Technologie

Wie kann ich in Wireshark mehrere Capture-Dateien zusammenführen?

Melden
  1. Einleitung
  2. Vorbereitungen und Voraussetzungen
  3. Zusammenführen mit dem Kommandozeilen-Tool mergecap
  4. Alternative Methoden und Hinweise
  5. Fazit

Einleitung

Wireshark ist eines der bekanntesten Werkzeuge zur Analyse von Netzwerkverkehr und ermöglicht das Aufzeichnen und Auswerten von Paketdaten. Oftmals liegen die erfassten Daten jedoch nicht in einer einzigen Datei vor, sondern sind auf mehrere Capture-Dateien aufgeteilt. Diese zusammenzuführen kann sinnvoll sein, um eine komplette Übersicht über die aufgezeichneten Verbindungen zu erhalten und Analysen einfacher und umfassender durchzuführen. Im Folgenden wird erläutert, wie man in Wireshark mehrere Capture-Dateien zusammenfügt.

Vorbereitungen und Voraussetzungen

Grundsätzlich speichert Wireshark Capture-Dateien im pcap- oder pcapng-Format. Um mehrere dieser Dateien zusammenzuführen, muss sichergestellt werden, dass die Dateiarten kompatibel sind und keine Beschädigungen vorliegen. Außerdem ist es hilfreich, wenn die Dateien in chronologischer Reihenfolge aufgelistet sind, damit die Paketreihenfolge nach dem Zusammenführen korrekt bleibt.

Zusammenführen mit dem Kommandozeilen-Tool mergecap

Wireshark bietet kein direktes grafisches Werkzeug, um mehrere Dateien innerhalb der Benutzeroberfläche zu vereinen. Stattdessen wird für diesen Zweck das zu Wireshark gehörende Kommandozeilen-Tool mergecap verwendet. Dieses Programm ist speziell dafür gemacht, mehrere Capture-Dateien zu einer einzigen zusammenzuführen. Die Verwendung von mergecap ist unkompliziert:

Man öffnet zunächst ein Terminal oder eine Eingabeaufforderung. Dort gibt man den Befehl ein, bei dem man die Quell-Dateien und den Namen der Zieldatei angibt. Ein typisches Beispiel sieht folgendermaßen aus:

mergecap -w zusammengefuehrt.pcapng capture1.pcap capture2.pcap capture3.pcap

Die Option -w legt dabei die Zieldatei fest, in welche die Pakete der angegebenen Quelldateien geschrieben werden. Man kann beliebig viele Quelldateien angeben, die dann in der Reihenfolge ihrer Auflistung zusammengeführt werden.

Wichtig zu beachten ist, dass mergecap auch das Zeitstempelformat beibehält, um die Reihenfolge der Pakete zu erhalten. Sollten die Dateien unterschiedliche Formate besitzen, beispielsweise pcap und pcapng, so ist pcapng als Zieldatei empfehlenswert, da dieses Format moderner und flexibler ist.

Alternative Methoden und Hinweise

Falls mergecap nicht genutzt werden kann, weil man zum Beispiel nur die grafische Oberfläche von Wireshark verwendet, kann man die Dateien einzeln öffnen und deren Pakete manuell exportieren und anschließend importieren. Dieser Prozess ist jedoch sehr aufwendig und fehleranfällig.

Zusätzlich gibt es Drittanbieter-Tools und Skripte, die das Zusammenführen von pcap-Dateien ermöglichen. Diese sind jedoch neben der Nutzung von Wireshark und mergecap selten notwendig und bieten meist keinen Mehrwert gegenüber dem offiziellen Werkzeug.

Fazit

Das Zusammenführen mehrerer Capture-Dateien in Wireshark wird am bequemsten und zuverlässigsten mit dem Tool mergecap realisiert. Dieses Programm wird mit Wireshark installiert und ermöglicht über eine einfache Kommandozeile das Kombinieren beliebig vieler Datei. Dadurch behält man die Übersicht über zusammenhängenden Netzwerkverkehr und kann umfangreiche Analysen ohne Unterbrechungen durchführen.

0

Kommentare