LabEx
AnmeldenKostenlos beitreten

Paketdaten in Tshark lesen

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, wie Sie das Befehlszeilentool tshark von Wireshark verwenden, um Netzwerk-Paketerfassungen zu analysieren. Sie üben essentielle Befehle wie -r zum Lesen von Erfassungsdateien, -V für ausführliche Ausgaben und -c zur Begrenzung der Paketanzahl, während Sie mit einer Beispiel-PCAP-Datei arbeiten.

Durch praktische Übungen untersuchen Sie Paket-Header, identifizieren wichtige Netzwerkdetails wie IP-Adressen und Protokolle und interpretieren verschiedene Ausgabeformate. Dieses Lab bietet praktische Erfahrungen mit den Kernfunktionen von tshark für eine effektive Netzwerkverkehrsanalyse.

Datei mit -r capture.pcap öffnen

In diesem Schritt werden wir untersuchen, wie man mithilfe des leistungsstarken Befehlszeilentools tshark von Wireshark bereits aufgezeichneten Netzwerkverkehr analysiert. Bei der Netzwerkanalyse müssen wir oft bereits erfasste Daten untersuchen, anstatt live Verkehr zu erfassen. Der -r-Schalter (der für "read" steht) ermöglicht uns genau das, indem wir eine Paketerfassungsdatei zur Analyse angeben.

Bevor wir beginnen, stellen wir sicher, dass wir am richtigen Ort arbeiten. Bei der Arbeit in der Kommandozeile ist es wichtig, sich im richtigen Verzeichnis zu befinden, in dem sich unsere Dateien befinden:

cd ~/project

Die LabEx-Umgebung kommt mit tshark vorinstalliert, der die Befehlszeilenversion von Wireshark ist. Um zu bestätigen, dass es verfügbar ist und um zu prüfen, welche Version wir verwenden (eine gute Praxis bei der Arbeit mit jedem Tool), führen Sie aus:

tshark --version

Es sollte detaillierte Versionsinformationen angezeigt werden, was bestätigt, dass tshark ordnungsgemäß installiert und einsatzbereit ist.

Für diese Demonstration werden wir mit einer Beispiel-Netzwerk-Erfassungsdatei arbeiten. Laden wir diese Datei in unser Arbeitsverzeichnis herunter:

wget https://labex.io/capture.pcap

Jetzt sind wir bereit, den erfassten Netzwerkverkehr zu untersuchen. Der grundlegende Befehl, um den Inhalt unserer Erfassungsdatei zu lesen und anzuzeigen, lautet:

tshark -r capture.pcap

Dieser Befehl verarbeitet die Datei und zeigt eine Übersicht aller erfassten Pakete an. Jede Zeile in der Ausgabe repräsentiert ein Netzwerkpaket und enthält mehrere wichtige Informationen, die uns helfen, die Netzwerkaktivität zu verstehen:

  • Paketnummer: Die sequenzielle Kennung jedes Pakets
  • Zeitstempel: Wann das Paket erfasst wurde (relativ zum Start der Erfassung)
  • Quell-IP: Woher das Paket kam
  • Ziel-IP: Wohin das Paket ging
  • Protokoll: Das verwendete Netzwerkprotokoll (TCP, UDP usw.)
  • Länge: Die Größe des Pakets in Bytes
  • Info: Eine kurze Beschreibung des Zwecks oder Inhalts des Pakets

So könnte eine typische Ausgabe aussehen, die die Establishierung einer TCP-Verbindung zeigt:

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 49234 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 66 49234 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0

Diese erste Ansicht gibt uns einen Überblick über die in unserer Erfassungsdatei enthaltene Netzwerkkommunikation, auf der wir in den folgenden Schritten aufbauen werden.

Anzeige der Paketübersicht mit Standardausgabe

In diesem Schritt werden wir untersuchen, wie man die grundlegende Paketübersicht liest und versteht, die tshark standardmäßig anzeigt. Dies ist Ihr Ausgangspunkt für die Analyse von Netzwerkverkehr und zeigt wichtige Informationen zu jedem Paket in einem strukturierten Format.

Bevor wir beginnen, stellen wir sicher, dass wir uns im richtigen Arbeitsverzeichnis befinden, in dem sich unsere Erfassungsdatei befindet:

cd ~/project

Die Standardausgabe von tshark zeigt den Netzwerkverkehr in Spalten an, die uns jeweils etwas Wichtiges über die Kommunikation verraten:

  1. Paketnummer: Die sequenzielle Kennung jedes Pakets in der Erfassung
  2. Zeitstempel: Wann das Paket erfasst wurde, relativ zum ersten Paket
  3. Quelladresse: Woher das Paket kam (IP-Adresse)
  4. Zieladresse: Wohin das Paket geht (IP-Adresse)
  5. Protokoll: Das verwendete Netzwerkprotokoll (TCP, UDP usw.)
  6. Länge: Wie groß das Paket in Bytes ist
  7. Info: Zusätzliche Details, die spezifisch für das Protokoll sind

Schauen wir uns die ersten 5 Pakete an, um dies in Aktion zu sehen:

tshark -r capture.pcap -c 5

Beispielausgabe:

    1 0.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 49234 [SYN] Seq=0 Win=64240 Len=0
    2 0.000123 192.168.1.2 → 192.168.1.1 TCP 66 49234 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0
    3 0.000145 192.168.1.1 → 192.168.1.2 TCP 54 443 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
    4 0.000567 192.168.1.1 → 192.168.1.2 TLSv1 583 Client Hello
    5 0.000789 192.168.1.2 → 192.168.1.1 TCP 54 49234 → 443 [ACK] Seq=1 Ack=530 Win=65535 Len=0

Um ein umfassenderes Verständnis davon zu erhalten, was in unserer Netzwerkfassung passiert, können wir zählen, wie viele Pakete zu jedem Protokolltyp gehören. Dies hilft, zu identifizieren, welche Protokolle im Netzwerkverkehr am aktivsten sind:

tshark -r capture.pcap -qz io,phs

Dieser Befehl erzeugt eine Protokollhierarchietabelle, die die Verteilung verschiedener Protokolle in Ihrer Erfassungsdatei zeigt. Dies ist besonders nützlich, wenn Sie komplexe Netzwerkverkehrsmuster analysieren.

Anzeige detaillierter Felder mit -V

In diesem Schritt werden wir untersuchen, wie man umfassende Paketdetails mithilfe des -V-Flags (ausführlich) von Wireshark anzeigt. Dies ist besonders nützlich, wenn Sie alle Protokollschichten und ihre Felder innerhalb eines Netzwerkpakets untersuchen müssen.

Bevor wir beginnen, stellen wir sicher, dass wir uns im richtigen Arbeitsverzeichnis befinden, in dem sich unsere Paketerfassungsdatei befindet:

cd ~/project

Das -V-Flag zeigt die vollständige Struktur jedes Pakets an und zeigt alle Protokollschichten von der physischen Rahmenebene bis hin zu den Anwendungsdaten. Diese hierarchische Ansicht hilft Ihnen zu verstehen, wie verschiedene Protokolle in der Netzwerkkommunikation zusammenarbeiten. Schauen wir uns das erste Paket in unserer Erfassungsdatei an:

tshark -r capture.pcap -V -c 1

Die Ausgabe zeigt detaillierte Informationen zu jeder Protokollschicht an. Hier ist ein Beispiel für das, was Sie sehen könnten (zur Klarheit gekürzt):

Frame 1: 66 bytes on wire (528 bits), 66 bytes captured (528 bits)
    Encapsulation type: Ethernet (1)
    Arrival Time: Jun  8, 2023 10:15:32.000000000 UTC
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1686219332.000000000 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 66 bytes (528 bits)
    Capture Length: 66 bytes (528 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:ip:tcp]
Ethernet II, Src: 00:11:22:33:44:55, Dst: aa:bb:cc:dd:ee:ff
    Destination: aa:bb:cc:dd:ee:ff
    Source: 00:11:22:33:44:55
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 192.168.1.1, Dst: 192.168.1.2
    Version: 4
    Header length: 20 bytes
    ...

Wenn Sie nur die Details für Pakete anzeigen möchten, die ein bestimmtes Protokoll enthalten (z. B. TCP), können Sie -V mit dem -Y-Anzeigefilter kombinieren. Dies hilft Ihnen, Ihre Analyse auf bestimmten Netzwerkverkehr zu konzentrieren:

tshark -r capture.pcap -V -Y "tcp" -c 1

Zählen von Paketen mit -c 100

In diesem Schritt werden wir untersuchen, wie man die Paketanzeige in Tshark mithilfe des -c-Flags steuert. Dies ist besonders nützlich, wenn Sie mit großen Erfassungsdateien arbeiten und nur eine Stichprobe von Paketen analysieren müssen.

Zunächst navigieren wir in unser Arbeitsverzeichnis, in dem sich die Paketerfassungsdatei befindet. Dadurch wird sichergestellt, dass alle Befehle mit der richtigen Datei funktionieren:

cd ~/project

Das -c-Flag (Abkürzung für "count") begrenzt, wie viele Pakete Tshark verarbeiten und anzeigen wird. Beispielsweise, um nur die ersten 100 Pakete aus unserer Erfassungsdatei zu untersuchen:

tshark -r capture.pcap -c 100

Beim Analysieren bestimmter Arten von Verkehr können wir das -c-Flag mit einem Anzeigefilter mithilfe von -Y kombinieren. Dieser Befehl zeigt die ersten 100 HTTP-Pakete an:

tshark -r capture.pcap -Y "http" -c 100

Wenn Sie die Gesamtzahl der Pakete in der Datei wissen müssen (nicht nur die ersten 100), zählt diese Pipeline alle Zeilen in der Ausgabe:

tshark -r capture.pcap | wc -l

Für eine detailliertere Aufschlüsselung der Protokolle in Ihrer Erfassung bietet dieser Befehl eine Protokollhierarchieübersicht, die die Anzahl für jeden Protokolltyp anzeigt:

tshark -r capture.pcap -qz io,phs

Zusammenfassung

In diesem Lab haben Sie gelernt, das Befehlszeilentool tshark von Wireshark zur Analyse von Netzwerkpaketerfassungen zu nutzen. Die Übungen umfassten das Öffnen von PCAP-Dateien mit dem -r-Flag, die Überprüfung der Installation über --version und die Untersuchung der Standardausgabefelder, einschließlich Paketmetadaten und Protokollinformationen.

Sie haben auch gelernt, das strukturierte Paketzusammenfassungsformat zu interpretieren und das -c-Flag zu verwenden, um die Ausgabeanzahl zu steuern. Diese Fähigkeiten bilden eine solide Grundlage für eine effiziente Netzwerkverkehrsanalyse und Protokolluntersuchung mithilfe von gespeicherten Erfassungsdateien.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger