LabEx
AnmeldenKostenlos beitreten

Erfassungsgröße in Tshark begrenzen

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, die Paketaufnahmegröße in Wireshark mithilfe von Tshark-Befehlen zu steuern. Sie werden zwei wesentliche Techniken erkunden: die Begrenzung der Gesamtanzahl der Pakete mit -c 500 und die Beschränkung der Paketlänge mit -s 128, um nur die Header aufzunehmen und gleichzeitig Speicherplatz zu sparen.

Durch praktische Übungen auf der Schnittstelle eth1 werden Sie den Datenverkehr in die Datei limited.pcap aufnehmen und beobachten, wie sich verschiedene Einstellungen auf Ihre Aufnahmen auswirken. Diese praktische Erfahrung wird Ihnen helfen, die Paketsammlung für verschiedene Analyseszenarien zu optimieren.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/interface -.-> lab-548932{{"Erfassungsgröße in Tshark begrenzen"}} wireshark/packet_capture -.-> lab-548932{{"Erfassungsgröße in Tshark begrenzen"}} wireshark/export_packets -.-> lab-548932{{"Erfassungsgröße in Tshark begrenzen"}} wireshark/commandline_usage -.-> lab-548932{{"Erfassungsgröße in Tshark begrenzen"}} end

Paketanzahl mit -c 500 festlegen

In diesem Schritt lernen Sie, wie Sie die Dauer der Paketaufnahme steuern können, indem Sie die Anzahl der von Wireshark gesammelten Pakete begrenzen. Die Option -c ist besonders wertvoll, wenn Sie eine repräsentative Stichprobe des Netzwerkverkehrs benötigen, ohne Ihr System durch eine kontinuierliche Aufnahme zu überlasten.

  1. Öffnen Sie zunächst das Terminal in Ihrer LabEx-VM. Das System platziert Sie automatisch im richtigen Arbeitsverzeichnis (~/project), sodass Sie sofort beginnen können.

  2. Die Befehlsstruktur folgt diesem grundlegenden Muster:

tcpdump -c [Anzahl] [andere Optionen]

Hier bestimmt [Anzahl], wann genau die Aufnahme stoppt, indem die maximale Anzahl der zu sammelnden Pakete angegeben wird. Dies verhindert unendliche Ausführungen, die Ihren Speicher füllen könnten.

  1. Lassen Sie uns als Hauptübung 500 Pakete aufnehmen. Führen Sie diesen Befehl aus:
sudo tcpdump -c 500 -i eth1

Beachten Sie, dass wir eth1 als Netzwerkschnittstelle angeben. Dies teilt tcpdump mit, welche Netzwerkverbindung überwacht werden soll – ein wichtiger Punkt, wenn Ihr Computer mehrere Netzwerkkarten hat.

  1. Während die Pakete fließen, sehen Sie eine Echtzeitausgabe. Nach genau 500 Paketen beendet tcpdump automatisch die Aufnahme und zeigt Statistiken an:
500 packets captured
500 packets received by filter
0 packets dropped by kernel

Diese Zahlen bestätigen eine erfolgreiche Aufnahme (erste Zeile), eine korrekte Filterung (zweite Zeile) und keine Probleme mit den Systemressourcen (null verworfene Pakete).

  1. Testen Sie die Mechanik vor der vollständigen Aufnahme von 500 Paketen mit einer kleineren Stichprobe. Dieser Test mit 10 Paketen hilft Ihnen, Ihre Einrichtung zu überprüfen:
sudo tcpdump -c 10 -i eth1

Snapshot-Länge mit -s 128 festlegen

In diesem Schritt lernen Sie, wie Sie die Snapshot-Länge (Snaplen) beim Aufnehmen von Paketen mithilfe der Option -s festlegen können. Dies bestimmt, wie viel von jedem Paket aufgezeichnet wird. 128 Bytes ist ein gängiger Wert, der die Paket-Header aufzeichnet und gleichzeitig Speicherplatz spart. Die Snapshot-Länge ist besonders nützlich, wenn Sie nur die Paket-Header für die Analyse benötigen und nicht den gesamten Paketinhalt.

  1. Stellen Sie zunächst sicher, dass Sie sich im Terminal im Standard-Arbeitsverzeichnis ~/project befinden. Hier werden wir alle unsere Aufnahmebefehle ausführen, um die Organisation zu gewährleisten.

  2. Die Snapshot-Länge-Option (-s) begrenzt, wie viel von jedem Paket aufgezeichnet wird, indem die Anzahl der aufzuzeichnenden Bytes angegeben wird. Kleinere Werte sparen Plattenplatz, können aber wichtige Nutzlastdaten verpassen. Die grundlegende Syntax lautet:

tcpdump -s [Länge] [andere Optionen]
  1. Lassen Sie uns Pakete mit einer Snapshot-Länge von 128 Bytes aufnehmen und dies mit der Paketanzahl aus dem vorherigen Schritt kombinieren. Dieser Befehl wird die ersten 128 Bytes jedes Pakets aufzeichnen, bis 500 Pakete erreicht sind:
sudo tcpdump -c 500 -s 128 -i eth1

  1. Sie werden eine Ausgabe sehen, die die ersten 128 Bytes jedes Pakets anzeigt. Die Aufnahme wird automatisch nach 500 Paketen stoppen, wie durch die Option -c angegeben. Diese Kombination hilft, sowohl die Aufnahmegröße als auch die Dauer zu verwalten.

  2. Um besser zu verstehen, wie sich die Snapshot-Länge auf die Aufnahmen auswirkt, versuchen Sie diese Vergleichsbefehle. Beachten Sie, wie die Menge der angezeigten Daten sich mit verschiedenen -s-Werten ändert:

sudo tcpdump -c 5 -s 64 -i eth1 ## Aufzeichnung von nur 64 Bytes pro Paket
sudo tcpdump -c 5 -s 0 -i eth1  ## Aufzeichnung ganzer Pakete (Standard)

Die Einstellung -s 0 teilt tcpdump mit, das gesamte Paket aufzuzeichnen. Dies ist nützlich, wenn Sie den vollständigen Paketinhalt benötigen, verbraucht aber mehr Speicherplatz.

Netzwerkverkehr mit -i eth1 aufzeichnen

In diesem Schritt konzentrieren wir uns darauf, Netzwerkverkehr von einer bestimmten Schnittstelle mithilfe der -i-Option von Tshark aufzuzeichnen. Netzwerkschnittstellen sind die physischen oder virtuellen Verbindungen, die Ihr Computer zur Kommunikation mit Netzwerken verwendet. Wenn Sie mehrere Schnittstellen haben (z. B. Wi-Fi und Ethernet), ist die Angabe der richtigen Schnittstelle für eine gezielte Paketanalyse von entscheidender Bedeutung.

  1. Öffnen Sie Ihr Terminal und navigieren Sie zum Arbeitsverzeichnis:
cd ~/project
  1. Das -i-Flag teilt Tshark mit, welche Netzwerkschnittstelle überwacht werden soll. Die grundlegende Befehlsstruktur lautet:
tcpdump -i [Schnittstelle] [andere Optionen]

Hier sollte [Schnittstelle] durch den tatsächlichen Namen Ihrer Schnittstelle ersetzt werden, typischerweise 'eth1' für Ethernet oder 'wlan0' für Wi-Fi.

  1. Kombinieren wir nun dies mit dem, was wir über Paketlimits (-c) und Snapshot-Länge (-s) gelernt haben. Dieser Befehl wird 500 Pakete von der eth1-Schnittstelle aufzeichnen und nur die ersten 128 Bytes jedes Pakets speichern:
sudo tcpdump -c 500 -s 128 -i eth1

sudo ist erforderlich, da die Paketaufzeichnung administrative Rechte erfordert.

  1. Wenn Sie sich nicht sicher sind, welche Schnittstellen auf Ihrem System verfügbar sind, führen Sie aus:
tcpdump -D

Dies zeigt eine nummerierte Liste aller aktiven Netzwerkschnittstellen an und hilft Ihnen, die richtige Schnittstelle für Ihre Aufzeichnung zu identifizieren.

  1. Um während der Aufzeichnung Testverkehr zu generieren, öffnen Sie ein weiteres Terminal und führen Sie aus:
ping -c 3 google.com

Dies sendet 3 ICMP-Pakete an die Server von Google, die in Ihrer Aufzeichnung erscheinen sollten. Das Beobachten dieser bekannten Pakete hilft Ihnen, zu überprüfen, ob Ihre Aufzeichnung korrekt funktioniert.

  1. Die Aufzeichnung wird automatisch nach 500 Paketen stoppen, aber Sie können sie jederzeit manuell stoppen, indem Sie drücken:
Ctrl+C

Dieser Tastaturbefehl beendet den Aufzeichnungsprozess sicher und bewahrt alle aufgezeichneten Daten.

Speichern in einer Datei mit -w limited.pcap

In diesem Schritt lernen Sie, wie Sie den aufgezeichneten Netzwerkverkehr in einer Datei speichern können, um ihn später zu analysieren. Die -w-Option in tcpdump erstellt eine Paketaufzeichnungsdatei (pcap), die alle aufgezeichneten Netzwerkdaten aufbewahrt. Dies ist besonders nützlich, wenn Sie Netzwerkverkehrsmuster offline untersuchen oder Aufzeichnungen mit Kollegen teilen müssen.

  1. Stellen Sie vor dem Start sicher, dass sich Ihr Terminal im richtigen Arbeitsverzeichnis befindet. Geben Sie ein:
cd ~/project

Dadurch wird sichergestellt, dass alle Ihre Aufzeichnungsdateien im angegebenen Projektordner gespeichert werden.

  1. Das -w-Flag teilt tcpdump mit, wo die aufgezeichneten Pakete gespeichert werden sollen. Die grundlegende Befehlsstruktur lautet:
tcpdump -w [Dateiname] [andere Optionen]

Der Dateiname sollte mit der Erweiterung .pcap enden, die das Standardformat für Paketaufzeichnungsdateien ist.

  1. Kombinieren wir nun alle Optionen, die wir bisher gelernt haben, in einem praktischen Beispiel. Dieser Befehl wird:
  • Genau 500 Pakete aufzeichnen (-c 500)
  • Jedes Paket auf 128 Bytes beschränken (-s 128)
  • Auf der eth1-Schnittstelle lauschen (-i eth1)
  • Alles in einer Datei namens limited.pcap speichern (-w limited.pcap)
sudo tcpdump -c 500 -s 128 -i eth1 -w limited.pcap
  1. Während tcpdump läuft, öffnen Sie ein weiteres Terminalfenster, um etwas Testverkehr zu generieren. Diese Befehle werden typische Netzwerkaktivität erzeugen:
ping -c 3 google.com
curl http://example.com

Dieser simulierte Verkehr wird von unserer laufenden tcpdump-Sitzung aufgezeichnet.

  1. Nach der Aufzeichnung von 500 Paketen (oder drücken Sie Ctrl+C, um früher zu stoppen) überprüfen Sie, ob Ihre Aufzeichnungsdatei existiert, und prüfen Sie ihre Größe:
ls -lh limited.pcap

Die Ausgabe zeigt die Dateidetails, einschließlich der Größe (56K in diesem Beispiel) und der Erstellungszeit:

-rw-r--r-- 1 root root 56K Aug 10 15:30 limited.pcap
  1. Um Ihre aufgezeichneten Pakete später zu überprüfen, verwenden Sie die -r-Option, um die pcap-Datei zu lesen:
tcpdump -r limited.pcap

Dies zeigt den Paketinhalt genau so an, wie er aufgezeichnet wurde, und ermöglicht es Ihnen, den Verkehr nach Belieben zu analysieren.

Zusammenfassung

In diesem Lab haben Sie gelernt, die Größe der Paketaufzeichnung in Tshark mithilfe wesentlicher Befehlszeilenparameter zu steuern. Sie haben das Begrenzen der Paketanzahl mit -c 500 und die Einschränkung der Paketlänge mit -s 128 geübt und beobachtet, wie diese Optionen das Verhalten der Aufzeichnung und die Speichereffizienz beeinflussen.

Die Übungen haben gezeigt, wie Sie diese Techniken mit der Schnittstellenauswahl (-i eth1) kombinieren können, um einen gezielten Verkehrsanalyse durchzuführen. Durch Befehle wie sudo tcpdump -c 500 -s 128 -i eth1 haben Sie praktische Erfahrungen in der gleichzeitigen Anwendung mehrerer Aufzeichnungsbeschränkungen gesammelt.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger