LabEx
AnmeldenKostenlos beitreten

Umgang mit großen Dateien in Tshark

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab werden Sie effiziente Techniken zum Verarbeiten großer Paketaufzeichnungsdateien (packet capture files) mithilfe des Befehlszeilentools tshark von Wireshark lernen. Sie üben das Öffnen von PCAP-Dateien mit -r, das Begrenzen von Paketen mit -c, das Filtern von Netzwerkverkehr mit -Y und das Exportieren von Teilmengen mit -w.

Durch praktische Übungen werden Sie das Umgang mit großen Datensätzen beherrschen, indem Sie Paketlimits, Protokollfilter und Dateisegmentierung anwenden. Diese Fähigkeiten sind unerlässlich für Netzwerkfehlersuche-Szenarien, die eine Optimierung der Ressourcen und eine präzise Datenextraktion erfordern.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/packet_capture -.-> lab-548931{{"Umgang mit großen Dateien in Tshark"}} wireshark/display_filters -.-> lab-548931{{"Umgang mit großen Dateien in Tshark"}} wireshark/export_packets -.-> lab-548931{{"Umgang mit großen Dateien in Tshark"}} wireshark/packet_analysis -.-> lab-548931{{"Umgang mit großen Dateien in Tshark"}} wireshark/commandline_usage -.-> lab-548931{{"Umgang mit großen Dateien in Tshark"}} end

Datei mit -r large.pcap öffnen

In diesem Schritt lernen Sie, wie Sie eine Paketaufzeichnungsdatei (packet capture, PCAP) mithilfe der Befehlszeilenschnittstelle tshark von Wireshark öffnen und untersuchen können. PCAP-Dateien enthalten Netzwerkverkehrsdaten, die von einer Netzwerkschnittstelle aufgezeichnet wurden. Die Option -r steht für "read" (lesen) und teilt tshark mit, welche Datei verarbeitet werden soll.

  1. Zunächst müssen wir in das Verzeichnis navigieren, in dem sich unsere Paketaufzeichnungsdatei befindet. Führen Sie in der Kommandozeile folgenden Befehl aus:

    cd ~/project

    Dadurch wird Ihr Arbeitsverzeichnis auf den Ort geändert, an dem die Datei large.pcap gespeichert ist. Es ist wichtig, sich im richtigen Verzeichnis zu befinden, damit tshark die Datei finden kann.

  2. Öffnen und zeigen wir nun den Inhalt von large.pcap an, indem wir folgenden Befehl verwenden:

    tshark -r large.pcap

    Dieser Befehl liest die Datei und gibt die Paketdaten in Ihrer Kommandozeile aus. Jede Zeile repräsentiert ein Netzwerkpaket, das aufgezeichnet wurde.

  3. Die Ausgabe zeigt mehrere wichtige Spalten mit Informationen für jedes Paket an:

    • Paketnummer: Die Sequenznummer des Pakets in der Aufzeichnung
    • Zeitstempel: Wann das Paket aufgezeichnet wurde
    • Quell- und Ziel-IPs: Woher das Paket stammt und wohin es geht
    • Protokoll: Das verwendete Netzwerkprotokoll (z. B. TCP, UDP, HTTP)
    • Länge: Die Größe des Pakets in Bytes
    • Info: Zusätzliche Details darüber, was das Paket enthält

  4. Da große PCAP-Dateien eine große Menge an Ausgabe produzieren können, können Sie die Ausgabe leichter lesbar machen, indem Sie sie an less weiterleiten:

    tshark -r large.pcap | less

    Dadurch können Sie die Ausgabe Seite für Seite mit den Pfeiltasten durchscrollen. Drücken Sie q, wenn Sie den Viewer verlassen und zum Befehlseingabeaufforderung zurückkehren möchten.

Verarbeitung mit -c 10000 begrenzen

In diesem Schritt werden wir untersuchen, wie man die Menge der verarbeiteten Daten aus großen Paketaufzeichnungsdateien kontrollieren kann. Bei der Netzwerkanalyse begegnet man oft sehr großen PCAP-Dateien, die Millionen von Paketen enthalten können. Die Verarbeitung aller Pakete auf einmal kann zeitaufwendig und ressourcenintensiv sein. Hier kommt die Option -c in tshark ins Spiel.

Das -c-Flag ermöglicht es Ihnen, genau anzugeben, wie viele Pakete Sie von Anfang der Datei an verarbeiten möchten. Dies ist besonders nützlich, wenn Sie Ihre Analysemethode nur testen oder wenn Sie nur eine repräsentative Stichprobe des Netzwerkverkehrs untersuchen müssen.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Arbeitsverzeichnis befinden, in dem sich Ihre Aufzeichnungsdatei befindet:

    cd ~/project

  2. Jetzt verarbeiten wir nur die ersten 10.000 Pakete aus unserer large.pcap-Datei. Die Befehlsstruktur ist einfach: Geben Sie die Eingabedatei mit -r und die Paketanzahlbegrenzung mit -c an:

    tshark -r large.pcap -c 10000

  3. Wenn der Befehl abgeschlossen ist, erhalten Sie die Bestätigung, dass genau 10.000 Pakete verarbeitet wurden. Die Ausgabe wird deutlich anzeigen:

    10000 packets captured

  4. Da selbst 10.000 Pakete eine beträchtliche Ausgabe generieren können, können wir die Ergebnisse an less weiterleiten, um die Ansicht zu erleichtern. So können Sie die Ausgabe Seite für Seite durchscrollen:

    tshark -r large.pcap -c 10000 | less

  5. Praktische Szenarien, in denen die Begrenzung der Paketverarbeitung von Vorteil ist, umfassen:

    • Schnelle Analyse großer Dateien ohne Wartezeit auf die vollständige Verarbeitung
    • Überprüfung, ob Ihre Filter-Syntax korrekt funktioniert, bevor Sie sie auf die gesamte Datei anwenden
    • Sparen von Systemressourcen, wenn Sie nur eine Stichprobe des Netzwerkverkehrs benötigen
    • Testen von Analyseskripten an einem handhabbaren Datensatz, bevor Sie die Skalierung vornehmen

IP-Netzwerkverkehr mit -Y "ip" filtern

In diesem Schritt konzentrieren wir uns darauf, den Netzwerkverkehr zu filtern, um nur IP-Pakete anzuzeigen, indem wir die leistungsstarke Anzeigefilteroption -Y von Tshark nutzen. Dies ist besonders nützlich, wenn Sie mit großen Aufzeichnungsdateien arbeiten und schnell bestimmten Protokollverkehr isolieren müssen.

  1. Zunächst navigieren wir in das Projektverzeichnis, in dem sich unsere Aufzeichnungsdatei befindet. So stellen wir sicher, dass wir mit der richtigen Datei arbeiten:

    cd ~/project

  2. Jetzt verwenden wir den -Y-Filter, um nur IP-Netzwerkverkehr aus unserer Aufzeichnungsdatei anzuzeigen. Der folgende Befehl liest die Datei 'large.pcap' und wendet unseren Filter an:

    tshark -r large.pcap -Y "ip"

  3. Nachdem Sie diesen Befehl ausgeführt haben, werden Sie feststellen, dass die Ausgabe nur Pakete anzeigt, die diesen Kriterien entsprechen:

    • Verwenden entweder IPv4- oder IPv6-Protokolle
    • Enthalten in ihrer Struktur korrekte IP-Header
    • Schließen nicht-IP-Netzwerkverkehr wie ARP (Address Resolution Protocol) oder STP (Spanning Tree Protocol) aus

  4. Um große Dateien besser zu verarbeiten, können wir diesen Filter mit anderen Optionen kombinieren, die wir gelernt haben. In diesem Beispiel wird die Verarbeitung auf 10.000 Pakete begrenzt, und die Ausgabe wird an less weitergeleitet, um die Ansicht zu erleichtern:

    tshark -r large.pcap -c 10000 -Y "ip" | less

  5. Der -Y-Filter verwendet die Anzeigefiltersyntax von Wireshark, die viele Möglichkeiten bietet, darunter:

    • Protokollbasierte Filterung (ip, tcp, udp)
    • Filterung nach Quell-/Zieladresse (ip.src, ip.dst)
    • Filterung nach Portnummer (tcp.port, udp.port)

Teilmenge mit -w small.pcap speichern

In diesem Schritt lernen Sie, wie Sie einen bestimmten Teil des Netzwerkverkehrs aus einer großen Aufzeichnungsdatei extrahieren und speichern können. Dies ist besonders nützlich, wenn Sie mit massiven PCAP-Dateien arbeiten, deren vollständige Analyse zu ressourcenintensiv wäre.

  1. Navigieren Sie zunächst in das Projektverzeichnis, in dem sich Ihre Aufzeichnungsdateien befinden. So stellen Sie sicher, dass alle Dateivorgänge am richtigen Ort stattfinden:

    cd ~/project

  2. Der folgende Befehl zeigt, wie Sie mehrere Tshark-Funktionen kombinieren können, um eine handhabbare Teilmenge-Datei zu erstellen. Hier lesen wir aus der Datei 'large.pcap', behalten aber nur die ersten 10.000 IP-Pakete:

    tshark -r large.pcap -c 10000 -Y "ip" -w small.pcap

    Zerlegt man diesen Befehl:

    • -r large.pcap gibt die Eingabedatei an
    • -c 10000 begrenzt die Verarbeitung auf die ersten 10.000 Pakete
    • -Y "ip" wendet einen Anzeigefilter an, um nur IP-Netzwerkverkehr einzuschließen
    • -w small.pcap schreibt die gefilterten Ergebnisse in eine neue Datei

  3. Überprüfen Sie nach Ausführung des Befehls, ob die Ausgabedatei erfolgreich erstellt wurde. Der ls-Befehl mit den -lh-Flags zeigt die Dateigröße in menschenlesbarer Form (z. B. KB/MB) sowie andere Details an:

    ls -lh small.pcap

  4. Jetzt können Sie effizienter mit dieser kleineren, gefilterten Datei arbeiten. Um ihren Inhalt anzuzeigen, leiten Sie die Ausgabe an less weiter, das das Scrollen durch die Pakete ermöglicht:

    tshark -r small.pcap | less

    Dies ist viel schneller als die Verarbeitung der ursprünglichen großen Datei und enthält nur den von Ihnen angegebenen IP-Netzwerkverkehr.

Zusammenfassung

In diesem Lab haben Sie die wichtigsten Techniken zum effizienten Verarbeiten großer Paketaufzeichnungsdateien mit dem Befehlszeilentool tshark von Wireshark gelernt. Sie haben das Öffnen von Dateien mit -r, die Begrenzung der Paketanzahl über -c, die Anwendung von Anzeigefiltern mit -Y und das Exportieren von Teilmengen mit -w geübt, um große Datensätze effektiv zu verwalten.

Die Übungen haben praktische Fähigkeiten für die terminalbasierte Analyse gezeigt, einschließlich der Navigation in der Ausgabe mit less und der gezielten Paketextraktion. Diese Fähigkeiten sind für Netzwerkprofis, die mit umfangreichen Netzwerkverkehrsaufzeichnungen arbeiten, unerlässlich, um die Ressourcen des Systems optimal zu nutzen.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger