Menü

Netzwerkmitschnitte mit tshark analysieren

Netzwerkmitschnitte zu untersuchen wird mit Wireshark schnell zu einer Odyssee: Das Analyse-Tool reagiert bei großen Datenmengen zäh. Mit tshark sieben Sie vor.

Lesezeit: 8 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: Rudolf A. Blaha)

Von

Inhaltsverzeichnis

Mit dem Kommandozeilenwerkzeug tshark kann man Netzwerkmitschnitte (auch Traces oder Captures genannt) ebenso detailliert filtern wie mit Wireshark – das Tool gehört schließlich zu Wireshark und bringt dieselben Protokoll-Dissektoren mit. Anders als das GUI-Werkzeug Wireshark lässt sich tshark aber mit weiteren Shell-Tools verknüpfen und so seine Ausgabe weiterverarbeiten. Das erleichtert beispielsweise, Verhaltensauffälligkeiten von Clients oder sporadisch auftretenden Fehlern auf die Spur zu kommen. Security-Beauftragte können auch prüfen, ob etwa eine Firewall anfällig für bestimmte Attacken ist.

Die Konzepte lassen sich leicht auch privat für allerlei Analysen nutzen, etwa um zu ermitteln, mit welchen Zielen im Internet das neue Smart-TV spricht. Mit den Ergebnissen speist man dann beispielsweise Filterlisten von Pi-hole & Co.

Am Anfang einer Analyse empfiehlt es sich, die in einem Trace steckenden Informationen auf das Wesentliche zu reduzieren: Man filtert nur die Inhalte bestimmter Paketfelder heraus und schreibt diese in eine neue Datei. Wie bei Wireshark lassen sich Informationen auch mittels der Display-Filter isolieren, denn tshark gibt sie zeilenweise im Terminal aus. Die Ausgabe sortiert man mit den Kommandos sort und uniq.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - jederzeit kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+