LabEx
AnmeldenKostenlos beitreten

Zwei-Pass-Analyse in Tshark verwenden

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, wie Sie eine Zweiphasenanalyse (two-pass analysis) mit tshark, dem Befehlszeilentool von Wireshark, durchführen, um Netzwerkverkehr aus einer PCAP-Datei zu analysieren. Sie üben die Verwendung wichtiger Optionen wie -r zum Lesen von Dateien, -2 für den Zweiphasenmodus (two-pass mode) und -V für eine ausführliche Ausgabe (verbose output), während Sie TCP-Bestätigungspakete (TCP acknowledgment packets) mit Anzeigefiltern untersuchen.

Die Übungen führen Sie durch grundlegende bis fortgeschrittene tshark-Operationen, einschließlich Dateiverifizierung, Verbesserung der Protokollanalyse durch Zweiphasenanalyse und Interpretation von Netzwerkverkehrsmustern. Diese praktischen Fähigkeiten helfen Ihnen, eine genauere und effizientere Netzwerkanalyse mit den leistungsstarken Funktionen von tshark durchzuführen.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/protocol_dissection("Protocol Dissection") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/packet_capture -.-> lab-548940{{"Zwei-Pass-Analyse in Tshark verwenden"}} wireshark/display_filters -.-> lab-548940{{"Zwei-Pass-Analyse in Tshark verwenden"}} wireshark/protocol_dissection -.-> lab-548940{{"Zwei-Pass-Analyse in Tshark verwenden"}} wireshark/packet_analysis -.-> lab-548940{{"Zwei-Pass-Analyse in Tshark verwenden"}} wireshark/commandline_usage -.-> lab-548940{{"Zwei-Pass-Analyse in Tshark verwenden"}} end

Datei mit -r capture.pcap öffnen

In diesem Schritt lernen Sie, wie Sie eine Paketaufzeichnungsdatei (packet capture file) mit dem Befehlszeilentool tshark von Wireshark öffnen und untersuchen. Diese grundlegende Fähigkeit ist unerlässlich, um aufgezeichneten Netzwerkverkehr zu analysieren, bevor Sie zu fortgeschritteneren Analysetechniken übergehen.

Die Option -r ist einer der am häufigsten verwendeten Parameter von tshark. Sie steht für "read" (lesen) und gibt an, dass tshark Pakete aus einer Datei verarbeiten soll, anstatt live Netzwerkverkehr aufzuzeichnen. Wir werden mit einer Beispieldatei namens capture.pcap arbeiten, die aufgezeichnete Netzwerkkommunikationsdaten enthält.

Bevor wir beginnen, verstehen wir zunächst, mit was wir es zu tun haben:

  • Eine .pcap-Datei ist ein Standardformat zum Speichern von aufgezeichneten Netzwerkpaketen.
  • Die Datei enthält Rohdaten des Netzwerkverkehrs, die wir analysieren werden.
  • Die Verwendung einer gespeicherten Aufzeichnungsdatei ermöglicht es uns, das Netzwerkverhalten zu untersuchen, ohne live Traffic benötigen.

Befolgen Sie diese Schritte sorgfältig:

  1. Navigieren Sie zunächst zum Verzeichnis, das unsere Aufzeichnungsdatei enthält:
cd ~/project
  1. Überprüfen Sie, ob die Aufzeichnungsdatei existiert, und prüfen Sie ihre Eigenschaften:
ls -l capture.pcap

Sie sollten eine Ausgabe ähnlich der folgenden sehen:

-rw-r--r-- 1 labex labex 12345 Jan 1 00:00 capture.pcap

Dies bestätigt, dass die Datei existiert, und zeigt ihre Größe und Berechtigungen an.

  1. Öffnen und zeigen wir nun den Inhalt der Aufzeichnungsdatei an:
tshark -r capture.pcap

Dieser Befehl liest die Datei und zeigt eine Zusammenfassung jedes aufgezeichneten Pakets in Ihrem Terminal an. Jede Zeile repräsentiert ein Netzwerkpaket und zeigt grundlegende Informationen wie Zeitstempel, Quell- und Zieladressen sowie das Protokoll an.

Für Anfänger: Wenn Sie mit der Paketanalyse beginnen, ist es oft einfacher, mit gespeicherten Aufzeichnungsdateien zu arbeiten als mit live Traffic. Die Option -r gibt uns diese Möglichkeit. In den nächsten Schritten lernen wir, wie wir bestimmten Aspekte dieses Verkehrs filtern und analysieren können.

Zweiphasenmodus (Two-Pass) mit -2 aktivieren

In diesem Schritt werden wir untersuchen, wie man Wireshark's tshark im Zweiphasenanalysemodus (two-pass analysis mode) verwendet, indem man die Option -2 hinzufügt. Diese leistungsstarke Funktion lässt tshark die Aufzeichnungsdatei zweimal verarbeiten, was die Genauigkeit der Protokollanalyse und die Ergebnisse der Anzeigefilter erheblich verbessert.

Für Anfänger in der Paketanalyse: Normalerweise liest tshark Pakete nur einmal sequenziell. Der Zweiphasenmodus ändert dies wie folgt:

  1. Erste Phase: Scannt die gesamte Datei schnell, um Protokollbeziehungen und -abhängigkeiten aufzubauen.
  2. Zweite Phase: Analysiert jedes Paket sorgfältig mit dem vollständigen Kontext aus der ersten Phase.

Sie sollten den Zweiphasenmodus verwenden, wenn:

  • Sie mit komplexen Protokollen arbeiten, bei denen spätere Pakete frühere erklären.
  • Sie ausgefeilte Anzeigefilter anwenden, die den vollständigen Paketkontext benötigen.
  • Sie genaue Protokollstatistiken und Zusammenfassungen erstellen.

Üben wir dies mit unserer Beispiel-Aufzeichnungsdatei:

  1. Navigieren Sie zunächst zum Projektverzeichnis (falls Sie von den vorherigen Schritten fortfahren):
cd ~/project
  1. Führen Sie nun tshark mit aktivierter Zweiphasenanalyse aus:
tshark -2 -r capture.pcap

Verständnis des Ablaufs: Die Option -2 aktiviert den doppelten Scanning-Prozess. Während der ersten Phase notiert tshark wichtige Protokolldetails wie TCP-Sequenznummern und Sitzungszustände. In der zweiten Phase verwendet es diese Informationen, um Gespräche richtig wiederherzustellen und Filter genau anzuwenden. Dies ist besonders wertvoll für Protokolle wie TCP, bei denen Bestätigungen (acknowledgments) die Interpretation von Datenpaketen beeinflussen.

Antworten filtern mit -R "tcp.flags.ack==1"

In diesem Schritt werden wir untersuchen, wie man TCP-ACK-Pakete (TCP Acknowledgment-Pakete) mithilfe der leistungsstarken Anzeigefilterfunktionen von Wireshark filtert. Die Option -R in Tshark ermöglicht es uns, diese Filter anzuwenden, um aufgezeichneten Netzwerkverkehr zu analysieren. Dies ist besonders nützlich, wenn Sie sich auf bestimmte Pakettypen, wie TCP-Bestätigungen (acknowledgments), konzentrieren möchten.

TCP-ACK-Pakete spielen eine entscheidende Rolle in der Netzwerkkommunikation. Jedes Mal, wenn Ihr Computer Daten über eine TCP-Verbindung empfängt, sendet er diese Bestätigungspakete zurück, um die erfolgreiche Zustellung zu bestätigen. Indem wir nach ihnen filtern, können wir untersuchen, wie Systeme die Datenlieferung bestätigen.

Lassen Sie uns den Prozess Schritt für Schritt durchgehen:

  1. Zunächst müssen wir in das Arbeitsverzeichnis navigieren, in dem sich die Aufzeichnungsdatei befindet:
cd ~/project
  1. Jetzt verwenden wir Tshark mit der Zweiphasenanalyse-Option (-2) und wenden unseren ACK-Filter an:
tshark -2 -r capture.pcap -R "tcp.flags.ack==1"

Zerlegen wir, was in diesem Befehl passiert:

  • -2 aktiviert die Zweiphasenanalyse für genauere Ergebnisse.
  • -r capture.pcap gibt unsere Eingabe-Aufzeichnungsdatei an.
  • -R "tcp.flags.ack==1" wendet unseren Anzeigefilter für ACK-Pakete an.

Wichtige Punkte zum Verständnis:

  • Die Option -R teilt Tshark mit, nur Pakete anzuzeigen, die unseren Filterkriterien entsprechen.
  • tcp.flags.ack==1 passt genau auf Pakete, bei denen das TCP-ACK-Flag auf 1 (true) gesetzt ist.
  • TCP-ACKs sind normales Protokollverhalten – sie deuten nicht unbedingt auf Probleme hin.
  • Die Zweiphasenanalyse (-2) trägt dazu bei, eine genaue Protokollanalyse und Filterung sicherzustellen.

Nachdem Sie den Befehl ausgeführt haben, sehen Sie eine Ausgabe, die nur TCP-Pakete mit gesetztem ACK-Flag enthält. Eine typische Zeile sieht wie folgt aus:

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 54 443 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0

Dies zeigt die Paketnummer, den Zeitstempel, die Quell- und Ziel-IPs, die Ports und TCP-spezifische Informationen, einschließlich des [ACK]-Flags, nach dem wir gefiltert haben.

Ergebnisse mit -V anzeigen

In diesem Schritt werden wir untersuchen, wie man umfassende Paketdetails mithilfe der -V-Option (verbose) von Wireshark anzeigt. Bei der Analyse von Netzwerkverkehr ist es von entscheidender Bedeutung, die vollständige Struktur der Pakete zu verstehen. Die -V-Option hilft dabei, die vollständige Protokollhierarchie und alle Feldwerte anzuzeigen, was besonders nützlich ist, wenn man die TCP-ACK-Pakete aus unserer vorherigen Filterung untersucht.

Die ausführliche Ausgabe (-V) zeigt drei Schlüsselaspekte jedes Pakets auf:

  • Einen vollständigen Protokollaufbau, der zeigt, wie verschiedene Schichten ineinander verschachtelt sind.
  • Jedes Feldwert innerhalb dieser Protokolle, einschließlich technischer Details, die normalerweise in der Standardansicht verborgen sind.
  • Eine klare hierarchische Organisation, die der tatsächlichen Staplung von Protokollen in der Netzwerkkommunikation entspricht.

Lassen Sie uns diesen Schritt Schritt für Schritt ausführen:

  1. Zunächst navigieren wir in das Arbeitsverzeichnis, in dem sich die Aufzeichnungsdatei befindet. Dadurch stellen wir sicher, dass wir auf unsere Paketaufzeichnungsdaten zugreifen können:
cd ~/project
  1. Jetzt führen wir den Befehl mit ausführlicher Ausgabe für unsere gefilterten ACK-Pakete aus. Beachten Sie, dass wir die Zweiphasenanalyse (-2) mit unserem vorherigen Filter (-R) kombinieren und -V hinzufügen:
tshark -2 -r capture.pcap -R "tcp.flags.ack==1" -V

Für Anfänger in der Paketanalyse:

  • Die -V-Option aktiviert den "ausführlichen" Modus, ähnlich wie wenn man von einem Buchinhalt zur Lektüre ganzer Kapitel wechselt.
  • Im Gegensatz zur Standardansicht, die nur grundlegende Paketzusammenfassungen zeigt, zeigt der ausführliche Modus alle technischen Details.
  • Die Ausgabe organisiert die Informationen nach Protokollschichten (Ethernet → IP → TCP usw.), genau wie die Pakete strukturiert sind.
  • Sie werden spezifische Werte für jedes Protokollfeld sehen, was hilft, genau zu verstehen, was in der Netzwerkvermittlung passiert.

Hier ist, was Sie in der Ausgabe erwarten können (vereinfachtes Beispiel):

Frame 1: 54 bytes on wire...
Ethernet II, Src: aa:bb:cc:dd:ee:ff...
Internet Protocol Version 4, Src: 192.168.1.1...
Transmission Control Protocol, Src Port: 443...
    [ACK] Seq=1 Ack=1 Win=64240 Len=0
    [TCP Flags: ·······A····]

Zusammenfassung

In diesem Lab haben Sie gelernt, eine Zweiphasen-Paketanalyse mit dem Befehlszeilentool tshark von Wireshark durchzuführen. Der Prozess beinhaltete das Lesen von Paketen aus einer Aufzeichnungsdatei (capture.pcap) mithilfe der -r-Option und die Überprüfung ihrer Speicherorte vor der Analyse.

Sie haben die Zweiphasen-Modus erkundet, der durch die -2-Option aktiviert wird. Dieser Modus verbessert die Genauigkeit der Protokollanalyse, indem er die Pakete zweimal scannt. Diese Technik erweist sich insbesondere für komplexe Filter und Protokolle als nützlich, die kontextuelle Informationen aus nachfolgenden Paketen benötigen.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger