LabEx
AnmeldenKostenlos beitreten

Wie man Cybersicherheits-Netzwerkverkehr mit der Wireshark-Befehlszeilenschnittstelle (CLI) analysiert

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In der ständig sich entwickelnden Landschaft der Cybersicherheit (Cybersecurity) ist das Verständnis und die Analyse des Netzwerkverkehrs von entscheidender Bedeutung für die Aufrechterhaltung solider Sicherheitsmaßnahmen. In diesem Tutorial werden Sie durch den Prozess geführt, wie Sie die Befehlszeilenschnittstelle (CLI, command-line interface) von Wireshark nutzen können, um Cybersicherheits-relevanten Netzwerkverkehr aufzuzeichnen und zu analysieren. Dadurch werden Sie mit den erforderlichen Fähigkeiten ausgestattet, um die Sicherheitslage Ihres Netzwerks zu verbessern.

Einführung in Wireshark und die Befehlszeilenschnittstelle (CLI)

Wireshark ist ein leistungsstarker Netzwerkprotokoll-Analyzer, der es Ihnen ermöglicht, Netzwerkverkehr aufzuzeichnen, zu untersuchen und zu analysieren. Es ist ein weit verbreitetes Tool auf dem Gebiet der Cybersicherheit (Cybersecurity), um netzwerkbezogene Probleme zu verstehen und zu beheben. Wireshark bietet eine grafische Benutzeroberfläche (GUI, graphical user interface) für seine Hauptfunktionen, aber es verfügt auch über eine Befehlszeilenschnittstelle (CLI, command-line interface) namens tshark, mit der Sie Netzwerkverkehrsanalysen direkt aus der Kommandozeile durchführen können.

Was ist die Wireshark-Befehlszeilenschnittstelle (tshark)?

tshark ist die Befehlszeilenversion von Wireshark und bietet die gleichen Netzwerkanalysefunktionen wie die GUI-Version, jedoch mit einer textbasierten Schnittstelle. tshark ermöglicht es Ihnen, Netzwerkverkehr direkt aus der Kommandozeile aufzuzeichnen, zu filtern und zu analysieren. Dadurch wird es zu einem wertvollen Tool für Cybersicherheitsexperten und Netzwerkadministratoren.

Vorteile der Verwendung der Wireshark-Befehlszeilenschnittstelle (tshark)

  1. Skripting und Automatisierung: Die CLI-Schnittstelle von tshark erleichtert die Integration in Skripte und Automatisierungsworkflows, sodass Sie Netzwerkverkehrsanalysetasks automatisieren können.
  2. Remote-Zugriff: Sie können tshark verwenden, um Netzwerkverkehr auf Remote-Systemen aufzuzeichnen und zu analysieren. Dies macht es zu einem wertvollen Tool für die Reaktion auf Vorfälle und die Netzwerkfehlersuche.
  3. Ressourceneffizient: tshark ist im Allgemeinen leichter und ressourceneffizienter als die vollständige Wireshark-GUI, was es für die Verwendung auf Systemen mit begrenzten Ressourcen geeignet macht.
  4. Zielgerichtete Analyse: Die CLI-Schnittstelle von tshark ermöglicht es Ihnen, sich auf bestimmte Aspekte des Netzwerkverkehrs zu konzentrieren, was die zielgerichtete Analyse und die Extraktion relevanter Informationen erleichtert.

Installation der Wireshark-Befehlszeilenschnittstelle (tshark) auf Ubuntu 22.04

Um tshark auf einem Ubuntu 22.04-System zu installieren, befolgen Sie diese Schritte:

  1. Aktualisieren Sie den Paketindex:
sudo apt-get update
  1. Installieren Sie das tshark-Paket:
sudo apt update
sudo apt-get install tshark
  1. Überprüfen Sie die Installation, indem Sie die tshark-Version prüfen:
tshark --version

Sie sollten die Versionsinformationen angezeigt bekommen, was auf eine erfolgreiche Installation hinweist.

Aufzeichnung von Netzwerkverkehr mit der Wireshark-Befehlszeilenschnittstelle (CLI)

Aufzeichnung von Netzwerkverkehr mit tshark

Um Netzwerkverkehr mit tshark aufzuzeichnen, können Sie den folgenden Befehl verwenden:

tshark -i <interface> -w <output_file.pcap>

Hierbei ist <interface> die Netzwerkschnittstelle, auf der Sie den Verkehr aufzeichnen möchten, und <output_file.pcap> der Name der Ausgabedatei, in der der aufgezeichnete Verkehr im pcap-Format gespeichert wird.

Beispielsweise würden Sie den folgenden Befehl verwenden, um den Verkehr auf der Schnittstelle eth0 aufzuzeichnen und ihn in einer Datei namens network_traffic.pcap zu speichern:

tshark -i eth0 -w network_traffic.pcap

Filtern des aufgezeichneten Verkehrs

tshark bietet eine leistungsstarke Reihe von Filteroptionen, um Ihnen zu helfen, sich auf den spezifischen Verkehr zu konzentrieren, an dem Sie interessiert sind. Sie können Anzeigefilter (display filters) verwenden, um den aufgezeichneten Verkehr basierend auf verschiedenen Kriterien zu filtern, wie z. B. Protokoll, Quell- oder Ziel-IP-Adresse, Portnummer und vieles mehr.

Hier ist ein Beispiel, wie Sie Verkehr aufzeichnen und ihn auf HTTP-Anfragen filtern können:

tshark -i eth0 -w http_traffic.pcap -Y "http"

Die Option -Y wird verwendet, um den Anzeigefilter anzugeben. In diesem Fall wird nach dem HTTP-Protokoll gefiltert.

Aufzeichnung von Verkehr für eine bestimmte Dauer

Sie können auch Verkehr für eine bestimmte Zeitdauer aufzeichnen, indem Sie die Option -a verwenden. Beispielsweise um Verkehr für 60 Sekunden aufzuzeichnen:

tshark -i eth0 -w network_traffic.pcap -a duration:60

Aufzeichnung von Verkehr von mehreren Schnittstellen

Wenn Sie Verkehr von mehreren Netzwerkschnittstellen aufzeichnen müssen, können Sie die Option -i mehrmals verwenden:

tshark -i eth0 -i eth1 -w network_traffic.pcap

Dadurch wird Verkehr von beiden Schnittstellen eth0 und eth1 aufgezeichnet und in der Datei network_traffic.pcap gespeichert.

Aufzeichnung von Verkehr im Promiskuitätsmodus (Promiscuous Mode)

Um gesamten Verkehr im Netzwerk aufzuzeichnen, einschließlich Verkehr, der nicht direkt an das Aufzeichnungsgerät gerichtet ist, können Sie die Option -p verwenden, um den Promiskuitätsmodus zu aktivieren:

tshark -i eth0 -p -w network_traffic.pcap

Dadurch wird der gesamte Verkehr auf der Schnittstelle eth0 aufgezeichnet, unabhängig vom Ziel.

Analyse von Cybersicherheits-Netzwerkverkehr

Analyse des aufgezeichneten Verkehrs mit tshark

Sobald Sie den Netzwerkverkehr mit tshark aufgezeichnet haben, können Sie die Daten analysieren, um potenzielle Sicherheitsbedrohungen oder Anomalien zu identifizieren. tshark bietet eine Vielzahl von Optionen und Filtern, um Ihnen die Analyse des aufgezeichneten Verkehrs zu erleichtern.

Anzeige von Paketinformationen

Um die aufgezeichneten Pakete und ihre Details anzuzeigen, können Sie den folgenden Befehl verwenden:

tshark -r network_traffic.pcap

Dadurch werden die Paketinformationen angezeigt, einschließlich des Protokolls, der Quell- und Zieladressen sowie anderer relevanter Details.

Filtern des Verkehrs nach Protokoll

Sie können den aufgezeichneten Verkehr basierend auf bestimmten Protokollen filtern, um sich auf den für Ihre Cybersicherheitsanalyse relevanten Verkehr zu konzentrieren. Beispielsweise können Sie nur den HTTP-Verkehr anzeigen:

tshark -r network_traffic.pcap -Y "http"

Dadurch werden nur die Pakete angezeigt, die mit dem HTTP-Protokoll übereinstimmen.

Analyse von Verkehrsmustern

tshark kann verwendet werden, um Verkehrsmuster zu analysieren und potenzielle Sicherheitsbedrohungen zu identifizieren. Beispielsweise können Sie nach ungewöhnlichen Verkehrsvolumina, verdächtigen Quell- oder Zieladressen oder ungewöhnlichem Protokollgebrauch suchen.

Hier ist ein Beispiel, wie Sie die Top-Talker (Hosts mit dem höchsten Verkehrsvolumen) in den aufgezeichneten Daten anzeigen können:

tshark -r network_traffic.pcap -q -z conv,ip

Dadurch wird eine Tabelle angezeigt, die die Top-IP-Konversationen zeigt. Dies kann Ihnen helfen, Hosts zu identifizieren, die viel Verkehr generieren.

Erkennung von Anomalien

tshark kann auch verwendet werden, um Anomalien im Netzwerkverkehr zu erkennen, wie z. B. ungewöhnlichen Protokollgebrauch, unerwartete Portnummern oder verdächtige IP-Adressen. Sie können eine Kombination aus Filtern und Anzeigeoptionen verwenden, um diese Anomalien zu identifizieren.

Beispielsweise können Sie potenzielle Port-Scanning-Aktivitäten erkennen, indem Sie nach einer großen Anzahl von Verbindungsversuchen zu verschiedenen Ports auf demselben Host suchen:

tshark -r network_traffic.pcap -Y "tcp.flags.syn == 1 && tcp.flags.ack == 0" -q -z io,phs

Dadurch wird ein Histogramm angezeigt, das die Verteilung der TCP-SYN-Pakete zeigt. Dies kann Ihnen helfen, potenzielle Port-Scanning-Aktivitäten zu identifizieren.

Integration mit LabEx

LabEx, ein führender Anbieter von Cybersicherheitslösungen, bietet eine Reihe von Tools und Dienstleistungen, um Ihre Fähigkeiten zur Netzwerkverkehrsanalyse zu verbessern. Indem Sie die Lösungen von LabEx mit tshark integrieren, können Sie fortschrittliche Funktionen und Techniken nutzen, um Ihre Cybersicherheitslage zu verbessern.

Zusammenfassung

Am Ende dieses Tutorials werden Sie ein solides Verständnis davon haben, wie Sie die Wireshark-Befehlszeilenschnittstelle (CLI) nutzen können, um Cybersicherheits-Netzwerkverkehr aufzuzeichnen und zu analysieren. Mit diesen Kenntnissen können Sie potenzielle Bedrohungen identifizieren, Sicherheitsvorfälle untersuchen und fundierte Entscheidungen treffen, um die Verteidigungsfähigkeit Ihres Netzwerks gegen Cybersicherheitsangriffe zu stärken.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger