LabEx
AnmeldenKostenlos beitreten

Tshark-Displayfilter verwenden

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Labor lernen Sie, Anzeigefilter im Wireshark-Befehlszeilentool tshark für eine effiziente Netzwerkverkehrsanalyse zu nutzen. Sie üben das Lesen von Paket-Capture-Dateien (capture.pcap) und die Anwendung von Filtern, um spezifische Verkehrsstrukturen wie Pakete von bestimmten IP-Adressen oder TCP-Ports zu isolieren.

Durch praktische Übungen beherrschen Sie wichtige tshark-Befehle, einschließlich -r zum Lesen von Dateien und -Y zur Filteranwendung. Das Labor betont den Vergleich von gefilterten und ungefilterten Ergebnissen, um Ihre Fähigkeiten im Netzwerk-Troubleshooting zu verbessern.

Tshark-Installation und Beispieldatei überprüfen

In diesem ersten Schritt stellen Sie sicher, dass das tshark-Befehlszeilentool installiert ist und die Beispiel-Paket-Capture-Datei in Ihrem Arbeitsverzeichnis verfügbar ist. Dies gewährleistet, dass Ihre Umgebung für die folgenden Netzwerk-Analyseaufgaben bereit ist.

  1. Überprüfen Sie zunächst die tshark-Installation, indem Sie die Version abfragen. Öffnen Sie ein Terminal und führen Sie aus:

    tshark -v

    Sie sollten eine Ausgabe ähnlich dieser erhalten, die anzeigt, dass tshark installiert ist:

    TShark (Wireshark) X.Y.Z (Git vX.Y.Z-gXXXXXXXXXXXX)
...

    Die Versionsnummern (X.Y.Z) können variieren, aber das Vorhandensein der Ausgabe bestätigt, dass tshark bereit ist.

  2. Navigieren Sie anschließend in das Projektverzeichnis, in dem sich die Beispiel-Paket-Capture-Datei befindet. Dies ist das Standardarbeitsverzeichnis für dieses Labor:

    cd ~/project

  3. Überprüfen Sie, ob die Beispiel-Paket-Capture-Datei capture.pcap in diesem Verzeichnis vorhanden ist. Diese Datei wird für alle folgenden Analyse Schritte verwendet:

    ls -l capture.pcap

    Sie sollten eine Ausgabe ähnlich dieser erhalten:

    -rw-r--r-- 1 labex labex 123456 Jan 1 00:00 capture.pcap

    Diese Ausgabe bestätigt die Berechtigungen, den Besitzer, die Größe und das Änderungsdatum der Datei, was darauf hinweist, dass sie vorhanden und zugänglich ist.

Paket-Capture-Datei mit -r lesen

In diesem Schritt lernen Sie, wie Sie den Inhalt einer Paket-Capture-Datei mit tshark lesen und anzeigen. Die Option -r ist grundlegend für die Angabe einer Eingabe-Datei, sodass tshark statt Live-Daten aufgezeichnete Netzwerkdaten analysieren kann.

  1. Stellen Sie sicher, dass Sie sich im Verzeichnis ~/project befinden, da sich dort unsere capture.pcap-Datei befindet:

    cd ~/project

  2. Verwenden Sie nun tshark, um alle Pakete aus der Datei capture.pcap zu lesen und anzuzeigen:

    tshark -r capture.pcap

    Der Flag -r weist tshark an, aus der angegebenen Datei zu lesen. Dieser Befehl gibt eine Zusammenfassung jedes Pakets direkt in Ihrem Terminal aus.

  3. Die Ausgabe zeigt grundlegende Informationen für jedes Paket in Spalten an. Sie sehen Details wie Paketnummer, Zeitstempel, Quell- und Ziel-IP-Adressen, Protokoll und eine kurze Beschreibung. Beispiel:

    1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
2   0.000123 10.0.0.2 → 10.0.2.15 TCP 74 49234 → 80 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0
...

    Jede Zeile repräsentiert ein Netzwerkpaket und bietet einen schnellen Überblick über den Datenverkehr.

  4. Da capture.pcap viele Pakete enthält, wird die Ausgabe kontinuierlich angezeigt. Um die Anzeige zu stoppen und zum Eingabeaufforderungs-Terminal zurückzukehren, drücken Sie Strg+C. Dieser Tastenkombination beendet den tshark-Prozess sicher.

Quelle-IP filtern mit -Y "ip.src==10.0.2.15"

In diesem Schritt lernen Sie, wie Sie einen Anzeigefilter anwenden, um nur Pakete anzuzeigen, die von einer bestimmten Quell-IP-Adresse stammen. Die Option -Y in tshark ermöglicht es Ihnen, die leistungsstarke Anzeigefilter-Syntax von Wireshark zu verwenden, um Ihre Analyse auf den relevanten Datenverkehr einzugrenzen.

  1. Stellen Sie sicher, dass Sie sich im Verzeichnis ~/project befinden:

    cd ~/project

  2. Filtern Sie nun die Datei capture.pcap, um nur Pakete anzuzeigen, bei denen die Quell-IP-Adresse 10.0.2.15 ist. Der Filter ip.src==10.0.2.15 gibt diese Bedingung an:

    tshark -r capture.pcap -Y "ip.src==10.0.2.15"

    Der Flag -Y wendet den angegebenen Anzeigefilter an.

  3. Der Befehl gibt nur die Pakete aus, die den Filterkriterien entsprechen. Sie werden feststellen, dass jedes angezeigte Paket 10.0.2.15 als Quell-IP-Adresse hat:

    1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
3   0.000456 10.0.2.15 → 10.0.0.2 TCP 66 80 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
...

    Vergleichen Sie diese Ausgabe mit den unfiltierten Ergebnissen aus dem vorherigen Schritt. Dies zeigt, wie Anzeigefilter Ihnen helfen, sich auf bestimmte Datenverkehrsmuster innerhalb einer großen Capture-Datei zu konzentrieren.

  4. Wenn Sie die gefilterte Ausgabe geprüft haben, drücken Sie Strg+C, um die Anzeige zu stoppen und zum Eingabeaufforderungs-Terminal zurückzukehren.

Filter kombinieren mit -Y "ip.src==10.0.2.15 und tcp.port==80"

In diesem Schritt lernen Sie, mehrere Anzeigefilter mithilfe logischer Operatoren zu kombinieren, um Ihre Netzwerkverkehrsanalyse zu verfeinern. Durch die Verwendung des Operators und können Sie angeben, dass Pakete alle definierten Bedingungen erfüllen müssen, um angezeigt zu werden, was gezielte Untersuchungen ermöglicht.

  1. Stellen Sie sicher, dass Sie sich im Verzeichnis ~/project befinden:

    cd ~/project

  2. Lassen Sie uns nun nach Paketen filtern, die gleichzeitig zwei Bedingungen erfüllen: Sie müssen von der IP-Adresse 10.0.2.15 stammen UND den TCP-Port 80 verwenden (häufig für HTTP-Datenverkehr). Der Operator und stellt sicher, dass beide Bedingungen für ein Paket erfüllt sein müssen, damit es in der Ausgabe enthalten ist:

    tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80"

    Dieser Befehl zeigt nur die Pakete an, die sowohl die Quell-IP- als auch die TCP-Port-Kriterien erfüllen.

  3. Die Ausgabe zeigt nur Pakete an, die beide Bedingungen erfüllen. Beispielsweise sehen Sie möglicherweise HTTP-Anforderungen oder -Antworten von der angegebenen IP-Adresse:

    1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
5   0.001234 10.0.2.15 → 10.0.0.2 HTTP 145 GET /index.html HTTP/1.1
...

    Beachten Sie, wie dieser kombinierte Filter präzisere Ergebnisse liefert als die Verwendung einzelner Filter. Diese Technik ist entscheidend für die Isolierung spezifischer Konversationen oder Anwendungsdatenverkehrs.

  4. Wenn Sie mit der Überprüfung der Ausgabe fertig sind, drücken Sie Strg+C, um zum Eingabeaufforderungs-Terminal zurückzukehren.

Ausgabe verifizieren mit -P (Detaillierte Paketansicht)

In diesem letzten Schritt erfahren Sie, wie Sie detaillierte Informationen für gefilterte Pakete mithilfe der Option -P von tshark anzeigen. Die Option -P ist besonders nützlich, wenn Sie Paketzusammenfassungen anzeigen möchten, während gleichzeitig Pakete in eine Datei geschrieben werden, oder wenn sie mit anderen Optionen zur Unterdrückung der Ausgabe verwendet wird.

  1. Stellen Sie sicher, dass Sie sich im Verzeichnis ~/project befinden:

    cd ~/project

  2. Lassen Sie uns zunächst den Unterschied zwischen der Verwendung von -P und der Nicht-Verwendung bei der Datei-Schreibweise sehen. Führen Sie diesen Befehl ohne -P aus:

    tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -w filtered.pcap

    Beachten Sie, dass keine Paketinformationen auf dem Bildschirm angezeigt werden, da die Pakete in eine Datei geschrieben werden.

  3. Führen Sie nun denselben Befehl mit der Option -P aus:

    tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -w filtered.pcap -P

    Mit der Option -P werden Paketzusammenfassungen auf dem Bildschirm angezeigt, während die Pakete gleichzeitig in die Datei geschrieben werden:

    1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
2   0.000123 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
...

  4. Ein weiterer nützlicher Anwendungsfall ist die Kombination von -P mit -q (leiser Modus). Versuchen Sie es zunächst nur mit -q:

    tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -q

    Dies unterdrückt alle Paketanzeigen und zeigt nur eine Zählung am Ende an.

  5. Kombinieren Sie nun -q mit -P:

    tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -q -P

    Die Option -P überschreibt die Unterdrückung von -q und zeigt wieder Paketzusammenfassungen an.

Die Option -P ist am wertvollsten, wenn Sie die Paketverarbeitung überwachen und gleichzeitig gefilterte Ergebnisse in eine Datei speichern müssen, oder wenn Sie die Ausgabeunterdrückung durch andere Optionen wie -q überschreiben möchten.

Zusammenfassung

In diesem Labor haben Sie gelernt, wie Sie Anzeigefilter effektiv mit dem Wireshark-Befehlszeilentool tshark für die Netzwerkverkehrsanalyse anwenden. Sie haben geübt, PCAP-Dateien mit -r zu lesen, nach IP-Adressen und Ports mit -Y zu filtern und Bedingungen mit logischen Operatoren wie and zu kombinieren.

Die Übungen haben gezeigt, wie Sie spezifische Datenverkehrsmuster isolieren und die Ergebnisse mit -P verifizieren können, wodurch Sie wichtige Fähigkeiten für die gezielte Paketanalyse erwerben. Diese Techniken ermöglichen eine effiziente Fehlerbehebung, indem sie sich auf relevante Netzwerkdaten konzentrieren.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger