Veröffentlicht am von Thomas Wenzlaff

Penetrationstest: Sniffer tshark auf dem Raspberry nutzen

Hatte noch einen Raspberry Pi rumliegen, der Headless mit Raspian 11 bullseye bespielt wurde. Hier ein screenfetch:

Auf den wollen wir nun packet analyzer oder packet sniffer installieren (man braucht dazu kein Kali 😉 ). Hatte in der Vergangenheit schön öfters davon berichtet (1, 2, 3). Tshark ist das Kommandozeilen API für Wireshark.

Installation tshark tcpdump nmap

Test der Installation und Anleitung

Ausgabe der Anleitung mit tshark -h

Ausgabe der Anleitung mit nmap -h

Ausgabe der Anleitung mit tcpdump -h

Vorhandenen Interfaces ausgeben

tshark -D

In welche Formate kann tshark speichern?

Normalerweise speichert man in pcapng Format. Es sind aber auch diese Formate möglich:

tshark -F

Auf dem PI:

Erzeugen einer pcapng Dump-Datei

Dann mal 10 Sekunden in die Datei traffic-10-sekunden.pcapng den Netzwerkverkehr von 1 (eth0, wie oben) sichern mit:

tshark -i 1 -a duration:10 -w traffic-10-sekunden.pcapng

Als Ergebnis sehen wir einen Counter und den Hinweis das „eth0“ überwacht wird:

Es wird die pcapng (pcap next generation) (früher pcap) Datei geschrieben. Die Formate werden hier beschrieben. Das Format kann mit

file traffic-10-sekunden.pcapng ausgegeben werden:

traffic-10-sekunden.pcapng: pcapng capture file – version 1.0

Es müssen für Tests nicht unbedingt alle Files selbst erzeugt werden, es gibt hier eine Menge Beispiel PCAP/NG-Files zum Download.

Farbe

Es können die Ausgabe auch eingefärbt werden, dazu den Parameter –color anhängen. Wenn das Terminal (bei mir iTerm2) keine Farbe anzeigt, in der ~/.bashrc Datei ein

export COLORTERM=truecolor

anhängen. Dann geht alles mit Farbe in das Terminal z.B.

Verzeichnise ausgeben

Z.B.

Profile ausgeben

Ergebnis z.B.

Wenn es ein eigenes Profil z.B. wie bei mir mit Namen tw gibt ist das der Name des Verzeichnis, dh. es gib ein Verzeichnis ~/.config/wireshark/profiles/tw und in diesem liegen die Config-Dateien mit festen Namen wie z.B. die colorfilters, preferences oder hosts.
Das Profil kann wie folgt mit dem -C Parameter und dann der Profilename aufgerufen werden, z.B.:

Analyse einer pcapng Datei mit capinfos

Um vorhandene pcapng Dateien auszuwerten, kann capinfos verwendet werden. Damit erhält man einen schnellen Überblick z.B. von wann die Aufzeichnungen sind.

capinfos datei-name.pcapng

Ergebnis z.B.

Hier die ganze Anleitung:

Tree

Ausgabe von Statistik aus einer Datei. Ohne -q wird auch die Datei noch ausgebeben.

tshark -r datei-name.pcapng -z ptype,tree -q

z.B.

Analog mit DNS:

tshark -r datei-name.pcapng -z dns,tree -q

z.B.:

Mindmap

Ähnliche Artikel:
  1. User Webseiten Sniffing mit tshark auf einem headless Raspberry Pi oder „Dump and analyze network traffic with tshark“
  2. Raspberry Pi: Sniffen mit TShark, aber nicht als root User
  3. JUnit 5 Test-Ergebnisse Import und Export im XML Format mit Eclipse Oxygen
  4. whsniff ein Packet Konverter für Sniffing im IEEE 802.15.4 Wireless Sensor Networks (ZigBee) bei 2.4 GHz
  5. WordPress auf Sicherheitslücken überprüfen mit WPScan auf einem Raspberry PI unter Debian – es muss nicht immer Kali sein und “ I Still Have Faith In You“
  6. Webserver Sicherheit überprüfen mit nikto