Wireshark - Analyseleitfaden für PCAP-Dateien: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
* Der Mitschnitt enthält ICMP, HTTP, HTTPS, SSH, SMTP und FTP | * Der Mitschnitt enthält ICMP, HTTP, HTTPS, SSH, SMTP und FTP | ||
* Die Analyse erfolgt vollständig offline in Wireshark | * Die Analyse erfolgt vollständig offline in Wireshark | ||
| + | |||
| + | ==Download der Datei== | ||
| + | *wget https://xinux.de/downloads/wireshark/traffic.cap | ||
==Wireshark öffnen== | ==Wireshark öffnen== | ||
| Zeile 33: | Zeile 36: | ||
* Direkt darunter ist der passende Echo Reply zu sehen | * Direkt darunter ist der passende Echo Reply zu sehen | ||
* Erklärung: ICMP dient der Erreichbarkeitsprüfung und überträgt keine verschlüsselten Nutzdaten | * Erklärung: ICMP dient der Erreichbarkeitsprüfung und überträgt keine verschlüsselten Nutzdaten | ||
| + | * Statistics → Flow Graph zeigt die Konversation an. | ||
==HTTP – Klartext-Webverkehr== | ==HTTP – Klartext-Webverkehr== | ||
| Zeile 44: | Zeile 48: | ||
* Das Antwortpaket wird geöffnet | * Das Antwortpaket wird geöffnet | ||
* HTTP-Statuscode und Server-Header werden angezeigt | * HTTP-Statuscode und Server-Header werden angezeigt | ||
| + | * File → Export Objects → HTTP | ||
| + | * Speichern der beiden Objekte | ||
* Erklärung: HTTP überträgt Inhalte vollständig im Klartext | * Erklärung: HTTP überträgt Inhalte vollständig im Klartext | ||
| + | * Statistics → Flow Graph zeigt die Konversation an. | ||
==HTTPS – Verschlüsselter Webverkehr== | ==HTTPS – Verschlüsselter Webverkehr== | ||
| Zeile 56: | Zeile 63: | ||
** Zielsystem und Zertifikat sind sichtbar | ** Zielsystem und Zertifikat sind sichtbar | ||
** Der eigentliche HTTP-Inhalt ist verschlüsselt und nicht lesbar | ** Der eigentliche HTTP-Inhalt ist verschlüsselt und nicht lesbar | ||
| + | * Statistics → Flow Graph zeigt die Konversation an. | ||
==SSH – Gesicherte Fernanmeldung== | ==SSH – Gesicherte Fernanmeldung== | ||
| Zeile 65: | Zeile 73: | ||
** Benutzername und Passwort sind nicht sichtbar | ** Benutzername und Passwort sind nicht sichtbar | ||
** Auch ausgeführte Befehle sind vollständig verschlüsselt | ** Auch ausgeführte Befehle sind vollständig verschlüsselt | ||
| + | * Statistics → Flow Graph zeigt die Konversation an. | ||
==SMTP – Mailübertragung ohne Verschlüsselung== | ==SMTP – Mailübertragung ohne Verschlüsselung== | ||
* Display-Filter ändern: | * Display-Filter ändern: | ||
smtp | smtp | ||
| − | * Analyze Follow TCP Stream | + | * Analyze → Follow → TCP Stream |
| − | * EHLO-Befehl | + | * EHLO-Befehl ist im Stream sichtbar |
* MAIL FROM und RCPT TO werden angezeigt | * MAIL FROM und RCPT TO werden angezeigt | ||
* DATA-Bereich wird geöffnet | * DATA-Bereich wird geöffnet | ||
| Zeile 80: | Zeile 89: | ||
* Display-Filter ändern: | * Display-Filter ändern: | ||
ftp | ftp | ||
| − | * Analyze Follow TCP Stream | + | * Analyze → Follow → TCP Stream |
* USER-Befehl wird geöffnet | * USER-Befehl wird geöffnet | ||
* PASS-Befehl wird geöffnet | * PASS-Befehl wird geöffnet | ||
| Zeile 88: | Zeile 97: | ||
==FTP – Datenverbindung== | ==FTP – Datenverbindung== | ||
| + | * Display-Filter ändern: | ||
| + | ftp-data | ||
* Ein Paket der separaten TCP-Datenverbindung wird geöffnet | * Ein Paket der separaten TCP-Datenverbindung wird geöffnet | ||
* Rechtsklick auf das Paket → „Follow → TCP Stream“ | * Rechtsklick auf das Paket → „Follow → TCP Stream“ | ||
| Zeile 94: | Zeile 105: | ||
** FTP nutzt getrennte Steuer- und Datenverbindungen | ** FTP nutzt getrennte Steuer- und Datenverbindungen | ||
** Auch die Datenübertragung ist unverschlüsselt | ** Auch die Datenübertragung ist unverschlüsselt | ||
| + | * Statistics → Flow Graph zeigt die Konversation an. | ||
==Zusammenfassung== | ==Zusammenfassung== | ||
Aktuelle Version vom 10. Februar 2026, 18:10 Uhr
Wireshark Walkthrough – Analyse einer Mehrprotokoll-CAP
Ausgangssituation
- Die CAP-Datei wurde zuvor mit dem Script traffic.gen erzeugt
- Der Mitschnitt enthält ICMP, HTTP, HTTPS, SSH, SMTP und FTP
- Die Analyse erfolgt vollständig offline in Wireshark
Download der Datei
Wireshark öffnen
- Wireshark starten
- Die bereitgestellte CAP-Datei über „File → Open“ laden
- Kurz die Oberfläche erklären:
- Packet List oben
- Packet Details in der Mitte
- Packet Bytes unten
Erster Überblick
- Menü „Statistics → Protocol Hierarchy“ öffnen
- Sichtbar sind unter anderem:
- ICMP
- HTTP
- TLS
- SSH
- SMTP
- FTP
- Fenster wieder schließen
ICMP – Ping
- Display-Filter setzen:
icmp
- In der Paketliste sind Echo Requests und Echo Replies sichtbar
- Ein Echo Request wird geöffnet
- Quell- und Ziel-IP-Adresse werden angezeigt
- Direkt darunter ist der passende Echo Reply zu sehen
- Erklärung: ICMP dient der Erreichbarkeitsprüfung und überträgt keine verschlüsselten Nutzdaten
- Statistics → Flow Graph zeigt die Konversation an.
HTTP – Klartext-Webverkehr
- Display-Filter ändern:
http
- Ein HTTP GET Request wird geöffnet
- Im Packet-Details-Fenster sichtbar:
- HTTP-Methode GET
- Host-Header
- Angefragte Ressource
- Das Antwortpaket wird geöffnet
- HTTP-Statuscode und Server-Header werden angezeigt
- File → Export Objects → HTTP
- Speichern der beiden Objekte
- Erklärung: HTTP überträgt Inhalte vollständig im Klartext
- Statistics → Flow Graph zeigt die Konversation an.
HTTPS – Verschlüsselter Webverkehr
- Display-Filter ändern:
tls
- Ein ClientHello-Paket wird geöffnet
- Die verwendete TLS-Version wird angezeigt
- Server Name Indication (SNI) ist im Klartext sichtbar
- ServerHello und Zertifikat werden geöffnet
- Erklärung:
- Zielsystem und Zertifikat sind sichtbar
- Der eigentliche HTTP-Inhalt ist verschlüsselt und nicht lesbar
- Statistics → Flow Graph zeigt die Konversation an.
SSH – Gesicherte Fernanmeldung
- Display-Filter ändern:
ssh
- Die SSH-Protokollversion ist im Klartext sichtbar
- Key-Exchange-Pakete werden angezeigt
- Erklärung:
- Benutzername und Passwort sind nicht sichtbar
- Auch ausgeführte Befehle sind vollständig verschlüsselt
- Statistics → Flow Graph zeigt die Konversation an.
SMTP – Mailübertragung ohne Verschlüsselung
- Display-Filter ändern:
smtp
- Analyze → Follow → TCP Stream
- EHLO-Befehl ist im Stream sichtbar
- MAIL FROM und RCPT TO werden angezeigt
- DATA-Bereich wird geöffnet
- Betreff der E-Mail ist im Klartext sichtbar
- Inhalt der E-Mail ist vollständig lesbar
- Erklärung: SMTP ohne TLS überträgt komplette E-Mails unverschlüsselt
FTP – Steuerverbindung
- Display-Filter ändern:
ftp
- Analyze → Follow → TCP Stream
- USER-Befehl wird geöffnet
- PASS-Befehl wird geöffnet
- Benutzername und Passwort sind im Klartext sichtbar
- RETR-Befehl für den Dateidownload wird angezeigt
- Erklärung: Die FTP-Steuerverbindung ist unverschlüsselt
FTP – Datenverbindung
- Display-Filter ändern:
ftp-data
- Ein Paket der separaten TCP-Datenverbindung wird geöffnet
- Rechtsklick auf das Paket → „Follow → TCP Stream“
- Der Dateiinhalt wird vollständig im Klartext angezeigt
- Erklärung:
- FTP nutzt getrennte Steuer- und Datenverbindungen
- Auch die Datenübertragung ist unverschlüsselt
- Statistics → Flow Graph zeigt die Konversation an.
Zusammenfassung
- ICMP, HTTP, SMTP und FTP übertragen Inhalte im Klartext
- HTTPS und SSH schützen Inhalte durch Verschlüsselung
- Der Mitschnitt zeigt reale Sicherheitsrisiken unverschlüsselter Protokolle
- Wireshark erlaubt die vollständige Rekonstruktion von Klartextkommunikation