Lernen, das Kommandozeilentool von Wireshark zu verwenden: TShark

Vickie Li

Follow

May 23, 2020 – 3 min read

Foto von Gerald Schömbs auf Unsplash

Wireshark ist der weltweit am häufigsten verwendete Netzwerkprotokollanalysator. Es ermöglicht Ihnen, in den aufgezeichneten Datenverkehr einzutauchen und zu analysieren, was in einem Netzwerk vor sich geht. Heute wollen wir darüber sprechen, wie Sie die Befehlszeilenschnittstelle von Wireshark, Tshark, verwenden können, um ähnliche Ergebnisse zu erzielen.

Wir werden einige Beispielbefehle durchgehen, Sie können also gerne eine PCAP-Datei verwenden, um uns zu folgen! Hier finden Sie einige Beispieldateien.

Ohne eine Eingabedatei verhält sich Tshark einfach wie Tcpdump. Es erfasst den Datenverkehr des ersten verfügbaren Netzwerks und gibt die Pakete auf der Standardausgabe aus. Alternativ können Sie das Flag „-r“ verwenden, um die Netzwerk-Capture-Datei anzugeben.

tshark -r network.pcap

Auf diese Weise zeigt Tshark die Pakete der Capture-Datei in der Standardausgabe an. Schauen wir uns eine Zeile der Ausgabe an!

35 29.947879 192.168.0.55 → 192.168.0.91 HTTP 423 HTTP/1.1 200 OK

Das mag kompliziert erscheinen, aber denken Sie daran, dass die Befehlszeilenausgabe von Tshark die Wireshark-Schnittstelle widerspiegelt. Die Felder von links nach rechts in der Befehlszeilenausgabe sind:

Packet number, Time, Source, Destination, Protocol, Length, Info
35, 29.947879, 192.168.0.55, 192.168.0.91, HTTP, 423, HTTP/1.1 200 OK

Das Feld „Zeit“ zeigt an, wann das Paket aufgezeichnet wurde. Die Felder „Quelle“ und „Ziel“ zeigen die Quell-IP und die Ziel-IP des Pakets an. Im Feld „Protokoll“ wird das verwendete Protokoll angezeigt. Das Feld „Länge“ zeigt die Länge des Pakets an. Das Feld „Info“ schließlich zeigt alle zusätzlichen Informationen über das Paket an.

Sie können diese Paketzusammenfassungen filtern, indem Sie die Ausgabe von Tshark in grep einfügen. Dieser Befehl gibt zum Beispiel die Pakete mit dem HTTP-Statuscode „200 OK“ aus.

tshark -r network.pcap | grep "200 OK"

Interessante Pakete exportieren

Sie können den Inhalt von Paketen untersuchen, indem Sie deren Objekte exportieren. Der Objektexport in Tshark ermöglicht es Ihnen, verschiedene Arten von Paketdaten zu extrahieren, wie z. B. HTTP- und SMB-Objekte. Die Syntax für den Export von Objekten lautet wie folgt:

tshark -r network.pcap --export-objects PROTOCOL,DESTINATION_DIR

Das PROTOKOLL gibt den Typ des exportierten Objekts an, während DESTINATION_DIR das Verzeichnis ist, in dem Tshark die exportierten Dateien speichert. Dieser Befehl exportiert zum Beispiel die Dateien, die durch das Netzwerk transportiert wurden, und speichert sie im Verzeichnis „exported_files_dir“.

tshark -r network.pcap --export-objects http,exported_files_dir

Verwendung von Paketfiltern

Gleich wie in Wireshark können Sie auch Pakete nach bestimmten Kriterien filtern. Sie können Ihre Filter einfach am Ende des Befehls in Anführungszeichen setzen.

tshark -r network.pcap "http.request.method == POST and http.file_data contains password"

Das Format der Filter, die angewendet werden können, ist identisch mit dem in Wireshark. Eine Liste der verfügbaren Filter finden Sie hier.

Mit dem Flag „-T“ können Sie auch das Ausgabeformat für die dekodierten Paketdaten angeben. Dieser Befehl zeigt zum Beispiel alle HTTP-GET-Anfragen im JSON-Format an.

tshark -r network.pcap -T json "http.request.method==GET"

Schließlich können Sie die Ausgabe von Tshark verarbeiten, indem Sie sie in andere Befehlszeilen-Tools wie grep einfügen.

Abschluss

Dieser Beitrag stellt nur einen kleinen Teil der Möglichkeiten von Wireshark und Tshark vor. Es handelt sich um vielseitige Tools, die viele verschiedene Arten von Analysen durchführen können.

Wenn Sie mehr über diese Tools erfahren möchten, besuchen Sie ihre Dokumentation hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.