Wireshark - Analyseleitfaden für PCAP-Dateien: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „==Grundprinzip== *Ziel ist es, Netzwerkkommunikation strukturiert zu lesen und relevante Informationen selbstständig zu extrahieren. *Es wird nicht geraten, P…“)
 
 
(12 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
==Grundprinzip==
+
=Wireshark Walkthrough – Analyse einer Mehrprotokoll-CAP=
*Ziel ist es, Netzwerkkommunikation strukturiert zu lesen und relevante Informationen selbstständig zu extrahieren.
 
*Es wird nicht geraten, Pakete „durchzuklicken“, sondern systematisch vorzugehen.
 
*Jede Analyse folgt dem gleichen Schema:
 
** Überblick
 
** Filterung
 
** Detailanalyse
 
** Kontextbewertung
 
  
==Vorbereitung==
+
==Ausgangssituation==
*Wireshark starten
+
* Die CAP-Datei wurde zuvor mit dem Script traffic.gen erzeugt
*PCAP-Datei über "Datei → Öffnen" laden
+
* Der Mitschnitt enthält ICMP, HTTP, HTTPS, SSH, SMTP und FTP
*Zeitdarstellung auf „Zeit seit Beginn der Aufzeichnung“ umstellen
+
* Die Analyse erfolgt vollständig offline in Wireshark
*Namensauflösung (DNS) deaktivieren, um Verfälschungen zu vermeiden
 
  
==Überblick verschaffen==
+
==Download der Datei==
*Statistiken → Zusammenfassung
+
*wget https://xinux.de/downloads/wireshark/traffic.cap
*Statistiken → Protokollhierarchie
 
*Statistiken → Endpunkte
 
*Statistiken → Konversationen
 
  
Ziel:
+
==Wireshark öffnen==
*Welche Protokolle sind enthalten?
+
* Wireshark starten
*Wie viele Pakete insgesamt?
+
* Die bereitgestellte CAP-Datei über „File → Open“ laden
*Welche Hosts kommunizieren miteinander?
+
* Kurz die Oberfläche erklären:
 +
** Packet List oben
 +
** Packet Details in der Mitte
 +
** Packet Bytes unten
  
==Filtern lernen (zentraler Punkt)==
+
==Erster Überblick==
*Display-Filter werden verwendet, um relevante Pakete sichtbar zu machen
+
* Menü „Statistics → Protocol Hierarchy“ öffnen
*Typische Filter:
+
* Sichtbar sind unter anderem:
** icmp
+
** ICMP
** http
+
** HTTP
** tcp
+
** TLS
** tcp.port == 80
+
** SSH
** tcp.port == 443
+
** SMTP
** ftp
+
** FTP
** smtp
+
* Fenster wieder schließen
  
*Filter können kombiniert werden:
+
==ICMP – Ping==
** tcp && ip.addr == X.X.X.X
+
* Display-Filter setzen:
** http.request
+
icmp
** tls.handshake
+
* In der Paketliste sind Echo Requests und Echo Replies sichtbar
 +
* Ein Echo Request wird geöffnet
 +
* Quell- und Ziel-IP-Adresse werden angezeigt
 +
* Direkt darunter ist der passende Echo Reply zu sehen
 +
* Erklärung: ICMP dient der Erreichbarkeitsprüfung und überträgt keine verschlüsselten Nutzdaten
 +
* Statistics → Flow Graph zeigt die Konversation an.
  
==Paketaufbau verstehen==
+
==HTTP – Klartext-Webverkehr==
*Jedes Paket besteht aus Schichten:
+
* Display-Filter ändern:
** Frame
+
http
** Ethernet
+
* Ein HTTP GET Request wird geöffnet
** IP
+
* Im Packet-Details-Fenster sichtbar:
** TCP/UDP
+
** HTTP-Methode GET
** Anwendungsprotokoll
 
 
 
*Wichtige Regel:
 
** Antworten stehen immer im Kontext der Anfrage
 
** Ein einzelnes Paket reicht selten aus
 
 
 
==TCP-Grundlagen für die Analyse==
 
*3-Way-Handshake identifizieren:
 
** SYN
 
** SYN/ACK
 
** ACK
 
 
 
*Source-Port:
 
** Vom Client gewählt
 
** Meist >1024
 
** Bleibt während einer Verbindung konstant
 
 
 
*MSS:
 
** Im SYN-Paket zu finden
 
** TCP → Options → MSS
 
 
 
==ICMP-Analyse==
 
*Filter: icmp
 
*Unterscheide:
 
** Echo Request
 
** Echo Reply
 
*Zähle Requests und Replies getrennt
 
*Prüfe, ob auf jede Anfrage eine Antwort folgt
 
 
 
==HTTP-Analyse==
 
*Filter: http
 
*Unterscheide:
 
** Request
 
** Response
 
 
 
*HTTP-Requests analysieren:
 
** Methode (GET/POST)
 
** Angeforderter Pfad
 
 
** Host-Header
 
** Host-Header
 +
** Angefragte Ressource
 +
* Das Antwortpaket wird geöffnet
 +
* HTTP-Statuscode und Server-Header werden angezeigt
 +
* File → Export Objects → HTTP
 +
* Speichern der beiden Objekte
 +
* Erklärung: HTTP überträgt Inhalte vollständig im Klartext
 +
* Statistics → Flow Graph zeigt die Konversation an.
  
*HTTP-Responses analysieren:
+
==HTTPS – Verschlüsselter Webverkehr==
** Statuscode
+
* Display-Filter ändern:
** Server-Header
+
tls
** Content-Type
+
* Ein ClientHello-Paket wird geöffnet
 
+
* Die verwendete TLS-Version wird angezeigt
*Objekte:
+
* Server Name Indication (SNI) ist im Klartext sichtbar
*Statistiken → HTTP → Requests
+
* ServerHello und Zertifikat werden geöffnet
*Statistiken → HTTP → Packet Counter
+
* Erklärung:
 
+
** Zielsystem und Zertifikat sind sichtbar
==HTTPS / TLS-Analyse==
+
** Der eigentliche HTTP-Inhalt ist verschlüsselt und nicht lesbar
*Filter: tls
+
* Statistics Flow Graph zeigt die Konversation an.
*Nur Metadaten sichtbar – keine Inhalte
 
*Relevante Punkte:
 
** TLS-Version
 
** Cipher Suites
 
** Server Name Indication (SNI)
 
** Zertifikat (X.509)
 
 
 
*Handshake analysieren:
 
** ClientHello
 
** ServerHello
 
** Certificate
 
 
 
==FTP-Analyse==
 
*Filter: ftp || ftp-data
 
*Kontrollverbindung und Datenverbindung unterscheiden
 
*Aktiv vs. Passiv:
 
** PORT-Befehl → aktiv
 
** PASV-Befehl passiv
 
 
 
*Login:
 
** USER
 
** PASS
 
 
 
*Übertragene Dateien:
 
** RETR / STOR
 
** Dateiname im Klartext sichtbar
 
 
 
==SMTP-Analyse==
 
*Filter: smtp
 
*SMTP ist ein textbasiertes Protokoll
 
*Dialog schrittweise lesen
 
 
 
*Begrüßung:
 
** HELO / EHLO
 
 
 
*Authentifizierung:
 
** AUTH
 
** Kodierung identifizieren (z. B. Base64)
 
** Kodierte Daten nicht blind lesen – zuerst erkennen
 
 
 
*Mail-Daten:
 
** MAIL FROM
 
** RCPT TO
 
** DATA
 
** Subject im Klartext
 
  
*Statuscodes:
+
==SSH – Gesicherte Fernanmeldung==
** 220, 235, 250, 354, 550 usw.
+
* Display-Filter ändern:
 +
ssh
 +
* Die SSH-Protokollversion ist im Klartext sichtbar
 +
* Key-Exchange-Pakete werden angezeigt
 +
* Erklärung:
 +
** Benutzername und Passwort sind nicht sichtbar
 +
** Auch ausgeführte Befehle sind vollständig verschlüsselt
 +
* Statistics → Flow Graph zeigt die Konversation an.
  
==Sicherheitsanalyse==
+
==SMTP – Mailübertragung ohne Verschlüsselung==
*Fragen, die immer gestellt werden sollten:
+
* Display-Filter ändern:
** Ist der Inhalt lesbar?
+
smtp
** Werden Zugangsdaten übertragen?
+
* Analyze → Follow → TCP Stream
** Gibt es Verschlüsselung?
+
* EHLO-Befehl ist im Stream sichtbar
** Wird STARTTLS angeboten?
+
* MAIL FROM und RCPT TO werden angezeigt
** Wird es tatsächlich genutzt?
+
* DATA-Bereich wird geöffnet
 +
* Betreff der E-Mail ist im Klartext sichtbar
 +
* Inhalt der E-Mail ist vollständig lesbar
 +
* Erklärung: SMTP ohne TLS überträgt komplette E-Mails unverschlüsselt
  
*Bewertung immer begründen, nicht behaupten
+
==FTP – Steuerverbindung==
 +
* Display-Filter ändern:
 +
ftp
 +
* Analyze → Follow → TCP Stream
 +
* USER-Befehl wird geöffnet
 +
* PASS-Befehl wird geöffnet
 +
* Benutzername und Passwort sind im Klartext sichtbar
 +
* RETR-Befehl für den Dateidownload wird angezeigt
 +
* Erklärung: Die FTP-Steuerverbindung ist unverschlüsselt
  
==Typische Fehler==
+
==FTP – Datenverbindung==
*Nicht filtern
+
* Display-Filter ändern:
*Nur ein Paket betrachten
+
ftp-data
*Source- und Destination-Port verwechseln
+
* Ein Paket der separaten TCP-Datenverbindung wird geöffnet
*Anwendungsebene ignorieren
+
* Rechtsklick auf das Paket → „Follow → TCP Stream“
*Statistiken nicht nutzen
+
* Der Dateiinhalt wird vollständig im Klartext angezeigt
 +
* Erklärung:
 +
** FTP nutzt getrennte Steuer- und Datenverbindungen
 +
** Auch die Datenübertragung ist unverschlüsselt
 +
* Statistics → Flow Graph zeigt die Konversation an.
  
==Merksatz==
+
==Zusammenfassung==
*Wireshark ist kein Ratespiel.
+
* ICMP, HTTP, SMTP und FTP übertragen Inhalte im Klartext
*Alles, was gefragt wird, steht sichtbar im Mitschnitt – man muss nur wissen, wo.
+
* HTTPS und SSH schützen Inhalte durch Verschlüsselung
 +
* Der Mitschnitt zeigt reale Sicherheitsrisiken unverschlüsselter Protokolle
 +
* Wireshark erlaubt die vollständige Rekonstruktion von Klartextkommunikation

Aktuelle Version vom 10. Februar 2026, 18:10 Uhr

Wireshark Walkthrough – Analyse einer Mehrprotokoll-CAP

Ausgangssituation

  • Die CAP-Datei wurde zuvor mit dem Script traffic.gen erzeugt
  • Der Mitschnitt enthält ICMP, HTTP, HTTPS, SSH, SMTP und FTP
  • Die Analyse erfolgt vollständig offline in Wireshark

Download der Datei

Wireshark öffnen

  • Wireshark starten
  • Die bereitgestellte CAP-Datei über „File → Open“ laden
  • Kurz die Oberfläche erklären:
    • Packet List oben
    • Packet Details in der Mitte
    • Packet Bytes unten

Erster Überblick

  • Menü „Statistics → Protocol Hierarchy“ öffnen
  • Sichtbar sind unter anderem:
    • ICMP
    • HTTP
    • TLS
    • SSH
    • SMTP
    • FTP
  • Fenster wieder schließen

ICMP – Ping

  • Display-Filter setzen:
icmp
  • In der Paketliste sind Echo Requests und Echo Replies sichtbar
  • Ein Echo Request wird geöffnet
  • Quell- und Ziel-IP-Adresse werden angezeigt
  • Direkt darunter ist der passende Echo Reply zu sehen
  • Erklärung: ICMP dient der Erreichbarkeitsprüfung und überträgt keine verschlüsselten Nutzdaten
  • Statistics → Flow Graph zeigt die Konversation an.

HTTP – Klartext-Webverkehr

  • Display-Filter ändern:
http
  • Ein HTTP GET Request wird geöffnet
  • Im Packet-Details-Fenster sichtbar:
    • HTTP-Methode GET
    • Host-Header
    • Angefragte Ressource
  • Das Antwortpaket wird geöffnet
  • HTTP-Statuscode und Server-Header werden angezeigt
  • File → Export Objects → HTTP
  • Speichern der beiden Objekte
  • Erklärung: HTTP überträgt Inhalte vollständig im Klartext
  • Statistics → Flow Graph zeigt die Konversation an.

HTTPS – Verschlüsselter Webverkehr

  • Display-Filter ändern:
tls
  • Ein ClientHello-Paket wird geöffnet
  • Die verwendete TLS-Version wird angezeigt
  • Server Name Indication (SNI) ist im Klartext sichtbar
  • ServerHello und Zertifikat werden geöffnet
  • Erklärung:
    • Zielsystem und Zertifikat sind sichtbar
    • Der eigentliche HTTP-Inhalt ist verschlüsselt und nicht lesbar
  • Statistics → Flow Graph zeigt die Konversation an.

SSH – Gesicherte Fernanmeldung

  • Display-Filter ändern:
ssh
  • Die SSH-Protokollversion ist im Klartext sichtbar
  • Key-Exchange-Pakete werden angezeigt
  • Erklärung:
    • Benutzername und Passwort sind nicht sichtbar
    • Auch ausgeführte Befehle sind vollständig verschlüsselt
  • Statistics → Flow Graph zeigt die Konversation an.

SMTP – Mailübertragung ohne Verschlüsselung

  • Display-Filter ändern:
smtp
  • Analyze → Follow → TCP Stream
  • EHLO-Befehl ist im Stream sichtbar
  • MAIL FROM und RCPT TO werden angezeigt
  • DATA-Bereich wird geöffnet
  • Betreff der E-Mail ist im Klartext sichtbar
  • Inhalt der E-Mail ist vollständig lesbar
  • Erklärung: SMTP ohne TLS überträgt komplette E-Mails unverschlüsselt

FTP – Steuerverbindung

  • Display-Filter ändern:
ftp
  • Analyze → Follow → TCP Stream
  • USER-Befehl wird geöffnet
  • PASS-Befehl wird geöffnet
  • Benutzername und Passwort sind im Klartext sichtbar
  • RETR-Befehl für den Dateidownload wird angezeigt
  • Erklärung: Die FTP-Steuerverbindung ist unverschlüsselt

FTP – Datenverbindung

  • Display-Filter ändern:
ftp-data
  • Ein Paket der separaten TCP-Datenverbindung wird geöffnet
  • Rechtsklick auf das Paket → „Follow → TCP Stream“
  • Der Dateiinhalt wird vollständig im Klartext angezeigt
  • Erklärung:
    • FTP nutzt getrennte Steuer- und Datenverbindungen
    • Auch die Datenübertragung ist unverschlüsselt
  • Statistics → Flow Graph zeigt die Konversation an.

Zusammenfassung

  • ICMP, HTTP, SMTP und FTP übertragen Inhalte im Klartext
  • HTTPS und SSH schützen Inhalte durch Verschlüsselung
  • Der Mitschnitt zeigt reale Sicherheitsrisiken unverschlüsselter Protokolle
  • Wireshark erlaubt die vollständige Rekonstruktion von Klartextkommunikation
Abgerufen von „http://wiki.ixheim.de/index.php?title=Wireshark_-_Analyseleitfaden_für_PCAP-Dateien&oldid=66791