Paketdaten in Tshark lesen

Einführung

In diesem Lab lernen Sie, wie Sie das Befehlszeilentool tshark von Wireshark verwenden, um Netzwerk-Paketerfassungen zu analysieren. Sie üben essentielle Befehle wie -r zum Lesen von Erfassungsdateien, -V für ausführliche Ausgaben und -c zur Begrenzung der Paketanzahl, während Sie mit einer Beispiel-PCAP-Datei arbeiten.

Durch praktische Übungen untersuchen Sie Paket-Header, identifizieren wichtige Netzwerkdetails wie IP-Adressen und Protokolle und interpretieren verschiedene Ausgabeformate. Dieses Lab bietet praktische Erfahrungen mit den Kernfunktionen von tshark für eine effektive Netzwerkverkehrsanalyse.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548937{{"Paketdaten in Tshark lesen"}} wireshark/packet_analysis -.-> lab-548937{{"Paketdaten in Tshark lesen"}} wireshark/commandline_usage -.-> lab-548937{{"Paketdaten in Tshark lesen"}} end

Öffnen einer Datei mit -r capture.pcap

In diesem Schritt werden wir untersuchen, wie man vorab aufgezeichneten Netzwerkverkehr mit dem leistungsstarken Kommandozeilen-Tool tshark von Wireshark analysiert. Bei der Netzwerkanalyse müssen wir oft zuvor erfasste Daten untersuchen, anstatt Live-Verkehr zu erfassen. Das Flag -r (steht für "read" - lesen) ermöglicht uns genau das, indem wir eine Paketmitschnittdatei (packet capture file) zur Analyse angeben.

Bevor wir beginnen, stellen wir sicher, dass wir uns am richtigen Ort befinden. Bei der terminalbasierten Arbeit ist es entscheidend, sich im richtigen Verzeichnis zu befinden, in dem unsere Dateien gespeichert sind:

cd ~/project

Die LabEx Umgebung wird mit vorinstalliertem tshark geliefert, der Kommandozeilenversion von Wireshark. Um zu bestätigen, dass es verfügbar ist und um zu überprüfen, welche Version wir verwenden (eine gute Vorgehensweise bei der Arbeit mit jedem Tool), führen Sie Folgendes aus:

tshark --version

Sie sollten detaillierte Versionsinformationen sehen, die bestätigen, dass tshark ordnungsgemäß installiert und einsatzbereit ist.

Für diese Demonstration arbeiten wir mit einer Beispiel-Netzwerkaufzeichnungsdatei. Diese wurde bereits nach /home/labex/project/capture.pcap heruntergeladen.

Jetzt sind wir bereit, den aufgezeichneten Netzwerkverkehr zu untersuchen. Der grundlegende Befehl zum Lesen und Anzeigen des Inhalts unserer Aufzeichnungsdatei lautet:

tshark -r capture.pcap

Dieser Befehl verarbeitet die Datei und zeigt eine zusammenfassende Ansicht aller erfassten Pakete an. Jede Zeile in der Ausgabe stellt ein Netzwerkpaket dar und enthält mehrere wichtige Informationen, die uns helfen, die Netzwerkaktivität zu verstehen:

Paketnummer (Packet number): Die fortlaufende Kennung jedes Pakets
Zeitstempel (Timestamp): Wann das Paket erfasst wurde (relativ zum Beginn der Erfassung)
Quell-IP (Source IP): Woher das Paket kam
Ziel-IP (Destination IP): Wohin das Paket ging
Protokoll (Protocol): Das verwendete Netzwerkprotokoll (TCP, UDP usw.)
Länge (Length): Die Größe des Pakets in Bytes
Info: Eine kurze Beschreibung des Zwecks oder Inhalts des Pakets

So könnte eine typische Ausgabe aussehen, die den Aufbau einer TCP-Verbindung zeigt:

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 49234 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 66 49234 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0

Diese anfängliche Ansicht gibt uns einen allgemeinen Überblick über die Netzwerkkommunikation, die in unserer Aufzeichnungsdatei enthalten ist, auf der wir in den folgenden Schritten aufbauen werden.

Anzeige der Paketübersicht mit Standardausgabe

In diesem Schritt werden wir untersuchen, wie man die grundlegende Paketübersicht liest und versteht, die tshark standardmäßig anzeigt. Dies ist Ihr Ausgangspunkt für die Analyse von Netzwerkverkehr und zeigt wichtige Informationen zu jedem Paket in einem strukturierten Format.

Bevor wir beginnen, stellen wir sicher, dass wir uns im richtigen Arbeitsverzeichnis befinden, in dem sich unsere Erfassungsdatei befindet:

cd ~/project

Die Standardausgabe von tshark zeigt den Netzwerkverkehr in Spalten an, die uns jeweils etwas Wichtiges über die Kommunikation verraten:

Paketnummer: Die sequenzielle Kennung jedes Pakets in der Erfassung
Zeitstempel: Wann das Paket erfasst wurde, relativ zum ersten Paket
Quelladresse: Woher das Paket kam (IP-Adresse)
Zieladresse: Wohin das Paket geht (IP-Adresse)
Protokoll: Das verwendete Netzwerkprotokoll (TCP, UDP usw.)
Länge: Wie groß das Paket in Bytes ist
Info: Zusätzliche Details, die spezifisch für das Protokoll sind

Schauen wir uns die ersten 5 Pakete an, um dies in Aktion zu sehen:

tshark -r capture.pcap -c 5

Beispielausgabe:

    1 0.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 49234 [SYN] Seq=0 Win=64240 Len=0
    2 0.000123 192.168.1.2 → 192.168.1.1 TCP 66 49234 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0
    3 0.000145 192.168.1.1 → 192.168.1.2 TCP 54 443 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
    4 0.000567 192.168.1.1 → 192.168.1.2 TLSv1 583 Client Hello
    5 0.000789 192.168.1.2 → 192.168.1.1 TCP 54 49234 → 443 [ACK] Seq=1 Ack=530 Win=65535 Len=0

Um ein umfassenderes Verständnis davon zu erhalten, was in unserer Netzwerkfassung passiert, können wir zählen, wie viele Pakete zu jedem Protokolltyp gehören. Dies hilft, zu identifizieren, welche Protokolle im Netzwerkverkehr am aktivsten sind:

tshark -r capture.pcap -qz io,phs

Dieser Befehl erzeugt eine Protokollhierarchietabelle, die die Verteilung verschiedener Protokolle in Ihrer Erfassungsdatei zeigt. Dies ist besonders nützlich, wenn Sie komplexe Netzwerkverkehrsmuster analysieren.

Anzeige detaillierter Felder mit -V

In diesem Schritt werden wir untersuchen, wie man umfassende Paketdetails mithilfe des -V-Flags (ausführlich) von Wireshark anzeigt. Dies ist besonders nützlich, wenn Sie alle Protokollschichten und ihre Felder innerhalb eines Netzwerkpakets untersuchen müssen.

Bevor wir beginnen, stellen wir sicher, dass wir uns im richtigen Arbeitsverzeichnis befinden, in dem sich unsere Paketerfassungsdatei befindet:

cd ~/project

Das -V-Flag zeigt die vollständige Struktur jedes Pakets an und zeigt alle Protokollschichten von der physischen Rahmenebene bis hin zu den Anwendungsdaten. Diese hierarchische Ansicht hilft Ihnen zu verstehen, wie verschiedene Protokolle in der Netzwerkkommunikation zusammenarbeiten. Schauen wir uns das erste Paket in unserer Erfassungsdatei an:

tshark -r capture.pcap -V -c 1

Die Ausgabe zeigt detaillierte Informationen zu jeder Protokollschicht an. Hier ist ein Beispiel für das, was Sie sehen könnten (zur Klarheit gekürzt):

Frame 1: 66 bytes on wire (528 bits), 66 bytes captured (528 bits)
    Encapsulation type: Ethernet (1)
    Arrival Time: Jun  8, 2023 10:15:32.000000000 UTC
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1686219332.000000000 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 66 bytes (528 bits)
    Capture Length: 66 bytes (528 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:ip:tcp]
Ethernet II, Src: 00:11:22:33:44:55, Dst: aa:bb:cc:dd:ee:ff
    Destination: aa:bb:cc:dd:ee:ff
    Source: 00:11:22:33:44:55
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 192.168.1.1, Dst: 192.168.1.2
    Version: 4
    Header length: 20 bytes
    ...

Wenn Sie nur die Details für Pakete anzeigen möchten, die ein bestimmtes Protokoll enthalten (z. B. TCP), können Sie -V mit dem -Y-Anzeigefilter kombinieren. Dies hilft Ihnen, Ihre Analyse auf bestimmten Netzwerkverkehr zu konzentrieren:

tshark -r capture.pcap -V -Y "tcp" -c 1

Zählen von Paketen mit -c 100

In diesem Schritt werden wir untersuchen, wie man die Paketanzeige in Tshark mithilfe des -c-Flags steuert. Dies ist besonders nützlich, wenn Sie mit großen Erfassungsdateien arbeiten und nur eine Stichprobe von Paketen analysieren müssen.

Zunächst navigieren wir in unser Arbeitsverzeichnis, in dem sich die Paketerfassungsdatei befindet. Dadurch wird sichergestellt, dass alle Befehle mit der richtigen Datei funktionieren:

cd ~/project

Das -c-Flag (Abkürzung für "count") begrenzt, wie viele Pakete Tshark verarbeiten und anzeigen wird. Beispielsweise, um nur die ersten 100 Pakete aus unserer Erfassungsdatei zu untersuchen:

tshark -r capture.pcap -c 100

Beim Analysieren bestimmter Arten von Verkehr können wir das -c-Flag mit einem Anzeigefilter mithilfe von -Y kombinieren. Dieser Befehl zeigt die ersten 100 HTTP-Pakete an:

tshark -r capture.pcap -Y "http" -c 100

Wenn Sie die Gesamtzahl der Pakete in der Datei wissen müssen (nicht nur die ersten 100), zählt diese Pipeline alle Zeilen in der Ausgabe:

tshark -r capture.pcap | wc -l

Für eine detailliertere Aufschlüsselung der Protokolle in Ihrer Erfassung bietet dieser Befehl eine Protokollhierarchieübersicht, die die Anzahl für jeden Protokolltyp anzeigt:

tshark -r capture.pcap -qz io,phs

Zusammenfassung

In diesem Lab haben Sie gelernt, das Befehlszeilentool tshark von Wireshark zur Analyse von Netzwerkpaketerfassungen zu nutzen. Die Übungen umfassten das Öffnen von PCAP-Dateien mit dem -r-Flag, die Überprüfung der Installation über --version und die Untersuchung der Standardausgabefelder, einschließlich Paketmetadaten und Protokollinformationen.

Sie haben auch gelernt, das strukturierte Paketzusammenfassungsformat zu interpretieren und das -c-Flag zu verwenden, um die Ausgabeanzahl zu steuern. Diese Fähigkeiten bilden eine solide Grundlage für eine effiziente Netzwerkverkehrsanalyse und Protokolluntersuchung mithilfe von gespeicherten Erfassungsdateien.