TShark: automatisierte Netzwerkanalyse im Terminal

von

Stefan
in

Im ersten und zweiten Teil dieser Serie haben wir die Grundlagen sowie Filtertechniken in Wireshark und TShark kennengelernt. In diesem Beitrag liegt der Fokus auf TShark, dem Kommandozeilenwerkzeug von Wireshark, das sich ideal für Automatisierung, Remote-Analysen und Skripting eignet.

Warum TShark?

TShark bietet dieselben leistungsfähigen Funktionen wie Wireshark, jedoch ohne grafische Oberfläche.
Vorteile:

  • Ressourcenschonend: Keine GUI, ideal für Server und Embedded-Systeme
  • Automatisierbar: Integration in Skripte und Pipelines möglich
  • Remote-fähig: Für Umgebungen ohne grafische Oberfläche oder über SSH

Grundlagen der TShark-Nutzung

Live-Mitschnitt starten

tshark -i eth0

Mitschneiden des gesamten Datenverkehrs auf der Schnittstelle eth0.

Mitschnitt in Datei speichern

tshark -i eth0 -w capture.pcap

Speichert den Mitschnitt im PCAP-Format, das auch in Wireshark geöffnet werden kann.

Filter beim Mitschnitt verwenden

tshark -i eth0 -f "tcp port 443"

Zeichnet nur TLS/HTTPS-Verkehr auf.

Analyse bestehender Mitschnitte

Anzeigen aller Pakete aus einer Datei

tshark -r capture.pcap

Anzeigen nur bestimmter Pakete mit Display-Filter

tshark -r capture.pcap -Y "ip.addr == 192.168.1.10"

Zeigt nur Pakete von oder zu einer bestimmten IP-Adresse.

Automatisierte Analysen mit TShark

TShark kann Ergebnisse in maschinenlesbare Formate exportieren:

  • CSV-Export: tshark -r capture.pcap -T fields -e ip.src -e ip.dst -e frame.len -E header=y -E separator=, > report.csv Erstellt eine CSV-Datei mit Quell-IP, Ziel-IP und Paketlänge.
  • JSON-Export: tshark -r capture.pcap -T json > report.json Für die Integration in Sicherheitstools und Skripte.

Remote-Analysen

TShark kann auch über SSH auf entfernten Systemen genutzt werden:

ssh user@remote-host "tshark -i eth0 -w -" > remote-capture.pcap

Überträgt den Mitschnitt live auf den lokalen Rechner.

Praxisbeispiel: Erkennung verdächtiger Aktivitäten

Mit TShark können verdächtige Muster automatisiert erkannt werden, z. B. eine große Anzahl von Verbindungen zu unbekannten IP-Adressen:

tshark -r capture.pcap -Y "tcp.flags.syn == 1 && tcp.flags.ack == 0"

Listet nur Verbindungsversuche (SYN-Pakete), wie sie bei Port-Scans auftreten können.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert