LabEx
LoginBeitreten

Paketanalyse mit Wireshark und Tshark

WiresharkBeginner
Jetzt üben

Einführung

In diesem Labor lernen Sie die Grundlagen der Netzwerkanalyse von Paketen mithilfe von Wireshark und seinem Befehlszeilen-Pendant, Tshark. Sie beginnen mit der Untersuchung von Netzwerkschnittstellen und fahren dann mit der Erfassung von Live-Netzwerkverkehr fort. Sie lernen auch, wie man vorhandene Paketaufzeichnungsdateien sowohl mit dem Befehlszeilentool Tshark als auch mit der grafischen Benutzeroberfläche von Wireshark liest, filtert und analysiert. Dieses Labor vermittelt ein grundlegendes Verständnis der Paketanalyse, einer entscheidenden Fähigkeit für die Fehlerbehebung im Netzwerk und die Cybersicherheit.

Installation überprüfen und Netzwerkschnittstellen auflisten

In dieser Laborumgebung sind Tshark und Wireshark für Sie vorinstalliert. Ihr erster Schritt besteht darin, die Installation zu überprüfen und die verfügbaren Netzwerkschnittstellen für die Paketerfassung zu identifizieren. Eine Netzwerkschnittstelle ist ein Hardware- oder virtuelles Gerät, das Ihrem Computer den Anschluss an ein Netzwerk ermöglicht.

  1. Überprüfen Sie zunächst, ob Tshark korrekt installiert ist, indem Sie dessen Version abfragen. Dieser Befehl bestätigt, dass das Tool im Pfad Ihres Systems verfügbar ist.

    tshark --version

    Sie sollten eine Ausgabe sehen, die die Versionsnummern von Tshark und Wireshark anzeigt.

    TShark (Wireshark) 4.2.x (Git v4.2.x packaged as 4.2.x-1)
...

  2. Als Nächstes müssen Sie wissen, welche Netzwerkschnittstellen Sie für die Paketerfassung verwenden können. Verwenden Sie das Flag -D, um alle verfügbaren Schnittstellen aufzulisten.

    tshark -D

    Die Ausgabe listet die Schnittstellen nach Nummer und Name auf.

    1. eth0
2. any (Pseudo-Gerät, das auf allen Schnittstellen erfasst)
3. lo (Loopback)
4. ...
    • eth0 ist typischerweise die primäre Ethernet-Schnittstelle, die häufig in virtuellen Maschinen und Servern vorkommt. Wir werden diese für Live-Erfassungen verwenden.
    • lo ist die Loopback-Schnittstelle, die für die Netzwerkkommunikation innerhalb derselben Maschine verwendet wird.
    • any ist ein spezielles Pseudo-Gerät, mit dem Sie den Verkehr von allen Schnittstellen gleichzeitig erfassen können.

Nachdem Sie die Installation bestätigt und die Schnittstelle eth0 identifiziert haben, sind Sie bereit, mit der Paketerfassung zu beginnen.

Eine grundlegende Paketerfassung durchführen

Nachdem die Netzwerkschnittstelle identifiziert wurde, können Sie nun eine Live-Paketerfassung durchführen. Für diese Übung erfassen Sie eine kleine Anzahl von Paketen von der Schnittstelle eth0, um Tshark in Aktion zu sehen. Dies ist eine grundlegende Fähigkeit, um Netzwerkaktivitäten in Echtzeit zu beobachten.

  1. Um eine Erfassung zu starten, müssen Sie die Schnittstelle mit dem Flag -i und die Anzahl der zu erfassenden Pakete mit dem Flag -c (count) angeben. Führen Sie den folgenden Befehl aus, um 10 Pakete von der Schnittstelle eth0 zu erfassen.

    tshark -i eth0 -c 10

  2. Tshark beginnt mit der Erfassung von Paketen und zeigt in Echtzeit eine einzeilige Zusammenfassung für jedes Paket an. Die Ausgabe sieht ähnlich wie im folgenden Beispiel aus und zeigt Informationen wie die Paketnummer, den Zeitstempel, die Quell- und Ziel-IP-Adressen, das Protokoll und eine kurze Zusammenfassung.

     1 0.000000000 172.17.0.2 -> 172.17.0.1 DNS 79 Standard query 0x1a34 AAAA metadata.google.internal
 2 0.000293393 172.17.0.1 -> 172.17.0.2 DNS 111 Standard query response 0x1a34 No such name
 3 0.000408893 172.17.0.2 -> 172.17.0.1 DNS 79 Standard query 0x2b1f A metadata.google.internal
 4 0.000564893 172.17.0.1 -> 172.17.0.2 DNS 111 Standard query response 0x2b1f No such name
 ...

Nachdem 10 Pakete erfasst wurden, stoppt Tshark automatisch. Sie haben nun erfolgreich Live-Netzwerkverkehr über die Befehlszeile erfasst und angezeigt.

Eine Erfassungsdatei mit Tshark analysieren

Neben der Erfassung von Live-Verkehr ist eine gängige Aufgabe die Analyse zuvor gespeicherter Paketaufzeichnungsdateien. Diese Dateien, die typischerweise die Erweiterung .pcap haben, ermöglichen eine Offline-Analyse. Eine Beispieldatei mit dem Namen capture.pcap befindet sich in Ihrem Projektverzeichnis.

  1. Bestätigen Sie zunächst mit dem Befehl ls, dass die Datei capture.pcap in Ihrem aktuellen Verzeichnis (/home/labex/project) vorhanden ist.

    ls -l capture.pcap

  2. Um Pakete aus dieser Datei zu lesen, verwenden Sie das Flag -r (read). Sehen wir uns die ersten 10 Pakete aus der Datei an.

    tshark -r capture.pcap -c 10

  3. Die manuelle Inspektion aller Pakete ist ineffizient. Tshark ermöglicht es Ihnen, Anzeigefilter zu verwenden, um nur die Pakete anzuzeigen, die bestimmten Kriterien entsprechen. Verwenden Sie das Flag -Y, um einen Anzeigefilter anzuwenden. Filtern wir nur nach TCP-Verkehr.

    tshark -r capture.pcap -Y "tcp" -c 5

    Dieser Befehl liest aus capture.pcap, wendet den Anzeigefilter tcp an und zeigt nur die ersten 5 übereinstimmenden Pakete an.

  4. Versuchen Sie nun, nach einem anderen Protokoll zu filtern, z. B. UDP.

    tshark -r capture.pcap -Y "udp" -c 5

    Sie sehen nun nur noch UDP-Pakete aus der Aufzeichnungsdatei. Anzeigefilter sind ein leistungsstarkes Werkzeug, um Ihre Analyse auf bestimmte Protokolle, Adressen oder Ports zu konzentrieren.

Eine Live-Erfassung filtern und speichern

In diesem Schritt kombinieren Sie Erfassung, Filterung und Speicherung. Anstatt den gesamten Verkehr zu speichern, können Sie einen Erfassungsfilter anwenden, um nur die für Sie interessanten Pakete zu speichern. Dies ist effizient für die Erstellung gezielter Datensätze. Wir werden nur DNS-Verkehr erfassen und ihn in einer neuen Datei speichern.

  1. Zum Speichern einer Erfassung verwenden Sie das Flag -w (write). Zum Anwenden eines Erfassungsfilters verwenden Sie das Flag -f. DNS verwendet typischerweise UDP-Port 53, daher verwenden wir "port 53" als unseren Erfassungsfilter.

    Führen Sie den folgenden Befehl aus, um 10 DNS-Pakete zu erfassen und sie in einer Datei namens dns_traffic.pcap zu speichern.

    tshark -i eth0 -c 10 -f "port 53" -w dns_traffic.pcap

    Im Gegensatz zu einer normalen Erfassung gibt dieser Befehl keine Pakete auf dem Bildschirm aus. Stattdessen zeigt er eine laufende Zählung der erfassten Pakete an, bis 10 erreicht sind.

  2. Überprüfen Sie nach Abschluss der Erfassung, ob die neue Datei erstellt wurde.

    ls -l dns_traffic.pcap

  3. Nun können Sie Ihre neue, gefilterte Aufzeichnungsdatei überprüfen, um zu bestätigen, dass sie nur den gewünschten Verkehr enthält.

    tshark -r dns_traffic.pcap

    Die Ausgabe sollte nur DNS-Pakete (oder anderen Verkehr auf Port 53) anzeigen, was bestätigt, dass Ihr Erfassungsfilter korrekt funktioniert hat.

Pakete mit der Wireshark-GUI analysieren

Während Tshark hervorragend für die Arbeit in der Befehlszeile geeignet ist, bietet die grafische Benutzeroberfläche (GUI) von Wireshark eine leistungsstarke visuelle Umgebung für die tiefgehende Paketanalyse. In diesem Schritt verwenden Sie die Wireshark-GUI, um die Datei capture.pcap zu untersuchen.

  1. Starten Sie Wireshark und öffnen Sie die Datei capture.pcap mit dem folgenden Befehl. Das & am Ende führt die Anwendung im Hintergrund aus und gibt Ihr Terminal frei.

    wireshark capture.pcap &

  2. Das Wireshark-Fenster wird geöffnet. Nehmen Sie sich einen Moment Zeit, um sich mit dem Hauptlayout vertraut zu machen:

    • Paketlisten-Fenster (Oben): Eine Liste aller Pakete in der Erfassung.
    • Paketdetails-Fenster (Mitte): Eine detaillierte, erweiterbare Ansicht der Protokollebenen für das ausgewählte Paket.
    • Paket-Bytes-Fenster (Unten): Die Rohdaten des ausgewählten Pakets, angezeigt in Hexadezimal- und ASCII-Format.

  3. Die GUI erleichtert das Filtern. Suchen Sie die Anzeigefilterleiste oben im Fenster (dort steht möglicherweise „Apply a display filter...“ als Platzhaltertext). Geben Sie http in diese Leiste ein und drücken Sie Enter.

    http

  4. Das Paketlisten-Fenster wird nun aktualisiert und zeigt nur noch HTTP-Pakete aus der Aufzeichnungsdatei an. Sie können auf ein beliebiges Paket klicken, um dessen Details im mittleren Fenster zu untersuchen.

  5. Schließen Sie das Wireshark-Fenster, wenn Sie mit der Untersuchung fertig sind.

Zusammenfassung

In diesem Labor haben Sie praktische Erfahrungen mit der Wireshark-Suite gesammelt. Sie haben gelernt, wie man eine Tshark-Installation überprüft und verfügbare Netzwerkschnittstellen identifiziert. Sie haben geübt, Live-Netzwerkverkehr mit tshark zu erfassen, aus vorhandenen .pcap-Dateien zu lesen und sowohl Erfassungs- als auch Anzeigefilter anzuwenden, um bestimmte Protokolle zu isolieren. Sie haben auch gelernt, wie man eine gefilterte Erfassung in einer neuen Datei speichert. Schließlich wurden Sie in die grafische Benutzeroberfläche von Wireshark für einen visuelleren Ansatz der Paketanalyse eingeführt. Diese Fähigkeiten sind für jeden, der sich mit Netzwerkadministration, Fehlerbehebung oder Sicherheit beschäftigt, unerlässlich.

Verwandt Wireshark Kurse
Wireshark für Anfänger

Wireshark für Anfänger

cybersecuritywireshark
Cybersicherheitsanalyse mit Wireshark und Tshark

Cybersicherheitsanalyse mit Wireshark und Tshark

cybersecuritywireshark