tcpdumps mit Wireshark analysieren
Die Ausgabe von tcpdump lässt sich auch in dem grafischen Tool Wireshark analysieren. Man kann mit Wireshark selbstverständlich auch selbst Pakete mitschneiden, wovon unter Linux jedoch strengstens abzuraten ist. Wireshark besitzt mehr als eine Million Zeilen Code und besaß in der Vergangenheit zahlreiche Sicherheitslücken. Die Integrität ist deswegen nicht zu garantieren und jemand könnte mit manipulierten Datenströmen Wireshark kompromittieren und dann Code mit Root-Rechten auf dem System des Wireshark-Nutzers ausführen. Mehr dazu im Wireshark-Wiki .
Deswegen ist es sinnvoll das kleinere und in der Vergangenheit sicherere tcpdump zum Sniffen zu benutzen und Wireshark nur zum grafischen Analysieren, wenn nötig, zu verwenden. Somit muss nur tcpdump als root ausgeführt werden, Wireshark hingegen kann mit normalen Benutzer-Rechten ausgeführt werden.
Bei der Benutzung von tcpdump gibt es dabei zwei Dinge zu beachten:
- man muss tcpdump mit
-s 0
ausführen, damit komplette Pakete mitgeschnitten werden - Wireshark analysiert die raw-Daten von tcpdump, also die Ausgabe muss mit
-w DATEINAME
in eine Datei geschrieben werden und nicht zum Beispiel die Bildschirmausgabe von tcpdump in eine Datei gepiped werden