Hat der Benutzer seine Netzwerkbrücke geschaltet, so können die Daten, die über die Bridge fließen mitgeschrieben werden. Dazu ist das Programm tshark hervorragend geeignet. Das Paket heißt genauso, nämlich tshark, welches ggf. nachinstalliert werden muss. Installieren des Paketes einfach mit apt-get.

# apt-get install tshark

Nun sollte tshark bereit stehen. Das Programm hat viele Fähigkeiten, ein Blick in die Manpage lohnt sich. Gut, nun zu dem Aufzeichnen der Netzwerkdaten. Wurde die Bridge so aufgebaut, wie es im letzten Artikel beschrieben wurde, so lautet die Brücke br0.

# tshark -q -n -b filesize:25000 -w /meinpfad/bezeichner.pcap -i br0 &

So, Enter gedrückt und los gehts. tshark unter root zu betreiben ist gefährlich. Wie jede andere Software hat tshark hier und da möglicherweise einen Fehler. So ist es einem Angreifer möglich, der weiß, dass mit tshark aufgezeichnet wird, Code in diesen Prozess zu injizieren. Da dieser nun mal in unserem Beispiel mit root läuft, hat derjenige dann vollen Zugriff auf das gesamte System. Also: Konfiguriere einen User und definiere vorher korrekt alle Rechte und starte tshark mit so wenig Rechten, wie nötig.

Was wurde oben mit den ganzen Parametern alles mitgereicht? -q definiert den Quiet-Mode. Tshark werkelt, aber redet nicht sonderlich viel mit dem Benutzer. Das Parameter -n deaktiviert die Namensauflösung via DNS. Die Hostnamen erscheinen nun als IP Adressen. Wir wollen hören und mitschneiden, später kann geschaut werden, welcher Hostname zu welcher IP gehört. Mit dem Parameter -b filesize:xxxxx wird angegeben, wie groß die Datei werden darf, bis tshark eine neue anlegt. Sehr nützlich, da viele Analysetools nicht umbedingt Gigabytes einlesen mag. Der Wert wird in KB angegeben. 25 MB also 25000 ist ein schöner Wert. -w gibt den Zielpfad der Dateien an. Der Bezeichner wird als Präfix später genutzt. -i gibt das Interface an, hier wählen wir die Bridge br0.

Viel Spaß! 🙂