Penetrationstest: Sniffer tshark auf dem Raspberry nutzen

Hatte noch einen Raspberry Pi rumliegen, der Headless mit Raspian 11 bullseye bespielt wurde. Hier ein screenfetch:

Auf den wollen wir nun packet analyzer oder packet sniffer installieren (man braucht dazu kein Kali 😉 ). Hatte in der Vergangenheit schön öfters davon berichtet (1, 2, 3). Tshark ist das Kommandozeilen API für Wireshark.

Installation tshark tcpdump nmap

Test der Installation und Anleitung

Ausgabe der Anleitung mit tshark -h

Ausgabe der Anleitung mit nmap -h

Ausgabe der Anleitung mit tcpdump -h

Vorhandenen Interfaces ausgeben

tshark -D

In welche Formate kann tshark speichern?

Normalerweise speichert man in pcapng Format. Es sind aber auch diese Formate möglich:

tshark -F

Auf dem PI:

Erzeugen einer pcapng Dump-Datei

Dann mal 10 Sekunden in die Datei traffic-10-sekunden.pcapng den Netzwerkverkehr von 1 (eth0, wie oben) sichern mit:

tshark -i 1 -a duration:10 -w traffic-10-sekunden.pcapng

Als Ergebnis sehen wir einen Counter und den Hinweis das „eth0“ überwacht wird:

Es wird die pcapng (pcap next generation) (früher pcap) Datei geschrieben. Die Formate werden hier beschrieben. Das Format kann mit

file traffic-10-sekunden.pcapng ausgegeben werden:

traffic-10-sekunden.pcapng: pcapng capture file – version 1.0

Es müssen für Tests nicht unbedingt alle Files selbst erzeugt werden, es gibt hier eine Menge Beispiel PCAP/NG-Files zum Download.

Farbe

Es können die Ausgabe auch eingefärbt werden, dazu den Parameter –color anhängen. Wenn das Terminal (bei mir iTerm2) keine Farbe anzeigt, in der ~/.bashrc Datei ein

export COLORTERM=truecolor

anhängen. Dann geht alles mit Farbe in das Terminal z.B.

Verzeichnise ausgeben

Z.B.

Profile ausgeben

Ergebnis z.B.

Wenn es ein eigenes Profil z.B. wie bei mir mit Namen tw gibt ist das der Name des Verzeichnis, dh. es gib ein Verzeichnis ~/.config/wireshark/profiles/tw und in diesem liegen die Config-Dateien mit festen Namen wie z.B. die colorfilters, preferences oder hosts.
Das Profil kann wie folgt mit dem -C Parameter und dann der Profilename aufgerufen werden, z.B.:

Analyse einer pcapng Datei mit capinfos

Um vorhandene pcapng Dateien auszuwerten, kann capinfos verwendet werden. Damit erhält man einen schnellen Überblick z.B. von wann die Aufzeichnungen sind.

capinfos datei-name.pcapng

Ergebnis z.B.

Hier die ganze Anleitung:

Tree

Ausgabe von Statistik aus einer Datei. Ohne -q wird auch die Datei noch ausgebeben.

tshark -r datei-name.pcapng -z ptype,tree -q

z.B.

Analog mit DNS:

tshark -r datei-name.pcapng -z dns,tree -q

z.B.:

Mindmap