezeichnet und in Echtzeit angezeigt werden. Jede Zeile repräsentiert ein einzelnes Paket. Die Paketdetails umfassen:

    • Paketnummer: Dies ist eine eindeutige Kennung für jedes Paket, die Ihnen hilft, die Reihenfolge zu verfolgen, in der die Pakete aufgezeichnet werden.
    • Zeit seit Beginn der Aufzeichnung: Sie zeigt an, wie viel Zeit seit dem Start der Paketaufzeichnung vergangen ist, als dieses bestimmte Paket aufgezeichnet wurde.
    • Quelladresse: Dies ist die Adresse des Geräts, das das Paket gesendet hat. Sie hilft Ihnen zu identifizieren, wo die Daten herkommen.
    • Zieladresse: Dies ist die Adresse des Geräts, für das das Paket bestimmt ist. Sie zeigt an, wohin die Daten gehen.
    • Protokoll: Das Protokoll gibt die Regeln und Standards an, die für die Kommunikation verwendet werden. Beispielsweise sind TCP, UDP oder HTTP gängige Protokolle.
    • Paketlänge: Sie gibt an, wie viel Daten im Paket enthalten sind.
    • Informationen über das Paket: Dies liefert detailliertere Informationen über den Inhalt und Zweck des Pakets.

Netzwerkverkehr generieren

Um interessanteren Verkehr zu sehen, lassen Sie uns etwas HTTP-Verkehr generieren, indem Sie eine Website besuchen. HTTP (Hypertext Transfer Protocol) ist das Protokoll, das für die Übertragung von Webseiten über das Internet verwendet wird. Indem Sie HTTP-Verkehr generieren, können Sie den tatsächlichen Datenaustausch sehen, der stattfindet, wenn Sie eine Website besuchen.

  1. Lassen Sie Wireshark laufen und öffnen Sie ein neues Terminal, indem Sie Ctrl+Alt+T drücken. Das Terminal ist eine Befehlszeilenschnittstelle, in der Sie Befehle eingeben können, um mit Ihrem System zu interagieren.

  2. Verwenden Sie den curl-Befehl, um eine Webseite anzufordern:

    curl www.google.com

    Der curl-Befehl ist ein Tool, das zum Transfer von Daten von oder zu einem Server verwendet wird. In diesem Fall verwenden Sie es, um die Webseite von Google anzufordern. Sie sollten den HTML-Inhalt der Google-Homepage in der Terminalausgabe sehen. Dies zeigt, dass die Anforderung erfolgreich war und Sie die Daten vom Google-Server erhalten haben.

  3. Kehren Sie zu Wireshark zurück und beobachten Sie die neuen aufgezeichneten Pakete. Sie sollten DNS-, TCP- und HTTP-Pakete sehen, die sich auf Ihre Anforderung an Google beziehen. DNS (Domain Name System) wird verwendet, um Domainnamen wie www.google.com in IP-Adressen zu übersetzen. TCP (Transmission Control Protocol) ist für die Herstellung einer zuverlässigen Verbindung zwischen Ihrem Gerät und dem Server verantwortlich. HTTP wird verwendet, um die eigentlichen Webseiten-Daten zu übertragen.

Die Aufzeichnung stoppen und die Daten speichern

  1. Um die Paketaufzeichnung zu stoppen, klicken Sie auf die rote Quadrat-Schaltfläche in der Werkzeugleiste. Dies wird den Prozess des Sammelns neuer Pakete anhalten.

  2. Da Sie jetzt einige Pakete aufgezeichnet haben, speichern Sie sie in einer Datei:

    • Klicken Sie auf File in der Menüleiste. Die Menüleiste enthält verschiedene Optionen für die Verwaltung Ihrer Wireshark-Sitzung, wie z. B. das Öffnen, Speichern und Exportieren von Dateien.
    • Wählen Sie Save As. Diese Option ermöglicht es Ihnen, den Speicherort und den Namen der Datei auszuwählen, in der Sie die aufgezeichneten Pakete speichern möchten.
    • Navigieren Sie zum Verzeichnis /home/labex/project. Dies ist der Ort, an dem Sie die aufgezeichneten Paketdaten speichern werden.
    • Geben Sie capture.pcapng als Dateinamen ein. Die .pcapng-Erweiterung gibt an, dass die Datei im PCAPNG-Format vorliegt, das ein Standardformat für die Speicherung von Netzwerkpaketdaten ist.
    • Klicken Sie auf Save.
    Aufgezeichnete Pakete speichern

  3. Die Datei wurde jetzt gespeichert. Das PCAPNG-Format bewahrt alle Aufzeichnungsdaten auf und ist das Standardformat für Wireshark. Dies bedeutet, dass alle Details zu den aufgezeichneten Paketen, wie z. B. die Quell- und Zieladressen, die Protokolle und der Paketinhalt, in der Datei gespeichert sind.

Sie haben erfolgreich Netzwerkverkehr aufgezeichnet und in einer Datei gespeichert. Im nächsten Schritt lernen Sie, wie Sie diese Pakete filtern können, um sich auf bestimmte Arten von Verkehr zu konzentrieren.

Pakete filtern

In realen Netzwerk-Szenarien können die Aufzeichnungsdateien, wenn Sie Netzwerkverkehr aufzeichnen, extrem groß sein und Tausende oder sogar Millionen von Paketen enthalten. Die Analyse all dieser Pakete auf einmal kann überwältigend und ineffizient sein. Hier kommt die Filterung ins Spiel. Die Filterung ist eine entscheidende Technik, die es Ihnen ermöglicht, sich auf bestimmte Arten von Verkehr zu konzentrieren. Indem Sie die Pakete, auf die Sie sich konzentrieren, einschränken, können Sie den Analyseprozess viel besser beherrschen und die benötigten Informationen schneller finden.

Anzeigefilter verstehen

Wireshark verfügt über eine leistungsstarke Filtersprache. Diese Sprache ermöglicht es Ihnen, nur die Pakete anzuzeigen, die Ihren spezifischen Kriterien entsprechen. Hier sind einige gängige Möglichkeiten, wie Sie Anzeigefilter verwenden können:

  • Nach Protokoll filtern: Sie können Pakete eines bestimmten Protokolls anzeigen, wie z. B. HTTP, DNS oder TCP. Dies ist nützlich, wenn Sie an einer bestimmten Art von Netzwerkkommunikation interessiert sind. Beispielsweise möchten Sie sich möglicherweise bei der Untersuchung von Webumlaufverkehr auf HTTP-Pakete konzentrieren.
  • Nach IP-Adresse filtern: Sie können Pakete anzeigen, die entweder von bestimmten IP-Adressen gesendet oder an diese empfangen werden. Dies hilft Ihnen, die Kommunikation zwischen bestimmten Geräten im Netzwerk zu verfolgen.
  • Nach Inhalt filtern: Sie können Pakete anzeigen, die bestimmten Inhalt enthalten. Dies ist praktisch, wenn Sie nach bestimmten Schlüsselwörtern oder Daten innerhalb der Pakete suchen.
  • Bedingungen kombinieren: Sie können logische Operatoren verwenden, um mehrere Bedingungen zu kombinieren. Dies ermöglicht es Ihnen, komplexere und präzisere Filter zu erstellen.

Grundlegende Filter anwenden

  1. Öffnen Sie zunächst Ihre Aufzeichnungsdatei in Wireshark. Sobald die Datei geöffnet ist, schauen Sie sich die obere Seite des Wireshark-Fensters an. Sie sehen ein Textfeld mit blauem Hintergrund. Dies ist die Filterbox. In der Filterbox geben Sie Ihre Filterkriterien ein.

    Wireshark-Filterbox

  2. Angenommen, Sie möchten nach HTTP-Verkehr filtern. HTTP ist das Protokoll, das für die Webkommunikation verwendet wird. Um dies zu tun, geben Sie einfach Folgendes in die Filterbox ein:

    http

  3. Nach dem Eingeben des Filters haben Sie zwei Möglichkeiten, ihn anzuwenden. Sie können entweder die Eingabetaste auf Ihrer Tastatur drücken oder auf den rechten Pfeil neben der Filterbox klicken. Sobald Sie dies tun, beginnt Wireshark, den Filter auf die Paketliste anzuwenden.

  4. Nach der Anwendung des Filters sollten Sie jetzt nur HTTP-Pakete in der Paketliste sehen. Wenn Sie jedoch keine Pakete sehen, ist es möglich, dass Ihre Aufzeichnungsdatei keinen HTTP-Verkehr enthält. In diesem Fall können Sie stattdessen den Filter tcp versuchen. TCP ist ein grundlegendes Transportschichtprotokoll, und die Verwendung dieses Filters zeigt alle TCP-Pakete in der Aufzeichnungsdatei an.

  5. Wenn Sie den Filter löschen und alle Pakete wieder sehen möchten, gibt es zwei Möglichkeiten, dies zu tun. Sie können auf die "X"-Schaltfläche rechts neben der Filterbox klicken, oder Sie können den Filtertext in der Box löschen und dann die Eingabetaste drücken.

Erweiterte Filter verwenden

Lassen Sie uns spezifischere Filter untersuchen, um Ihre Paketanalyse weiter zu verfeinern.

  1. Angenommen, Sie interessieren sich nur für HTTP GET-Anfragen. Eine GET-Anfrage ist eine gängige Art von HTTP-Anfrage, die verwendet wird, um Daten von einem Server abzurufen. Um nur diese Anfragen anzuzeigen, geben Sie den folgenden Filter in die Filterbox ein:

    http.request.method == "GET"

  2. Drücken Sie die Eingabetaste, um den Filter anzuwenden. Wireshark durchsucht dann die Paketliste und zeigt nur die HTTP GET-Anfragen an.

    Filter für HTTP GET-Anfragen

  3. Nach der Anwendung des Filters, wenn Sie keine Pakete sehen, bedeutet dies, dass Ihre Aufzeichnungsdatei möglicherweise keine HTTP GET-Anfragen enthält.

  4. Jetzt versuchen wir einen anderen Filter. Wenn Sie alle TCP-Pakete sehen möchten, die an Port 80 (der Standardport für HTTP) gerichtet sind, geben Sie den folgenden Filter in die Filterbox ein:

    tcp.dstport == 80

  5. Drücken Sie die Eingabetaste, um diesen Filter anzuwenden.

  6. Nach der Anwendung des Filters sollten Sie jetzt alle TCP-Pakete in der Paketliste sehen, die an Port 80 gesendet werden.

Filter kombinieren

Sie können Ihre Filter noch leistungsfähiger machen, indem Sie mehrere Filter mit logischen Operatoren kombinieren.

  1. Angenommen, Sie möchten Pakete sehen, die entweder HTTP oder DNS sind. DNS ist das Protokoll, das für die Übersetzung von Domainnamen in IP-Adressen verwendet wird. Um einen Filter dafür zu erstellen, geben Sie Folgendes in die Filterbox ein:

    http or dns

  2. Drücken Sie die Eingabetaste, um den Filter anzuwenden.

  3. Nach der Anwendung des Filters sollten Sie jetzt sowohl HTTP- als auch DNS-Pakete in der Paketliste sehen.

Die Filterung ist eine leistungsstarke Funktion in Wireshark, die es Ihnen ermöglicht, sich auf die Pakete zu konzentrieren, die für Ihre Analyse am relevantesten sind. Je mehr Erfahrung Sie mit Wireshark sammeln, desto besser werden Sie in der Lage sein, komplexere Filter zu erstellen, die auf Ihre spezifischen Bedürfnisse zugeschnitten sind.

Pakete exportieren

Nachdem Sie Pakete aufgezeichnet und gefiltert haben, müssen Sie diese häufig exportieren. Das Exportieren von Paketen ermöglicht eine weitere tiefergehende Analyse, die Erstellung von Dokumentationen oder das Teilen der Daten mit anderen Personen. Wireshark bietet mehrere Exportformate an, und jedes Format ist für verschiedene Anwendungsfälle konzipiert.

Exportformate verstehen

Wireshark unterstützt mehrere Exportformate. Hier ist eine kurze Erklärung zu jedem Format:

  • PCAP/PCAPNG: Dies ist das native Format für Paketaufzeichnungsdateien. Es bewahrt alle Daten genau so auf, wie sie aufgezeichnet wurden, was es ideal für die Speicherung und Wiederverwendung von Paketdaten macht.
  • CSV (Comma - Separated Values): Dieses Format eignet sich hervorragend für das Importieren der Paketdaten in Tabellenkalkulationen oder Datenbanken. Es organisiert die Daten in tabellarischer Form, die mit gängigen Datenanalysewerkzeugen einfach zu analysieren ist.
  • TXT (Klartext): Ein menschenlesbares Format. Es ist nützlich für die Erstellung von Dokumentationen, da es die Paketinformationen in einfacher Textform darstellt, die jeder verstehen kann.
  • XML: Ein strukturiertes Format. Es kann leicht von Skripten oder anderen Tools verarbeitet werden, was es für die automatisierte Analyse geeignet macht.
  • PSML/PDML: Dies sind spezielle Wireshark - Formate. PSML wird für Paketzusammenfassungen verwendet, während PDML detaillierte Paketinformationen liefert.

Spezifische Pakete exportieren

Beginnen wir damit, einige Pakete aus Ihrer Aufzeichnung zu exportieren.

  1. Zunächst müssen Sie alle angewendeten Filter löschen. Um dies zu tun, klicken Sie auf die "X" - Schaltfläche in der Filterbox. Wenn Sie die Filter löschen, werden alle aufgezeichneten Pakete angezeigt. Dieser Schritt ist wichtig, da er Ihnen einen vollständigen Überblick über alle aufgezeichneten Pakete gibt und es Ihnen ermöglicht, diejenigen auszuwählen, die Sie exportieren möchten.

    Wireshark - Anfangsansicht der Daten

  2. Wählen Sie als Nächstes die Pakete aus, die Sie exportieren möchten. Sie können dies tun, indem Sie auf das erste Paket klicken. Halten Sie dann die Shift - Taste gedrückt und klicken Sie auf ein anderes Paket. Dadurch werden alle dazwischen liegenden Pakete ausgewählt. Wenn Sie alle Pakete auswählen möchten, drücken Sie einfach Ctrl+A.

  3. Nachdem Sie die Pakete ausgewählt haben, klicken Sie auf File in der Menüleiste. Wählen Sie dann Export Specified Packets.... Diese Option ermöglicht es Ihnen, die ausgewählten Pakete in einem bestimmten Format zu speichern.

  4. Im angezeigten Exportdialog:

    • Navigieren Sie zum Verzeichnis /home/labex/project. Hier speichern Sie die exportierte Datei.
    • Prüfen Sie die Dropdown - Liste "Save as type". Wenn Wireshark/tcpdump/... - pcap nicht bereits ausgewählt ist, wählen Sie es aus. Das PCAP - Format ist ein weit verbreitetes Format für Paketdaten.
    • Geben Sie exported.pcap als Dateinamen ein. Dies wird Ihre exportierte Datei benennen.
    • Wenn Sie nicht alle Pakete ausgewählt haben, stellen Sie sicher, dass "Selected packets only" ausgewählt ist. Dadurch wird sichergestellt, dass nur die von Ihnen ausgewählten Pakete exportiert werden.
    • Klicken Sie schließlich auf Save.
    Exportdialog für Pakete

  5. Sie haben nun die ausgewählten Pakete erfolgreich in eine PCAP - Datei exportiert. Diese Datei kann in jedem Tool geöffnet werden, das das PCAP - Format unterstützt, nicht nur in Wireshark. Dies gibt Ihnen die Flexibilität, verschiedene Tools für die weitere Analyse zu verwenden.

Exportieren im CSV - Format

Jetzt exportieren wir die gleichen Daten im CSV - Format. Das CSV - Format ist sehr nützlich für die Analyse in Tabellenkalkulationsprogrammen.

  1. Stellen Sie sicher, dass Ihre Pakete noch ausgewählt sind. Wenn nicht, drücken Sie Ctrl+A, um alle Pakete erneut auszuwählen. Klicken Sie dann auf File in der Menüleiste und wählen Sie Export Packet Dissections.... Diese Option ermöglicht es Ihnen, die Paketdaten in verschiedenen Formaten zu exportieren.

  2. Klicken Sie auf die Schaltfläche As CSV.... Dadurch wird das Exportformat auf CSV festgelegt.

  3. Im Exportdialog:

    • Navigieren Sie zum Verzeichnis /home/labex/project, um die Datei zu speichern.
    • Geben Sie exported.csv als Dateinamen ein.
    • Klicken Sie auf Save.
    Exportieren von Paketen als CSV

  4. Sie haben nun die Paketdaten in eine CSV - Datei exportiert. Um den Inhalt dieser Datei anzuzeigen, können Sie den folgenden Befehl in einem Terminal verwenden:

    head -n 10 /home/labex/project/exported.csv

    Dieser Befehl zeigt die ersten 10 Zeilen der CSV - Datei an. Er zeigt Ihnen die Spaltenüberschriften und einige Paketdaten, sodass Sie schnell einen Überblick über den Dateiinhalt erhalten.

Exportieren von Paketbytes

Manchmal müssen Sie möglicherweise die eigentlichen Rohbytes eines Pakets exportieren. So können Sie es tun:

  1. Wählen Sie ein einzelnes Paket in der Paketliste aus. Dies ist das Paket, dessen Rohbytes Sie exportieren möchten.

  2. Klicken Sie mit der rechten Maustaste auf das Paket und wählen Sie Export Packet Bytes.... Diese Option ermöglicht es Ihnen, die Rohdaten des Pakets zu speichern.

  3. Im Exportdialog:

    • Navigieren Sie zum Verzeichnis /home/labex/project.
    • Geben Sie packet_bytes.bin als Dateinamen ein.
    • Klicken Sie auf Save.

  4. Sie haben nun die Rohbytes des ausgewählten Pakets exportiert. Dies kann für eine detaillierte Analyse oder für das Extrahieren von Dateien, die in Paketen eingebettet sind, sehr nützlich sein.

Diese Exportoptionen geben Ihnen viel Flexibilität bei der Analyse und dem Teilen Ihrer Paketaufzeichnungsdaten. Das von Ihnen gewählte Format hängt von Ihren spezifischen Bedürfnissen und den Tools ab, die Sie für die weitere Analyse verwenden möchten.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie Wireshark, einen leistungsstarken Netzwerkprotokollanalyzer, nutzen können, um Netzwerkpakete aufzuzeichnen, zu filtern und zu exportieren. Zunächst haben Sie sich mit der Wireshark - Oberfläche vertraut gemacht und live Netzwerkverkehr aufgezeichnet. Dann haben Sie gelernt, Filter anzuwenden, um auf bestimmte Verkehrstypen wie HTTP - Anfragen oder TCP - Kommunikationen abzuzielen. Schließlich haben Sie verschiedene Möglichkeiten erkundet, Pakete in Formaten wie PCAP und CSV für die weitere Analyse oder zum Teilen zu exportieren.

Diese Fähigkeiten sind für Netzwerkadministratoren, Sicherheitsanalysten und IT - Fachkräfte unerlässlich. Sie ermöglichen die effiziente Fehlerbehebung von Netzwerkproblemen, die Untersuchung von Sicherheitsvorfällen und das Verständnis des Netzwerkverhaltens. Das Beherrschen der Paketexportfunktionen von Wireshark bietet ein wertvolles Werkzeug für die Cybersicherheit und die Netzwerkanalyse und legt die Grundlage für fortgeschrittenere Techniken, die in realen IT - und Sicherheitsrollen anwendbar sind.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger