LabEx
AnmeldenKostenlos beitreten

Messung von Service-Antwortzeiten in Tshark

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, die Antwortzeiten des SMB-Services (Server Message Block) mithilfe von Tshark, dem Befehlszeilentool von Wireshark, zu messen. Sie erfassen Netzwerkverkehr auf TCP-Port 445, analysieren die Antwortzeiten von Sitzungen und wenden Filter an, um die Kommunikation bestimmter Hosts zu untersuchen.

Die praktischen Übungen führen Sie durch die Erzeugung von Testverkehr, die Berechnung von SMB-Leistungsmetriken mit Befehlen wie -z smb,srt und die Analyse der Ergebnisse mithilfe der statistischen Funktionen von Tshark. Sie erhalten praktische Erfahrungen mit Erfassungsfiltern (-f "tcp port 445") und Anzeigefiltern (-Y "ip.addr==10.0.0.1") in einer Linux-Umgebung.

Erfassen von SMB-Verkehr mit -f "tcp port 445"

In diesem Schritt lernen Sie, wie Sie SMB (Server Message Block)-Netzwerkverkehr mithilfe des Erfassungsfilters von Wireshark erfassen. SMB ist ein Netzwerkprotokoll, das hauptsächlich für Dateifreigabe, Druckerzugriff und die Kommunikation zwischen Prozessen auf Windows-Rechnern verwendet wird. Es nutzt typischerweise TCP-Port 445 für die Kommunikation, weshalb wir uns bei unserer Erfassung auf diesen bestimmten Port konzentrieren werden.

Beginnen wir mit der Vorbereitung unserer Umgebung:

  1. Öffnen Sie zunächst ein Terminal in Ihrer LabEx-VM, indem Sie auf das Terminal-Symbol auf dem Xfce-Desktop klicken oder die Tastenkombination Strg+Alt+T verwenden. Im Terminal werden wir alle unsere Befehle ausführen.

  2. Navigieren Sie in das Standardarbeitsverzeichnis, in dem wir unsere Erfassungsdateien speichern werden. Dies hilft, unser Projekt organisiert zu halten:

cd ~/project
  1. Jetzt starten wir Wireshark, den Netzwerkprotokoll-Analyzer, den wir verwenden werden, um den SMB-Verkehr zu erfassen und zu untersuchen. Das &-Symbol startet Wireshark im Hintergrund, sodass Sie weiterhin das gleiche Terminal verwenden können:
wireshark &

  1. In der Hauptschnittstelle von Wireshark müssen wir die Erfassungseinstellungen konfigurieren:

    • Wählen Sie die aktive Netzwerkschnittstelle aus (normalerweise eth0). Dies ist die Netzwerkkarte, die den Verkehr überwachen wird.
    • Geben Sie im Feld für den Erfassungsfilter ein: tcp port 445. Dies teilt Wireshark mit, nur Verkehr auf Port 445 zu erfassen, auf dem SMB arbeitet.
    • Klicken Sie auf das blaue Hai-Fin-Symbol, um die Erfassung zu starten. Sie werden sehen, dass die Schnittstelle mit Paketen gefüllt wird.

  2. Um für unsere Erfassung etwas SMB-Verkehr zu generieren, verwenden wir den smbclient-Befehl in einem neuen Terminalfenster. Dieser Befehl versucht, eine Verbindung zu einem lokalen SMB-Server herzustellen (auch wenn wir wissen, dass dies fehlschlagen wird, wird er dennoch den Verkehr generieren, den wir erfassen möchten):

smbclient -N -L //127.0.0.1

  1. Nach etwa 10 Sekunden Erfassungszeit (genug Zeit, um genügend Verkehr zu generieren) stoppen Sie die Erfassung, indem Sie auf die rote Quadrat-Schaltfläche klicken. Dies fixiert die Paketanzeige, sodass wir sie untersuchen können.

  2. Beobachten Sie die erfassten Pakete im Hauptfenster. Sie sollten TCP-Pakete mit Ziel- oder Quellport 445 sehen. Dies sind die SMB-Protokollpakete, die wir analysieren möchten.

  3. Speichern wir schließlich unsere Erfassung für die Zukunft:

    • Gehen Sie zu Datei > Speichern unter
    • Benennen Sie die Datei smb_capture.pcapng (das .pcapng-Format bewahrt alle Erfassungsinformationen auf)
    • Speichern Sie sie in ~/project, wo wir unsere Sitzung begonnen haben.

Berechnung der SRT mit -z smb,srt

In diesem Schritt lernen Sie, wie Sie die SMB-Sitzungs-Antwortzeit (Session Response Time, SRT) mithilfe des Befehlszeilenprogramms tshark von Wireshark berechnen. Die SRT misst die Zeit zwischen dem Senden einer SMB-Anfrage durch einen Client und dem Empfang der Serverantwort. Dies ist entscheidend für die Identifizierung von Leistungsschwachstellen bei SMB-Dateifreigabeoperationen.

  1. Stellen Sie zunächst sicher, dass Sie sich im Projektverzeichnis befinden, in dem wir mit unseren Erfassungsdateien arbeiten werden:
cd ~/project
  1. Wir verwenden die im vorherigen Schritt erstellte Erfassungsdatei smb_capture.pcapng. Diese Datei enthält Netzwerkverkehr, der auf Port 445 erfasst wurde, dem Standardport für das SMB-Protokoll. Wenn Sie diese Datei nicht haben, können Sie sie neu erstellen, indem Sie folgenden Befehl ausführen:
wireshark -k -i eth0 -f "tcp port 445" -w smb_capture.pcapng &

Warten Sie 10 Sekunden, um etwas SMB-Verkehr zu erfassen, und stoppen Sie dann die Erfassung mit Strg+C.

  1. Der Hauptbefehl berechnet die SMB-Sitzungs-Antwortzeiten. Die Option -z smb,srt teilt tshark mit, die SMB-Antwortzeitstatistiken zu analysieren:
tshark -r smb_capture.pcapng -z smb,srt

  1. Die Ausgabe zeigt eine detaillierte Tabelle mit SRT-Statistiken, die Ihnen helfen, die Leistungseigenschaften der SMB-Sitzung zu verstehen. Sie enthält:

    • Gesamtanzahl der verarbeiteten SMB-Anfragen
    • Minimale Antwortzeit (schnellste Antwort)
    • Maximale Antwortzeit (langsamste Antwort)
    • Durchschnittliche Antwortzeit
    • Verteilung der Antwortzeiten über verschiedene Zeitbereiche

  2. Bei großen Erfassungsdateien kann die Ausgabe sehr lang sein. Für eine bessere Lesbarkeit können Sie die Ausgabe an less weiterleiten, was es Ihnen ermöglicht, die Ergebnisse seitenweise zu durchsuchen:

tshark -r smb_capture.pcapng -z smb,srt | less
  1. Um diese Statistiken für eine spätere Analyse oder Berichterstattung zu speichern, leiten Sie die Ausgabe in eine Textdatei um:
tshark -r smb_capture.pcapng -z smb,srt > smb_srt_stats.txt
  1. Sie können die gespeicherten Statistiken jederzeit mit dem cat-Befehl untersuchen. Dies ist nützlich, wenn Sie die Ergebnisse überprüfen müssen, ohne die Analyse erneut ausführen zu müssen:
cat smb_srt_stats.txt

Filtern nach Host mit -Y "ip.addr==10.0.0.1"

In diesem Schritt lernen Sie, wie Sie Netzwerkverkehr für eine bestimmte Host-IP-Adresse (10.0.0.1) mithilfe der Anzeigefilter-Syntax von Wireshark filtern. Dies ist nützlich, wenn Sie sich auf den Verkehr eines bestimmten Geräts in Ihrer Netzwerkerfassung konzentrieren möchten.

  1. Stellen Sie zunächst sicher, dass Sie sich im Projektverzeichnis befinden, in dem Ihre Erfassungsdatei gespeichert ist:
cd ~/project
  1. Öffnen Sie die zuvor erfasste SMB-Verkehrsdatei in Wireshark. Das '&'-Zeichen startet Wireshark im Hintergrund, sodass Sie weiterhin das Terminal verwenden können:
wireshark smb_capture.pcapng &
  1. Geben Sie in der Anzeigefilter-Leiste von Wireshark (oben im Hauptfenster) den folgenden Filter ein, um alle Pakete anzuzeigen, die die IP-Adresse 10.0.0.1 betreffen:
ip.addr==10.0.0.1

Drücken Sie dann die Eingabetaste oder klicken Sie auf "Anwenden", um den Filter zu aktivieren.

  1. Die Paketliste zeigt jetzt nur noch Pakete an, bei denen entweder:

    • Die Quell-IP 10.0.0.1 ist (Verkehr, der von diesem Host kommt)
    • Die Ziel-IP 10.0.0.1 ist (Verkehr, der an diesen Host geht)

  2. Um noch genauer zu sein, können Sie nur die Pakete filtern, die an 10.0.0.1 gehen (Zielverkehr):

ip.dst==10.0.0.1
  1. Ebenso können Sie nur die Pakete anzeigen, die von 10.0.0.1 kommen (Quellverkehr):
ip.src==10.0.0.1
  1. Sie können Filter mit logischen Operatoren kombinieren, um eine präzisere Analyse durchzuführen. Beispielsweise können Sie nur den SMB-Verkehr (der TCP-Port 445 verwendet) zu/von 10.0.0.1 anzeigen:
ip.addr==10.0.0.1 && tcp.port==445
  1. Um die gefilterte Ansicht für eine spätere Analyse zu speichern:
    • Gehen Sie zu Datei > Exportiere ausgewählte Pakete
    • Wählen Sie "Angezeigt", um nur die gefilterten Pakete zu speichern
    • Speichern Sie die Datei als filtered_host.pcapng

Anzeigen von Statistiken mit -q

In diesem Schritt werden wir untersuchen, wie man Netzwerkverkehrsstatistiken mit dem Befehlszeilentool tshark von Wireshark analysiert. Die Option -q (quiet, still) ist besonders nützlich, da sie die Details einzelner Pakete ausblendet und sich ausschließlich auf statistische Zusammenfassungen konzentriert. Dies erleichtert die Analyse der gesamten Verkehrsmuster.

Bevor wir beginnen, stellen wir sicher, dass wir uns im richtigen Arbeitsverzeichnis befinden, in dem unsere Erfassungsdatei gespeichert ist:

cd ~/project

Jetzt beginnen wir mit den grundlegenden Statistiken. Dieser Befehl gibt uns einen Überblick über den Inhalt der Erfassungsdatei, ohne jedes einzelne Paket anzuzeigen:

tshark -r smb_capture.pcapng -q

Um zu verstehen, wie verschiedene Netzwerkprotokolle in unserer Erfassung verteilt sind, verwenden wir Protokollhierarchie-Statistiken. Dies zeigt, welchen Prozentsatz des Verkehrs jedes Protokoll ausmacht:

tshark -r smb_capture.pcapng -qz io,phs

Da wir mit SMB-Verkehr arbeiten, können wir speziell die Antwortzeiten des SMB-Services analysieren. Dies hilft dabei, zu ermitteln, wie schnell der Server auf Clientanfragen reagiert:

tshark -r smb_capture.pcapng -qz smb,srt

Als Nächstes untersuchen wir die Endpunkt-Statistiken, um zu sehen, welche IP-Adressen den meisten Verkehr generieren oder empfangen:

tshark -r smb_capture.pcapng -qz endpoints,ip

Um die Kommunikationsmuster zwischen Hosts zu verstehen, verwenden wir Konversations-Statistiken. Dies zeigt das Verkehrsaufkommen zwischen bestimmten IP-Paaren:

tshark -r smb_capture.pcapng -qz conv,ip

Es ist oft hilfreich, Statistiken für eine spätere Analyse zu speichern. Hier speichern wir die Protokollhierarchie in einer Textdatei:

tshark -r smb_capture.pcapng -qz io,phs > protocol_stats.txt

Schließlich können wir die gespeicherten Statistiken anzeigen, um die Ausgabe zu überprüfen:

cat protocol_stats.txt

Zusammenfassung

In diesem Lab haben Sie gelernt, die Antwortzeiten des SMB-Services mit Wireshark und tshark zu messen. Der Prozess beinhaltete die Erfassung von SMB-Verkehr mit dem Filter "tcp port 445" und die anschließende Analyse der Sitzungsantwortzeiten über den Parameter "-z smb,srt" von tshark zur Bewertung der SMB-Leistung.

Sie haben auch das Filtern von Verkehr nach IP-Adresse mit der Option "-Y" und das Generieren von statistischen Zusammenfassungen mit "-q" geübt. Diese Techniken vermitteln essentielle Fähigkeiten für die Netzwerkverkehrsanalyse und die Überwachung des SMB-Protokolls mithilfe von Befehlszeilentools.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger