Wireshark - Analyseleitfaden für PCAP-Dateien: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „==Grundprinzip== *Ziel ist es, Netzwerkkommunikation strukturiert zu lesen und relevante Informationen selbstständig zu extrahieren. *Es wird nicht geraten, P…“)
 
Zeile 1: Zeile 1:
==Grundprinzip==
+
=Wireshark Walkthrough – Analyse einer Mehrprotokoll-CAP=
*Ziel ist es, Netzwerkkommunikation strukturiert zu lesen und relevante Informationen selbstständig zu extrahieren.
 
*Es wird nicht geraten, Pakete „durchzuklicken“, sondern systematisch vorzugehen.
 
*Jede Analyse folgt dem gleichen Schema:
 
** Überblick
 
** Filterung
 
** Detailanalyse
 
** Kontextbewertung
 
  
==Vorbereitung==
+
==Ausgangssituation==
*Wireshark starten
+
* Die CAP-Datei wurde zuvor mit dem Script traffic.gen erzeugt
*PCAP-Datei über "Datei → Öffnen" laden
+
* Der Mitschnitt enthält ICMP, HTTP, HTTPS, SSH, SMTP und FTP
*Zeitdarstellung auf „Zeit seit Beginn der Aufzeichnung“ umstellen
+
* Die Analyse erfolgt vollständig offline in Wireshark
*Namensauflösung (DNS) deaktivieren, um Verfälschungen zu vermeiden
 
  
==Überblick verschaffen==
+
==Wireshark öffnen==
*Statistiken Zusammenfassung
+
* Wireshark starten
*Statistiken → Protokollhierarchie
+
* Die bereitgestellte CAP-Datei über „Datei Öffnen“ laden
*Statistiken → Endpunkte
+
* Kurz die Oberfläche erklären:
*Statistiken → Konversationen
+
** Paketliste oben
 +
** Paketdetails in der Mitte
 +
** Rohdaten unten
  
Ziel:
+
==Erster Überblick==
*Welche Protokolle sind enthalten?
+
* Menü „Statistiken → Protokollhierarchie“ öffnen
*Wie viele Pakete insgesamt?
+
* Sichtbar sind u. a.:
*Welche Hosts kommunizieren miteinander?
+
** ICMP
 +
** HTTP
 +
** TLS
 +
** SSH
 +
** SMTP
 +
** FTP
 +
* Fenster schließen
  
==Filtern lernen (zentraler Punkt)==
+
==ICMP – Ping==
*Display-Filter werden verwendet, um relevante Pakete sichtbar zu machen
+
* Display-Filter setzen:
*Typische Filter:
+
icmp
** icmp
+
* In der Paketliste sind Echo Requests und Echo Replies sichtbar
** http
+
* Ein Echo Request wird geöffnet
** tcp
+
* Quell- und Ziel-IP werden gezeigt
** tcp.port == 80
+
* Direkt darunter der passende Echo Reply
** tcp.port == 443
+
* Erklärung: ICMP überträgt keine Nutzdaten und ist unverschlüsselt
** ftp
 
** smtp
 
  
*Filter können kombiniert werden:
+
==HTTP – Klartext-Webverkehr==
** tcp && ip.addr == X.X.X.X
+
* Display-Filter ändern:
** http.request
+
http
** tls.handshake
+
* Ein HTTP GET Request wird geöffnet
 
+
* Im Paketdetails-Fenster:
==Paketaufbau verstehen==
+
** HTTP-Methode GET
*Jedes Paket besteht aus Schichten:
 
** Frame
 
** Ethernet
 
** IP
 
** TCP/UDP
 
** Anwendungsprotokoll
 
 
 
*Wichtige Regel:
 
** Antworten stehen immer im Kontext der Anfrage
 
** Ein einzelnes Paket reicht selten aus
 
 
 
==TCP-Grundlagen für die Analyse==
 
*3-Way-Handshake identifizieren:
 
** SYN
 
** SYN/ACK
 
** ACK
 
 
 
*Source-Port:
 
** Vom Client gewählt
 
** Meist >1024
 
** Bleibt während einer Verbindung konstant
 
 
 
*MSS:
 
** Im SYN-Paket zu finden
 
** TCP → Options → MSS
 
 
 
==ICMP-Analyse==
 
*Filter: icmp
 
*Unterscheide:
 
** Echo Request
 
** Echo Reply
 
*Zähle Requests und Replies getrennt
 
*Prüfe, ob auf jede Anfrage eine Antwort folgt
 
 
 
==HTTP-Analyse==
 
*Filter: http
 
*Unterscheide:
 
** Request
 
** Response
 
 
 
*HTTP-Requests analysieren:
 
** Methode (GET/POST)
 
** Angeforderter Pfad
 
 
** Host-Header
 
** Host-Header
 +
** Angefragte Ressource
 +
* Antwortpaket öffnen
 +
* HTTP-Statuscode und Server-Header anzeigen
 +
* Erklärung: HTTP überträgt Inhalte vollständig im Klartext
  
*HTTP-Responses analysieren:
+
==HTTPS – Verschlüsselter Webverkehr==
** Statuscode
+
* Display-Filter ändern:
** Server-Header
+
tls
** Content-Type
+
* Ein ClientHello-Paket öffnen
 
+
* TLS-Version anzeigen
*Objekte:
+
* Server Name Indication (SNI) zeigen
*Statistiken → HTTP → Requests
+
* ServerHello und Zertifikat anzeigen
*Statistiken → HTTP → Packet Counter
+
* Erklärung:
 
+
** Zielsystem und Zertifikat sind sichtbar
==HTTPS / TLS-Analyse==
+
** HTTP-Inhalt ist nicht lesbar
*Filter: tls
 
*Nur Metadaten sichtbar – keine Inhalte
 
*Relevante Punkte:
 
** TLS-Version
 
** Cipher Suites
 
** Server Name Indication (SNI)
 
** Zertifikat (X.509)
 
 
 
*Handshake analysieren:
 
** ClientHello
 
** ServerHello
 
** Certificate
 
 
 
==FTP-Analyse==
 
*Filter: ftp || ftp-data
 
*Kontrollverbindung und Datenverbindung unterscheiden
 
*Aktiv vs. Passiv:
 
** PORT-Befehl → aktiv
 
** PASV-Befehl → passiv
 
 
 
*Login:
 
** USER
 
** PASS
 
 
 
*Übertragene Dateien:
 
** RETR / STOR
 
** Dateiname im Klartext sichtbar
 
 
 
==SMTP-Analyse==
 
*Filter: smtp
 
*SMTP ist ein textbasiertes Protokoll
 
*Dialog schrittweise lesen
 
 
 
*Begrüßung:
 
** HELO / EHLO
 
 
 
*Authentifizierung:
 
** AUTH
 
** Kodierung identifizieren (z. B. Base64)
 
** Kodierte Daten nicht blind lesen – zuerst erkennen
 
 
 
*Mail-Daten:
 
** MAIL FROM
 
** RCPT TO
 
** DATA
 
** Subject im Klartext
 
  
*Statuscodes:
+
==SSH – Gesicherte Fernanmeldung==
** 220, 235, 250, 354, 550 usw.
+
* Display-Filter ändern:
 +
ssh
 +
* SSH-Version im Klartext sichtbar
 +
* Key-Exchange-Pakete anzeigen
 +
* Erklärung:
 +
** Benutzername und Passwort sind nicht sichtbar
 +
** Auch ausgeführte Befehle sind verschlüsselt
  
==Sicherheitsanalyse==
+
==SMTP – Mailübertragung ohne Verschlüsselung==
*Fragen, die immer gestellt werden sollten:
+
* Display-Filter ändern:
** Ist der Inhalt lesbar?
+
smtp
** Werden Zugangsdaten übertragen?
+
* EHLO-Befehl öffnen
** Gibt es Verschlüsselung?
+
* MAIL FROM und RCPT TO anzeigen
** Wird STARTTLS angeboten?
+
* DATA-Bereich öffnen
** Wird es tatsächlich genutzt?
+
* Betreff der Mail anzeigen
 +
* Mailinhalt im Klartext anzeigen
 +
* Erklärung: SMTP ohne TLS überträgt komplette Mails unverschlüsselt
  
*Bewertung immer begründen, nicht behaupten
+
==FTP – Steuerverbindung==
 +
* Display-Filter ändern:
 +
ftp
 +
* USER-Befehl öffnen
 +
* PASS-Befehl öffnen
 +
* Benutzername und Passwort sind im Klartext sichtbar
 +
* RETR-Befehl für den Dateidownload anzeigen
 +
* Erklärung: FTP-Steuerverbindung ist unverschlüsselt
  
==Typische Fehler==
+
==FTP – Datenverbindung==
*Nicht filtern
+
* Ein Paket der separaten TCP-Datenverbindung öffnen
*Nur ein Paket betrachten
+
* Rechtsklick → Follow → TCP Stream
*Source- und Destination-Port verwechseln
+
* Dateiinhalt wird vollständig angezeigt
*Anwendungsebene ignorieren
+
* Erklärung:
*Statistiken nicht nutzen
+
** FTP nutzt separate Steuer- und Datenverbindungen
 +
** Auch die Datenübertragung ist unverschlüsselt
  
==Merksatz==
+
==Zusammenfassung==
*Wireshark ist kein Ratespiel.
+
* ICMP, HTTP, SMTP und FTP übertragen Inhalte im Klartext
*Alles, was gefragt wird, steht sichtbar im Mitschnitt – man muss nur wissen, wo.
+
* HTTPS und SSH schützen Inhalte durch Verschlüsselung
 +
* Der Mitschnitt zeigt reale Sicherheitsrisiken unverschlüsselter Protokolle
 +
* Wireshark ermöglicht vollständige Rekonstruktion von Klartextkommunikation

Version vom 10. Februar 2026, 17:38 Uhr

Wireshark Walkthrough – Analyse einer Mehrprotokoll-CAP

Ausgangssituation

  • Die CAP-Datei wurde zuvor mit dem Script traffic.gen erzeugt
  • Der Mitschnitt enthält ICMP, HTTP, HTTPS, SSH, SMTP und FTP
  • Die Analyse erfolgt vollständig offline in Wireshark

Wireshark öffnen

  • Wireshark starten
  • Die bereitgestellte CAP-Datei über „Datei → Öffnen“ laden
  • Kurz die Oberfläche erklären:
    • Paketliste oben
    • Paketdetails in der Mitte
    • Rohdaten unten

Erster Überblick

  • Menü „Statistiken → Protokollhierarchie“ öffnen
  • Sichtbar sind u. a.:
    • ICMP
    • HTTP
    • TLS
    • SSH
    • SMTP
    • FTP
  • Fenster schließen

ICMP – Ping

  • Display-Filter setzen:
icmp
  • In der Paketliste sind Echo Requests und Echo Replies sichtbar
  • Ein Echo Request wird geöffnet
  • Quell- und Ziel-IP werden gezeigt
  • Direkt darunter der passende Echo Reply
  • Erklärung: ICMP überträgt keine Nutzdaten und ist unverschlüsselt

HTTP – Klartext-Webverkehr

  • Display-Filter ändern:
http
  • Ein HTTP GET Request wird geöffnet
  • Im Paketdetails-Fenster:
    • HTTP-Methode GET
    • Host-Header
    • Angefragte Ressource
  • Antwortpaket öffnen
  • HTTP-Statuscode und Server-Header anzeigen
  • Erklärung: HTTP überträgt Inhalte vollständig im Klartext

HTTPS – Verschlüsselter Webverkehr

  • Display-Filter ändern:
tls
  • Ein ClientHello-Paket öffnen
  • TLS-Version anzeigen
  • Server Name Indication (SNI) zeigen
  • ServerHello und Zertifikat anzeigen
  • Erklärung:
    • Zielsystem und Zertifikat sind sichtbar
    • HTTP-Inhalt ist nicht lesbar

SSH – Gesicherte Fernanmeldung

  • Display-Filter ändern:
ssh
  • SSH-Version im Klartext sichtbar
  • Key-Exchange-Pakete anzeigen
  • Erklärung:
    • Benutzername und Passwort sind nicht sichtbar
    • Auch ausgeführte Befehle sind verschlüsselt

SMTP – Mailübertragung ohne Verschlüsselung

  • Display-Filter ändern:
smtp
  • EHLO-Befehl öffnen
  • MAIL FROM und RCPT TO anzeigen
  • DATA-Bereich öffnen
  • Betreff der Mail anzeigen
  • Mailinhalt im Klartext anzeigen
  • Erklärung: SMTP ohne TLS überträgt komplette Mails unverschlüsselt

FTP – Steuerverbindung

  • Display-Filter ändern:
ftp
  • USER-Befehl öffnen
  • PASS-Befehl öffnen
  • Benutzername und Passwort sind im Klartext sichtbar
  • RETR-Befehl für den Dateidownload anzeigen
  • Erklärung: FTP-Steuerverbindung ist unverschlüsselt

FTP – Datenverbindung

  • Ein Paket der separaten TCP-Datenverbindung öffnen
  • Rechtsklick → Follow → TCP Stream
  • Dateiinhalt wird vollständig angezeigt
  • Erklärung:
    • FTP nutzt separate Steuer- und Datenverbindungen
    • Auch die Datenübertragung ist unverschlüsselt

Zusammenfassung

  • ICMP, HTTP, SMTP und FTP übertragen Inhalte im Klartext
  • HTTPS und SSH schützen Inhalte durch Verschlüsselung
  • Der Mitschnitt zeigt reale Sicherheitsrisiken unverschlüsselter Protokolle
  • Wireshark ermöglicht vollständige Rekonstruktion von Klartextkommunikation
Abgerufen von „http://wiki.ixheim.de/index.php?title=Wireshark_-_Analyseleitfaden_für_PCAP-Dateien&oldid=66779