Aufgaben

Lade jeweils die PCAP Datei runter und analysiere in Wireshark

Aufgabe icmp

• wget https://xinux.de/downloads/pcap/icmp.pcapng

1. Wieviel echo replys kamen zurück?

Aufgabe http

• wget https://xinux.de/downloads/pcap/http.pcapng

1. Welche http Seite wurde angefragt?
2. Wieviel Pakete wurden ausgetauscht?
3. Welche Nummer hat der Source Port?
4. Auf welchen Wert wurd die MSS gesetzt?
5. Welche php Skripte werden auf diese Seite angeboten?
6. Welcher Webserver läuft und welchen Versionsstand hat dieser?

Aufgabe https

• wget https://xinux.de/downloads/pcap/https.pcapng

1. Welche http Seite wurde angefragt?
2. Wieviel Pakete wurden ausgetauscht?
3. Welche Nummer hat der Source Port?
4. Welche TLS Version wurde benutzt?
5. Kann man den angefragten Servernamen lesen?
6. Kann man das Zertifikat lesen?

Aufgabe ftp

• wget https://xinux.de/downloads/pcap/ftp.pcapng

1. Wurde passives oder aktives FTP verwendet?
2. Wieviel Pakete wurden ausgetauscht?
3. Welche Nummer hat der Source Port?
4. Welche Benutzer loggte sich ein?
5. Welches Password hat der Benutzer?
6. Welche Datei wurde übertragen?

• wget https://xinux.de/downloads/pcap/smtp.pcapng

Aufgabe smtp

• wget https://xinux.de/downloads/pcap/smtp.pcapng

Basisanalyse

1. Wie viele Pakete wurden insgesamt ausgetauscht?
2. Welche Nummer hat der Source-Port des Clients?
3. Welche IP-Adresse hatte der Mailclient?
4. Welche IP-Adresse hatte der Mailserver?
5. Mit welchem Namen hat der Client den Mailserver begrüßt?

Authentifizierung

1. Nutzername und Passwort liegen in einem bestimmten Format vor. Wie nennt sich dieses Format?
2. Kann man es zurückwandeln? Wenn ja, wie?
3. Welcher Benutzername wurde übermittelt?
4. Welches Passwort wurde verwendet?
5. Welche Authentifizierungsmethode wurde eingesetzt?

SMTP-Dialog

1. Welche Absenderadresse (MAIL FROM) wurde verwendet?
2. Welche Empfängeradresse (RCPT TO) wurde angegeben?
3. Welches Subject wurde gesetzt?
4. Wurde die E-Mail vom Server akzeptiert? Wenn ja: Mit welchem SMTP-Statuscode?
5. In welchem Paket beginnt der Login-Vorgang?

Sicherheitsbetrachtung

1. Wurde STARTTLS angeboten? Wurde es genutzt?
2. Wurde das Passwort im Klartext übertragen?
3. Ist diese SMTP-Kommunikation aus heutiger Sicht als sicher zu bewerten? Begründe.

Bonusfrage

1. Wie könnte ein Angreifer diese Zugangsdaten missbrauchen?
2. Wie kann man verhindern, dass so etwas über das Netzwerk mitgelesen werden kann?

Aufgabe http Verschiedenes

• wget https://xinux.de/downloads/pcap/http_misc.pcapng

Es befinden sich verschiedene Objekte und Informationen in diesem Mitschnitt

• Was findest du heraus?