LabEx
AnmeldenKostenlos beitreten

Anzeigenfilter in Tshark verwenden

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab werden Sie lernen, Anzeigefilter in Wireshark's Kommandozeilentool tshark für eine effiziente Netzwerkverkehrsanalyse zu nutzen. Sie üben das Lesen von Paketaufzeichnungsdateien (tcp.pcap) und das Anwenden von Filtern, um bestimmte Verkehrsmuster zu isolieren, wie beispielsweise Pakete von bestimmten IP-Adressen oder TCP-Ports.

Durch praktische Übungen werden Sie die wichtigsten tshark-Kommandos beherrschen, einschließlich -r zum Lesen von Dateien und -Y zum Anwenden von Filtern. Das Lab legt den Schwerpunkt auf den Vergleich von gefilterten und ungefilterten Ergebnissen, um Ihre Fähigkeiten in der Netzwerkfehlersuche zu verbessern.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548939{{"Anzeigenfilter in Tshark verwenden"}} wireshark/packet_analysis -.-> lab-548939{{"Anzeigenfilter in Tshark verwenden"}} wireshark/commandline_usage -.-> lab-548939{{"Anzeigenfilter in Tshark verwenden"}} end

Datei mit -r tcp.pcap lesen

In diesem Schritt werden Sie lernen, wie Sie eine Paketaufzeichnungsdatei mit Wireshark's Kommandozeilentool tshark lesen. Die Option -r ist eines der grundlegendsten Kommandos in tshark und ermöglicht es Ihnen, eine Paketaufzeichnungsdatei (PCAP) zur Analyse anzugeben. Dies ist ähnlich wie das Öffnen einer Datei in der Wireshark-GUI, aber über die Kommandozeile.

  1. Zunächst müssen wir in das Verzeichnis navigieren, das unsere Paketaufzeichnungsdatei enthält. Öffnen Sie ein Terminal und führen Sie aus:

    cd ~/project

    Dieser Befehl wechselt Ihr Arbeitsverzeichnis in den Projektordner, in dem unsere Beispielaufzeichnungsdatei gespeichert ist.

  2. Die Lab-Umgebung stellt eine Beispiel-Paketaufzeichnungsdatei mit dem Namen tcp.pcap zur Verfügung. Lassen Sie uns überprüfen, ob die Datei existiert, bevor wir versuchen, sie zu lesen:

    ls -l tcp.pcap

    Sie sollten eine Ausgabe ähnlich der folgenden sehen:

    -rw-r--r-- 1 labex labex 12345 Jan 1 00:00 tcp.pcap

    Dies zeigt die Dateiberechtigungen, den Besitzer, die Größe und das Änderungsdatum an - was bestätigt, dass die Datei vorhanden ist.

  3. Jetzt verwenden wir tshark, um die Paketaufzeichnungsdatei zu lesen und anzuzeigen:

    tshark -r tcp.pcap

    Das -r-Flag teilt tshark mit, aus der angegebenen Datei zu lesen, anstatt Live-Verkehr aufzuzeichnen. Dieser Befehl zeigt den Paketinhalt direkt in Ihrem Terminal an.

  4. Die Ausgabe zeigt jedes Paket mit grundlegenden Informationen in Spalten an:

    1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 74 49234 → 80 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0

    Jede Zeile repräsentiert ein Netzwerkpaket und zeigt seine Nummer, den Zeitstempel, die Quell- und Ziel-IPs, das Protokoll (hier TCP) und die TCP-Flags an.

  5. Die Ausgabe wird weiter scrollen, während tshark alle Pakete anzeigt. Um die Anzeige zu stoppen und zum Befehlseingabeaufforderer zurückzukehren, drücken Sie Ctrl+C. Dieser Tastaturbefehl beendet den tshark-Prozess sicher.

Filtern nach Quell-IP mit -Y "ip.src==192.168.1.1"

In diesem Schritt werden Sie lernen, wie Sie Netzwerkpakete nach Quell-IP-Adresse mit Wireshark's Kommandozeilentool tshark filtern. Die Option -Y ist speziell für Anzeigefilter (display filters) ausgelegt, die Ihnen helfen, sich auf bestimmte Netzwerkverkehrsmuster zu konzentrieren, ohne die ursprünglichen Paketdaten zu ändern.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Verzeichnis befinden, in dem sich Ihre Paketaufzeichnungsdatei befindet. Dies ist wichtig, da tshark wissen muss, wo es die Datei finden kann, die Sie analysieren möchten:

    cd ~/project

  2. Jetzt filtern wir die Pakete, die von der spezifischen IP-Adresse 192.168.1.1 stammen. Das -r-Flag gibt die Eingabedatei an, während -Y unsere Filterbedingung anwendet. Die Filtersyntax ip.src==192.168.1.1 bedeutet "zeige nur Pakete an, bei denen die Quell-IP gleich 192.168.1.1 ist":

    tshark -r tcp.pcap -Y "ip.src==192.168.1.1"

  3. Der Befehl gibt nur die Pakete aus, die unseren Filterkriterien entsprechen. Beachten Sie, wie jeder Eintrag die Quell-IP (192.168.1.1) und die Ziel-IP sowie andere Protokolldetails anzeigt:

    1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
3 0.000456 192.168.1.1 → 192.168.1.2 TCP 66 80 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0

  4. Um die Filterwirkung besser zu verstehen, vergleichen Sie diese Ausgabe mit den ungefilterten Ergebnissen, die Sie zuvor gesehen haben. Dies zeigt, wie Anzeigefilter helfen, bestimmte Verkehrsmuster aus großen Aufzeichnungsdateien zu isolieren.

  5. Wenn Sie mit der Prüfung der gefilterten Ausgabe fertig sind, drücken Sie Ctrl+C, um die Anzeige zu stoppen und zur Befehlseingabeaufforderung zurückzukehren. Diese Tastenkombination funktioniert für die meisten Kommandozeilentools, die kontinuierliche Ergebnisse ausgeben.

Filter kombinieren mit -Y "ip.src==192.168.1.1 and tcp.port==80"

In diesem Schritt lernen Sie, wie Sie mehrere Filter in Wireshark's Kommandozeilentool tshark kombinieren, um Netzwerkverkehr präzise zu analysieren. Die Option -Y (Anzeigefilter, display filter) ermöglicht es Ihnen, logische Operatoren wie and zu verwenden, um komplexe Filterbedingungen zu erstellen. Dies ist besonders nützlich, wenn Sie Verkehr untersuchen müssen, der mehreren Kriterien gleichzeitig entspricht.

  1. Navigieren Sie zunächst in das Projektverzeichnis, in dem sich Ihre Paketaufzeichnungsdatei befindet. Dadurch wird sichergestellt, dass tshark die Datei finden kann, die Sie analysieren möchten:

    cd ~/project

  2. Filtern wir nun nach Paketen, die zwei Bedingungen erfüllen: Sie müssen von der IP-Adresse 192.168.1.1 stammen UND TCP-Port 80 verwenden (typischerweise HTTP-Verkehr). Der and-Operator stellt sicher, dass beide Bedingungen für die Anzeige eines Pakets erfüllt sein müssen:

    tshark -r tcp.pcap -Y "ip.src==192.168.1.1 and tcp.port==80"

  3. Die Ausgabe zeigt nur Pakete an, die beiden Kriterien entsprechen. Beispielsweise könnten Sie HTTP-Anfragen von der angegebenen IP-Adresse sehen:

    1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
5 0.001234 192.168.1.1 → 192.168.1.2 HTTP 145 GET /index.html HTTP/1.1

  4. Beachten Sie, wie dieser kombinierte Filter gezieltere Ergebnisse liefert als die Verwendung einzelner Filter. Vergleichen Sie diese Ausgabe mit der, die Sie gesehen haben, als Sie nur nach IP oder nur nach Port gefiltert haben, um zu verstehen, wie das Kombinieren von Filtern hilft, bestimmte Verkehrsmuster zu isolieren.

  5. Wenn Sie mit der Prüfung der Ausgabe fertig sind, drücken Sie Ctrl+C, um zur Befehlseingabeaufforderung zurückzukehren. Diese Tastenkombination stoppt die Anzeige der Paketinformationen.

Ausgabe überprüfen mit -P

In diesem Schritt lernen Sie, wie Sie Paketdetails überprüfen und ausgeben können, indem Sie die -P-Option von Wireshark mit tshark verwenden. Das -P-Flag weist tshark an, Paketdetails in einem strukturierten, menschenlesbaren Format auszugeben, anstatt nur Zusammenfassungszeilen anzuzeigen. Dies ist besonders nützlich, wenn Sie bestimmte Felder innerhalb von Netzwerkpaketen untersuchen müssen.

  1. Stellen Sie zunächst sicher, dass Sie sich im richtigen Verzeichnis befinden, in dem sich Ihre Paketaufzeichnungsdatei befindet. Dies ist wichtig, da tshark auf die pcap-Datei zugreifen muss, die wir analysieren werden:

    cd ~/project

  2. Jetzt verwenden wir tshark, um Pakete von der IP-Adresse 192.168.1.1 zu filtern und anzuzeigen, die über TCP-Port 80 kommunizieren. Der Befehl kombiniert drei wichtige Flags:

    • -r, um aus unserer Aufzeichnungsdatei zu lesen
    • -Y, um unseren Anzeigefilter (display filter) anzuwenden
    • -P, um detaillierte Paketinformationen anzuzeigen
    tshark -r tcp.pcap -Y "ip.src==192.168.1.1 and tcp.port==80" -P

  3. Die -P-Option liefert eine hierarchische Auflistung des Inhalts jedes Pakets. So könnte eine Beispielausgabe aussehen, die verschiedene Protokollschichten zeigt:

    Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits)
Ethernet II, Src: 00:11:22:33:44:55, Dst: 66:77:88:99:aa:bb
Internet Protocol Version 4, Src: 192.168.1.1, Dst: 192.168.1.2
Transmission Control Protocol, Src Port: 80, Dst Port: 49234, Seq: 0, Ack: 0, Flags: SYN

  4. Beachten Sie, wie diese Ausgabe mehr technische Details zeigt als die vorherigen Befehle ohne -P. Sie können sehen:

    • Die Informationen der physischen Schicht (Ethernet)
    • Die Adressen der Netzwerkschicht (IP)
    • Die Portnummern und Flags der Transportschicht (TCP)

  5. Wenn Sie mit der Prüfung der Ausgabe fertig sind, können Sie die Anzeige stoppen, indem Sie Ctrl+C drücken. Diese Tastenkombination funktioniert in den meisten Linux-Terminals, um den aktuellen Befehl zu unterbrechen.

Zusammenfassung

In diesem Lab haben Sie gelernt, Anzeigefilter (display filters) effektiv mit Wireshark's Kommandozeilentool tshark für die Netzwerkverkehrsanalyse anzuwenden. Sie haben gelernt, PCAP-Dateien mit -r zu lesen, nach IP-Adressen und Ports mit -Y zu filtern und Bedingungen mit logischen Operatoren wie and zu kombinieren.

Die Übungen haben gezeigt, wie Sie bestimmte Verkehrsmuster isolieren und die Ergebnisse mit -P überprüfen können. Dadurch verfügen Sie nun über die wesentlichen Fähigkeiten für eine gezielte Paketanalyse. Diese Techniken ermöglichen eine effiziente Fehlerbehebung, indem Sie sich auf relevante Netzwerkdaten konzentrieren.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger