LabEx
AnmeldenKostenlos beitreten

Protokollstatistiken in Tshark generieren

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, Netzwerkverkehr mit dem Befehlszeilentool tshark von Wireshark zu analysieren, indem Sie Protokollstatistiken aus einer Paketaufzeichnungsdatei generieren. Sie werden wichtige Optionen wie -r zum Lesen von Dateien, -q für den Stumm-Modus und -z io,phs für Protokollhierarchiestatistiken untersuchen.

Diese Übung führt Sie durch die Überprüfung von Aufzeichnungsdateien, das Anzeigen von Paketzusammenfassungen und die Interpretation von Protokollverteilungen. Diese praktische Erfahrung wird Ihre Fähigkeiten in der Netzwerkanalyse mit den statistischen Funktionen von tshark verbessern.

Datei mit -r capture.pcap lesen

In diesem Schritt lernen Sie, wie Sie eine Paketaufzeichnungsdatei mit dem Befehlszeilentool tshark von Wireshark öffnen und analysieren. Die Option -r ist von grundlegender Bedeutung, da sie angibt, welche Paketaufzeichnungsdatei gelesen werden soll. Stellen Sie sich das wie das Öffnen eines Dokuments mit einem Texteditor vor - Sie müssen dem Programm mitteilen, mit welcher Datei es arbeiten soll.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Verzeichnis befinden. Öffnen Sie das Terminal und führen Sie aus:

    cd ~/project

    Dieser Befehl führt Sie in das Projektverzeichnis, in dem unsere Beispiel-Aufzeichnungsdatei gespeichert ist. Es ist wie das Öffnen des richtigen Ordners, bevor Sie auf eine Datei zugreifen.

  2. Die Lab-Umgebung stellt eine Beispiel-Aufzeichnungsdatei mit dem Namen capture.pcap zur Verfügung. Überprüfen Sie deren Existenz:

    ls -l capture.pcap

    Die erwartete Ausgabe sollte die Dateidetails wie folgt anzeigen:

    -rw-r--r-- 1 labex labex 12345 Jan 1 00:00 capture.pcap

    Der Befehl ls -l zeigt die Dateiberechtigungen, die Größe und die Änderungszeit an. Dies bestätigt, dass die Datei vorhanden und zugänglich ist, bevor wir versuchen, sie zu analysieren.

  3. Um die Aufzeichnungsdatei mit tshark zu lesen, führen Sie aus:

    tshark -r capture.pcap

    Dieser Befehl liest die Datei capture.pcap und zeigt die Zusammenfassungsinformationen jedes Netzwerkpakets an. Sie werden Spalten sehen, die Folgendes anzeigen:

    • Paketnummer (Reihenfolge in der Aufzeichnung)
    • Zeitstempel (wann es aufgezeichnet wurde)
    • Quell- und Ziel-IP-Adressen
    • Verwendetes Protokoll (TCP, UDP usw.)
    • Grundlegende Informationen über das Paket

  4. Für eine sauberere Ausgabe mit nur Paketnummern und Protokollen fügen Sie die Option -q (Stumm-Modus) hinzu:

    tshark -r capture.pcap -q

    Die Option -q vereinfacht die Ausgabe, indem einige Details unterdrückt werden. Dies ist nützlich, wenn Sie nur schnell die Arten von Verkehr in der Aufzeichnung überprüfen möchten, ohne alle Paketdetails zu sehen.

  5. Um die Paketliste zu beenden, drücken Sie Ctrl+C, wenn Sie genug Ausgabe gesehen haben. Diese Tastenkombination stoppt die Ausführung des Befehls und bringt Sie zurück zum Terminal-Prompt.

Denken Sie daran, dass diese Befehle nur die aufgezeichneten Pakete anzeigen - wir ändern die Datei in keiner Weise. In den nächsten Schritten erfahren Sie, wie Sie diesen Verkehr detaillierter analysieren können.

Hierarchiestatistiken mit -z io,phs berechnen

In diesem Schritt werden wir untersuchen, wie man Netzwerkverkehr analysiert, indem man Protokollhierarchiestatistiken mit dem Befehlszeilentool tshark von Wireshark generiert. Die Option -z io,phs erstellt eine strukturierte Übersicht, die zeigt, wie verschiedene Netzwerkprotokolle in Ihrem aufgezeichneten Verkehr miteinander in Beziehung stehen.

  1. Zunächst stellen wir sicher, dass wir uns im richtigen Arbeitsverzeichnis befinden, in dem unsere Aufzeichnungsdatei gespeichert ist:

    cd ~/project

    Dieser Befehl führt uns in das Projektverzeichnis, in dem wir mit unserer Paketaufzeichnungsdatei arbeiten werden.

  2. Jetzt analysieren wir die Datei capture.pcap, um die Protokollverteilung zu sehen. Führen Sie diesen Befehl aus:

    tshark -r capture.pcap -z io,phs

    Hier ist, was jeder Teil macht:

    • -r capture.pcap liest unsere Paketaufzeichnungsdatei
    • -z io,phs generiert die Protokollhierarchiestatistiken

  3. Der Befehl erzeugt eine Ausgabe, die zeigt, wie die Protokolle in Ihrem Netzwerkverkehr geschichtet sind. Hier ist eine Beispielstruktur:

    ======================================================
Protocol Hierarchy Statistics
Filter:

eth                                      frames:100 bytes:10000
  ip                                     frames:90 bytes:9000
    tcp                                  frames:80 bytes:8000
      http                               frames:70 bytes:7000
    udp                                  frames:10 bytes:1000
  arp                                    frames:10 bytes:1000
======================================================

    Diese Baumstruktur zeigt:

    • Ethernet (eth) als Basis-Ebene, die gesamten Verkehr trägt
    • IP-Pakete, die 90 % der Ethernet-Frames ausmachen
    • TCP als das dominierende Transportprotokoll innerhalb von IP
    • HTTP-Verkehr, der den Großteil der TCP-Pakete ausmacht

  4. Die Statistiken liefern für jedes Protokoll drei Schlüsselinformationen:

    • Prozentsatz des gesamten Verkehrs (impliziert durch die Frame-Zählungen)
    • Absolute Zahlen der übertragenen Frames und Bytes
    • Die Kapselungsbeziehung zwischen den Protokollen

  5. Für eine sauberere Ansicht ohne zusätzliche Aufzeichnungsinformationen fügen Sie die Option -q (Stumm-Modus) hinzu:

    tshark -r capture.pcap -z io,phs -q

    Die Option -q unterdrückt zusätzliche Details und gibt Ihnen nur die Protokollhierarchiestatistiken. Dies ist besonders nützlich, wenn Sie nur die Protokollaufteilung benötigen.

Paketdetails mit -q unterdrücken

In diesem Schritt lernen Sie die Option -q in tshark kennen, die Ihnen hilft, die Ausgabe bei der Analyse von Netzwerkverkehr zu vereinfachen. Dies ist besonders nützlich, wenn Sie nur statistische Informationen und nicht detaillierte Paketinhalt benötigen.

  1. Zunächst navigieren wir in unser Arbeitsverzeichnis, in dem die Paketaufzeichnungsdatei gespeichert ist:

    cd ~/project

    Dadurch stellen wir sicher, dass wir uns an der richtigen Stelle befinden, um auf unsere Beispiel-Aufzeichnungsdatei zuzugreifen.

  2. Schauen wir uns zunächst an, wie die normale tshark-Ausgabe ohne die Option -q aussieht:

    tshark -r capture.pcap

    Dieser Befehl zeigt vollständige Paketinformationen an, einschließlich Protokoll-Headern und Nutzdaten. Für Anfänger kann diese Ausgabe überwältigend wirken, wenn Sie nur an allgemeinen Statistiken interessiert sind und zu viele Details zu sehen bekommen.

  3. Versuchen wir nun den gleichen Befehl mit der Option -q (Stumm-Modus):

    tshark -r capture.pcap -q

    Beachten Sie, wie dies die detaillierten Paketinformationen unterdrückt und Ihnen eine sauberere Ausgabe liefert. Die Option -q teilt tshark mit, nur Zusammenfassungsinformationen anzuzeigen, die leichter zu lesen sind, wenn Sie keine Paket-Level-Details benötigen.

  4. Kombinieren wir nun -q mit den Protokollhierarchiestatistiken, die wir zuvor gelernt haben:

    tshark -r capture.pcap -z io,phs -q

    Diese leistungsstarke Kombination liefert Ihnen nur die Protokollstatistiken ohne irgendwelche störenden Paketdetails. Die Option -z io,phs generiert die Statistiken, während -q sicherstellt, dass wir nur die statistische Zusammenfassung sehen.

  5. Wichtige Unterschiede, die zu beobachten sind:

    • Ohne -q: Zeigt die vollständige Paketanalyse einschließlich aller Protokollschichten an
    • Mit -q: Bietet eine sauberere Ansicht, die nur Zusammenfassungs- / statistische Informationen zeigt
    • Besonders nützlich, wenn es mit Statistikoptionen (-z) kombiniert wird, für eine fokussierte Analyse

Denken Sie daran, dass die Option -q Ihr Freund ist, wenn Sie sich auf das Große Ganze und nicht auf einzelne Paketdetails konzentrieren möchten. Sie hilft, visuelle Störungen zu reduzieren und liefert dennoch die wesentlichen Informationen, die Sie für die Netzwerkanalyse benötigen.

Statistiken auf der Konsole anzeigen

In diesem Schritt lernen Sie, wie Sie die leistungsstarken statistischen Funktionen von tshark nutzen können, um Netzwerkverkehrsmuster direkt in Ihrem Terminal zu analysieren. Diese Befehle helfen Ihnen, die Verkehrsverteilung zu verstehen, die häufigsten Kommunikatoren zu identifizieren und ungewöhnliche Muster in den aufgezeichneten Netzwerkdaten zu entdecken.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem Ihre Aufzeichnungsdatei gespeichert ist. Dies ist wichtig, da tshark auf die Datei zugreifen muss:

    cd ~/project

  2. Zeigen Sie grundlegende Statistiken der Aufzeichnungsdatei mit Zeitintervallen an. Die Option -q unterdrückt Paketdetails, während -z io,stat,60 60-Sekunden-Zusammenfassungsblöcke erstellt:

    tshark -r capture.pcap -q -z io,stat,60

    Dies zeigt, wie sich das Verkehrsaufkommen im Laufe der Zeit in Ein-Minuten-Segmenten ändert.

  3. Um zu sehen, welche IP-Adressen am aktivsten sind (Endpunkt-Statistiken), zählt dieser Befehl den Verkehr pro Adresse:

    tshark -r capture.pcap -q -z endpoints,ip

    Es listet alle kommunizierenden IPs mit ihrer Anzahl gesendeter/empfangener Pakete und Bytes auf.

  4. Für Gesprächsstatistiken, die zeigen, welche IP-Paare kommunizieren und wie viel:

    tshark -r capture.pcap -q -z conv,ip

    Dies zeigt die Kommunikationsmuster zwischen bestimmten Quell-Ziel-Paaren auf.

  5. Kombinieren Sie mehrere Statistiken in einem Befehl für eine umfassende Analyse:

    tshark -r capture.pcap -q -z io,stat,60 -z endpoints,ip -z conv,ip

  6. Wenn Sie die Statistiken überprüfen, konzentrieren Sie sich auf diese Schlüsselindikatoren:

    • Gesamtzahl der Pakete und Bytes: Gesamtes Verkehrsaufkommen
    • Verkehrsverteilung über die Zeit: Entdecken Sie Spitzen oder ungewöhnliche Muster
    • Die häufigsten kommunizierenden Endpunkte: Identifizieren Sie intensive Nutzer
    • Gesprächspaare: Verstehen Sie, wer mit wem spricht und wie viel

Zusammenfassung

In diesem Lab haben Sie gelernt, das Befehlszeilentool tshark von Wireshark für die Netzwerkverkehrsanalyse zu nutzen. Sie haben gelernt, Paketaufzeichnungsdateien mit der Option -r zu lesen und die Ausgabe mit der Option -q zu vereinfachen, um sie besser lesbar zu machen.

Darüber hinaus haben Sie die Generierung von Protokollhierarchiestatistiken mithilfe der Option -z io,phs erkundet. Diese Statistiken geben wertvolle Einblicke in die Protokollverteilung im Netzwerkverkehr. Mit dieser Technik können Sie die Zusammensetzung des Verkehrs schnell bewerten, ohne einzelne Pakete untersuchen zu müssen.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger