Wireshark ist ein GUI-Netzwerkprotokollanalysator. Sie können Paketdaten aus einem Live-Netzwerk oder einer zuvor gespeicherten Erfassungsdatei interaktiv durchsuchen. Es ermöglicht Ihnen, auf mikroskopischer Ebene zu sehen, was in Ihrem Netzwerk vor sich geht.
TShark ist eine terminalorientierte Version von Wireshark, die zum Erfassen und Anzeigen von Paketen entwickelt wurde, wenn eine interaktive Benutzeroberfläche nicht erforderlich oder verfügbar ist. Es unterstützt die gleichen Optionen wie Wireshark. Auf seiner Website beschreibt Wireshark seinen umfangreichen Funktionsumfang wie folgt:
- Eingehende Überprüfung von Hunderten von Protokollen, wobei ständig weitere hinzugefügt werden
- Live-Erfassung und Offline-Analyse
- Multiplattform:Läuft unter Windows, Linux, macOS, Solaris, FreeBSD, NetBSD und vielen anderen
- Die leistungsstärksten Anzeigefilter der Branche
- Umfassende VoIP-Analyse
- Viele verschiedene Capture-Dateiformate lesen/schreiben:tcpdump (libpcap), Pcap NG, Cisco Secure IDS iplog, Microsoft Network Monitor und viele andere
- Mit gzip komprimierte Capture-Dateien können on-the-fly dekomprimiert werden
- Live-Daten können von Ethernet, IEEE 802.11, Bluetooth, USB und anderen gelesen werden (abhängig von Ihrer Plattform)
- Entschlüsselungsunterstützung für viele Protokolle, einschließlich IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP und WPA/WPA2
- Für eine schnelle, intuitive Analyse können Farbregeln auf die Paketliste angewendet werden
- Die Ausgabe kann in XML, PostScript, CSV oder einfachen Text exportiert werden
Installation
Wireshark kann mit den einfachen Standardbefehlen installiert werden.
Unter Red Hat Enterprise Linux (RHEL) 7:
yum install wireshark Unter Red Hat Enterprise Linux (RHEL) 8:
dnf install wireshark Anwendungsfälle
Ohne festgelegte Optionen funktioniert TShark ähnlich wie tcpdump. Es verwendet das pcap Bibliothek zum Erfassen des Datenverkehrs von der ersten verfügbaren Netzwerkschnittstelle und zeigt eine Zusammenfassungszeile in der Standardausgabe jedes empfangenen Pakets an.
Bevor wir mit der Erfassung beginnen, müssen wir definieren, welche Schnittstellen auf unserem Server TShark verwenden kann. Möglicherweise müssen Sie sudo verwenden oder Root-Zugriff in diesem Fall.
[ Das könnte Ihnen auch gefallen: Meine 5 beliebtesten Linux-Systemadministrator-Tools ]
Um diese Informationen zu erhalten, müssen Sie den folgenden Befehl ausführen:
# tshark –D Eine Beispielausgabe ist unten:
[root@server ~]# tshark -D
1. eth0
2. nflog
3. nfqueue
4. usbmon1
5. any
6. lo (Loopback) Wenn wir Verkehr auf eth0 erfassen wollten , wir könnten es mit diesem Befehl aufrufen:
tshark -i eth0 Beispielausgabe:
[root@server ~]# tshark -i eth0
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
1 0.000000000 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=1 Win=508 Len=0
2 0.103588364 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=81 Win=508 Len=0
3 0.690499219 173.212.240.3 -> 255.255.255.255 DHCP 362 DHCP ACK - Transaction ID 0x6b443d32
4 0.819279418 207.180.200.5 -> 41.242.139.31 TCP 342 tcoaddressbook > 61513 [PSH, ACK] Seq=81 Ack=1 Win=283 Len=288
5 0.987663435 45.77.145.115 -> 207.180.200.5 TCP 60 wso2esb-console > https [SYN] Seq=0 Win=5840 Len=0
6 0.987758650 207.180.200.5 -> 45.77.145.115 TCP 54 [TCP ACKed unseen segment] https > wso2esb-console [ACK] Seq=1 Ack=316217230 Win=29200 Len=0
7 1.001310441 207.180.200.5 -> 45.77.145.115 TCP 58 [TCP ACKed unseen segment] [TCP Retransmission] https > wso2esb-console [SYN, ACK] Seq=0 Ack=316217230 Win=29200 Len=0 MSS=1460
8 1.002550877 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=369 Win=513 Len=0
9 1.014391846 207.180.200.5 -> 80.237.128.149 NTP 90 NTP Version 4, client
10 1.039819501 80.237.128.149 -> 207.180.200.5 NTP 90 NTP Version 4, server Die obigen Pakete sind durch Nummern am Anfang der Zeile gekennzeichnet.
Diese Zeilen enthalten zwei IP-Adressen auf beiden Seiten eines Pfeils – dies sind die Hosts, die das Paket austauschen. Die Richtung des Pfeils zeigt an, in welche Richtung das Paket geht. Daher 41.242.139.31 -> 207.180.200.5 bedeutet, dass das Paket von Host 41.242.139.31 stammt , das ist mein Computer, und steuert das Ziel 207.180.200.5 an , das ist der entfernte Server, auf dem TShark installiert ist. Mein Computer versucht, eine Verbindung zu diesem Server herzustellen, also durchläuft er den TCP-Handshake.
Hier ist eine grundlegende Erklärung, wie TShark funktioniert:Es erfasst den gesamten Datenverkehr, der zu und von dem Server, auf dem es installiert ist, initiiert wird. Mit der leistungsstarken Filterung von TShark können wir den Verkehr anzeigen, an dem wir interessiert sind.
Wir können die Ausgabe der Erfassung auch auf bestimmte Zeilen beschränken. Wenn wir beispielsweise die Ausgabe auf 10 Zeilen begrenzen möchten, verwenden wir den folgenden Befehl:
# tshark -i eth0 -c 10 Datenverkehr zu und von einem Host erfassen
Wir können Traffic herausfiltern, der von einem bestimmten Host kommt. Zum Beispiel, um Verkehr zu finden, der von 8.8.8.8 kommt und dorthin geht verwenden wir den Befehl:
# tshark -i eth0 -c 10 host 8.8.8.8 Für Datenverkehr aus 8.8.8.8 :
# tshark -i eth0 src host 8.8.8.8 Für Datenverkehr zu 8.8.8.8 :
# tshark -i eth0 dst host 8.8.8.8 Beispielausgabe:
[root@server2 ~]# tshark -i eth0 -c 10 host 8.8.8.8
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
1 0.000000000 8.8.8.8 -> 207.180.229.97 DNS 185 Standard query response 0x8d7a No such name
2 0.004498954 8.8.8.8 -> 207.180.229.97 DNS 184 Standard query response 0x2302 No such name
3 0.024649288 8.8.8.8 -> 207.180.229.97 DNS 146 Standard query response 0x24d2 No such name
4 0.125434062 8.8.8.8 -> 207.180.229.97 DNS 125 Standard query response 0xf89a NS ns1.mail.rhsblmail.com NS ns2.mail.rhsblmail.com
5 0.138280488 8.8.8.8 -> 207.180.229.97 DNS 105 Standard query response 0x1d17 MX 10 mail.rhsblmail.com
6 0.143231852 8.8.8.8 -> 207.180.229.97 DNS 134 Standard query response 0xc774 NS ns1.hongkongserver.net NS ns2.hongkongserver.net
7 0.144433854 8.8.8.8 -> 207.180.229.97 DNS 99 Standard query response 0x4682 A 119.8.46.109
8 0.201845674 8.8.8.8 -> 207.180.229.97 DNS 150 Standard query response 0xfb47 No such name
9 0.205827278 207.180.229.97 -> 8.8.8.8 DNS 72 Standard query 0x74e3 MX dalcargo.net
10 0.482611966 8.8.8.8 -> 207.180.229.97 DNS 102 Standard query response 0x74e3 MX 0 mx.sinanet.com In der obigen Ausgabe sehen wir Datenverkehr von und nach 8.8.8.8 . Der Host 8.8.8.8 gibt Antworten an den Server 207.180.229.97 über zuvor initiierte Abfragen.
Datenverkehr zu und von einem Netzwerk erfassen
Wir können auch den Datenverkehr zu und einem bestimmten Netzwerk erfassen. Dazu verwenden wir den folgenden Befehl:
# tshark -i eth0 net 10.1.0.0 mask 255.255.255.0 oder
# tshark -i eth0 net 10.1.0.0/24 Wir können auch nach Quelle oder Ziel filtern.
Basierend auf der Quelle (Zugriff von):
# tshark -i eth0 src net 10.1.0.0/24 Basierend auf dem Ziel (Verkehr geht zu):
# tshark -i eth0 dst net 10.1.0.0/24 Datenverkehr zu und von Portnummern erfassen
Hier sind viele andere Variationen.
Erfassen Sie nur DNS-Port 53-Datenverkehr:
# tshark -i eth0 port 53 Für einen bestimmten Host:
# tshark -i eth0 host 8.8.8.8 and port 53 Nur HTTPS-Datenverkehr erfassen:
# tshark -i eth0 -c 10 host www.google.com and port 443 Erfassen Sie alle Ports außer Port 80 und 25:
tshark -i eth0 port not 53 and not 25 Speichern der Ausgabe in einer Datei
Wir können die Ausgabe unserer Erfassung in einer Datei speichern, um sie später zu lesen. Spätere Versionen von Wireshark speichern die Ausgabe im pcapng standardmäßig. Wir können jedoch auch in anderen Formaten speichern. Führen Sie den folgenden Befehl aus, um das unterstützte Format zu überprüfen:
# tshark -F
Um die Ausgabe zu speichern, verwenden wir das -w schalten. Mit dem -w switch liefert rohe Paketdaten, keinen Text. Wenn Sie eine Textausgabe wünschen, müssen Sie stdout umleiten (z. B. mit > ). Verwenden Sie nicht das -w Option dafür.
So speichern Sie eine Aufnahme unter einem Dateinamen http_capture.pcapng :
# tshark -i eth0 -c 10 port 80 -w http_capture.pcapng Wir können in pcap speichern Format, das von tcpdump und älteren Wireshark-Versionen gelesen werden kann:
# tshark -i eth0 -c 10 port 80 -w http.pcap -F libpcap [ Möchten Sie mehr über Sicherheit erfahren? Sehen Sie sich die Checkliste für IT-Sicherheit und Compliance an. ]
Abschluss
TShark ist ein umfassendes Tool, das Systemadministratoren zu ihrem Toolset hinzufügen müssen. Dies ist Teil eins einer zweiteiligen Serie. In Teil zwei werden wir uns mit fortgeschritteneren Filtern befassen und wie wir die Ausgabe lesbarer machen können.