Wireshark - Analyseleitfaden für PCAP-Dateien: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 8: | Zeile 8: | ||
==Wireshark öffnen== | ==Wireshark öffnen== | ||
* Wireshark starten | * Wireshark starten | ||
| − | * Die bereitgestellte CAP-Datei über | + | * Die bereitgestellte CAP-Datei über „File → Open“ laden |
* Kurz die Oberfläche erklären: | * Kurz die Oberfläche erklären: | ||
| − | ** | + | ** Packet List oben |
| − | ** | + | ** Packet Details in der Mitte |
| − | ** | + | ** Packet Bytes unten |
==Erster Überblick== | ==Erster Überblick== | ||
| − | * Menü | + | * Menü „Statistics → Protocol Hierarchy“ öffnen |
| − | * Sichtbar sind | + | * Sichtbar sind unter anderem: |
** ICMP | ** ICMP | ||
** HTTP | ** HTTP | ||
| Zeile 23: | Zeile 23: | ||
** SMTP | ** SMTP | ||
** FTP | ** FTP | ||
| − | * Fenster schließen | + | * Fenster wieder schließen |
==ICMP – Ping== | ==ICMP – Ping== | ||
| Zeile 30: | Zeile 30: | ||
* In der Paketliste sind Echo Requests und Echo Replies sichtbar | * In der Paketliste sind Echo Requests und Echo Replies sichtbar | ||
* Ein Echo Request wird geöffnet | * Ein Echo Request wird geöffnet | ||
| − | * Quell- und Ziel-IP werden | + | * Quell- und Ziel-IP-Adresse werden angezeigt |
| − | * Direkt darunter der passende Echo Reply | + | * Direkt darunter ist der passende Echo Reply zu sehen |
| − | * Erklärung: ICMP überträgt keine Nutzdaten | + | * Erklärung: ICMP dient der Erreichbarkeitsprüfung und überträgt keine verschlüsselten Nutzdaten |
==HTTP – Klartext-Webverkehr== | ==HTTP – Klartext-Webverkehr== | ||
| Zeile 38: | Zeile 38: | ||
http | http | ||
* Ein HTTP GET Request wird geöffnet | * Ein HTTP GET Request wird geöffnet | ||
| − | * Im | + | * Im Packet-Details-Fenster sichtbar: |
** HTTP-Methode GET | ** HTTP-Methode GET | ||
** Host-Header | ** Host-Header | ||
** Angefragte Ressource | ** Angefragte Ressource | ||
| − | * Antwortpaket | + | * Das Antwortpaket wird geöffnet |
| − | * HTTP-Statuscode und Server-Header | + | * HTTP-Statuscode und Server-Header werden angezeigt |
* Erklärung: HTTP überträgt Inhalte vollständig im Klartext | * Erklärung: HTTP überträgt Inhalte vollständig im Klartext | ||
| Zeile 49: | Zeile 49: | ||
* Display-Filter ändern: | * Display-Filter ändern: | ||
tls | tls | ||
| − | * Ein ClientHello-Paket | + | * Ein ClientHello-Paket wird geöffnet |
| − | * TLS-Version | + | * Die verwendete TLS-Version wird angezeigt |
| − | * Server Name Indication (SNI) | + | * Server Name Indication (SNI) ist im Klartext sichtbar |
| − | * ServerHello und Zertifikat | + | * ServerHello und Zertifikat werden geöffnet |
* Erklärung: | * Erklärung: | ||
** Zielsystem und Zertifikat sind sichtbar | ** Zielsystem und Zertifikat sind sichtbar | ||
| − | ** HTTP-Inhalt ist nicht lesbar | + | ** Der eigentliche HTTP-Inhalt ist verschlüsselt und nicht lesbar |
==SSH – Gesicherte Fernanmeldung== | ==SSH – Gesicherte Fernanmeldung== | ||
* Display-Filter ändern: | * Display-Filter ändern: | ||
ssh | ssh | ||
| − | * SSH- | + | * Die SSH-Protokollversion ist im Klartext sichtbar |
| − | * Key-Exchange-Pakete | + | * Key-Exchange-Pakete werden angezeigt |
* Erklärung: | * Erklärung: | ||
** Benutzername und Passwort sind nicht sichtbar | ** Benutzername und Passwort sind nicht sichtbar | ||
| − | ** Auch ausgeführte Befehle sind verschlüsselt | + | ** Auch ausgeführte Befehle sind vollständig verschlüsselt |
==SMTP – Mailübertragung ohne Verschlüsselung== | ==SMTP – Mailübertragung ohne Verschlüsselung== | ||
* Display-Filter ändern: | * Display-Filter ändern: | ||
smtp | smtp | ||
| − | * EHLO-Befehl | + | * EHLO-Befehl wird geöffnet |
| − | * MAIL FROM und RCPT TO | + | * MAIL FROM und RCPT TO werden angezeigt |
| − | * DATA-Bereich | + | * DATA-Bereich wird geöffnet |
| − | * Betreff der Mail | + | * Betreff der E-Mail ist im Klartext sichtbar |
| − | * | + | * Inhalt der E-Mail ist vollständig lesbar |
| − | * Erklärung: SMTP ohne TLS überträgt komplette Mails unverschlüsselt | + | * Erklärung: SMTP ohne TLS überträgt komplette E-Mails unverschlüsselt |
==FTP – Steuerverbindung== | ==FTP – Steuerverbindung== | ||
* Display-Filter ändern: | * Display-Filter ändern: | ||
ftp | ftp | ||
| − | * USER-Befehl | + | * USER-Befehl wird geöffnet |
| − | * PASS-Befehl | + | * PASS-Befehl wird geöffnet |
* Benutzername und Passwort sind im Klartext sichtbar | * Benutzername und Passwort sind im Klartext sichtbar | ||
| − | * RETR-Befehl für den Dateidownload | + | * RETR-Befehl für den Dateidownload wird angezeigt |
| − | * Erklärung: FTP-Steuerverbindung ist unverschlüsselt | + | * Erklärung: Die FTP-Steuerverbindung ist unverschlüsselt |
==FTP – Datenverbindung== | ==FTP – Datenverbindung== | ||
| − | * Ein Paket der separaten TCP-Datenverbindung | + | * Ein Paket der separaten TCP-Datenverbindung wird geöffnet |
| − | * Rechtsklick → | + | * Rechtsklick auf das Paket → „Follow → TCP Stream“ |
| − | * Dateiinhalt wird vollständig angezeigt | + | * Der Dateiinhalt wird vollständig im Klartext angezeigt |
* Erklärung: | * Erklärung: | ||
| − | ** FTP nutzt | + | ** FTP nutzt getrennte Steuer- und Datenverbindungen |
** Auch die Datenübertragung ist unverschlüsselt | ** Auch die Datenübertragung ist unverschlüsselt | ||
| Zeile 97: | Zeile 97: | ||
* HTTPS und SSH schützen Inhalte durch Verschlüsselung | * HTTPS und SSH schützen Inhalte durch Verschlüsselung | ||
* Der Mitschnitt zeigt reale Sicherheitsrisiken unverschlüsselter Protokolle | * Der Mitschnitt zeigt reale Sicherheitsrisiken unverschlüsselter Protokolle | ||
| − | * Wireshark | + | * Wireshark erlaubt die vollständige Rekonstruktion von Klartextkommunikation |
Version vom 10. Februar 2026, 17:44 Uhr
Wireshark Walkthrough – Analyse einer Mehrprotokoll-CAP
Ausgangssituation
- Die CAP-Datei wurde zuvor mit dem Script traffic.gen erzeugt
- Der Mitschnitt enthält ICMP, HTTP, HTTPS, SSH, SMTP und FTP
- Die Analyse erfolgt vollständig offline in Wireshark
Wireshark öffnen
- Wireshark starten
- Die bereitgestellte CAP-Datei über „File → Open“ laden
- Kurz die Oberfläche erklären:
- Packet List oben
- Packet Details in der Mitte
- Packet Bytes unten
Erster Überblick
- Menü „Statistics → Protocol Hierarchy“ öffnen
- Sichtbar sind unter anderem:
- ICMP
- HTTP
- TLS
- SSH
- SMTP
- FTP
- Fenster wieder schließen
ICMP – Ping
- Display-Filter setzen:
icmp
- In der Paketliste sind Echo Requests und Echo Replies sichtbar
- Ein Echo Request wird geöffnet
- Quell- und Ziel-IP-Adresse werden angezeigt
- Direkt darunter ist der passende Echo Reply zu sehen
- Erklärung: ICMP dient der Erreichbarkeitsprüfung und überträgt keine verschlüsselten Nutzdaten
HTTP – Klartext-Webverkehr
- Display-Filter ändern:
http
- Ein HTTP GET Request wird geöffnet
- Im Packet-Details-Fenster sichtbar:
- HTTP-Methode GET
- Host-Header
- Angefragte Ressource
- Das Antwortpaket wird geöffnet
- HTTP-Statuscode und Server-Header werden angezeigt
- Erklärung: HTTP überträgt Inhalte vollständig im Klartext
HTTPS – Verschlüsselter Webverkehr
- Display-Filter ändern:
tls
- Ein ClientHello-Paket wird geöffnet
- Die verwendete TLS-Version wird angezeigt
- Server Name Indication (SNI) ist im Klartext sichtbar
- ServerHello und Zertifikat werden geöffnet
- Erklärung:
- Zielsystem und Zertifikat sind sichtbar
- Der eigentliche HTTP-Inhalt ist verschlüsselt und nicht lesbar
SSH – Gesicherte Fernanmeldung
- Display-Filter ändern:
ssh
- Die SSH-Protokollversion ist im Klartext sichtbar
- Key-Exchange-Pakete werden angezeigt
- Erklärung:
- Benutzername und Passwort sind nicht sichtbar
- Auch ausgeführte Befehle sind vollständig verschlüsselt
SMTP – Mailübertragung ohne Verschlüsselung
- Display-Filter ändern:
smtp
- EHLO-Befehl wird geöffnet
- MAIL FROM und RCPT TO werden angezeigt
- DATA-Bereich wird geöffnet
- Betreff der E-Mail ist im Klartext sichtbar
- Inhalt der E-Mail ist vollständig lesbar
- Erklärung: SMTP ohne TLS überträgt komplette E-Mails unverschlüsselt
FTP – Steuerverbindung
- Display-Filter ändern:
ftp
- USER-Befehl wird geöffnet
- PASS-Befehl wird geöffnet
- Benutzername und Passwort sind im Klartext sichtbar
- RETR-Befehl für den Dateidownload wird angezeigt
- Erklärung: Die FTP-Steuerverbindung ist unverschlüsselt
FTP – Datenverbindung
- Ein Paket der separaten TCP-Datenverbindung wird geöffnet
- Rechtsklick auf das Paket → „Follow → TCP Stream“
- Der Dateiinhalt wird vollständig im Klartext angezeigt
- Erklärung:
- FTP nutzt getrennte Steuer- und Datenverbindungen
- Auch die Datenübertragung ist unverschlüsselt
Zusammenfassung
- ICMP, HTTP, SMTP und FTP übertragen Inhalte im Klartext
- HTTPS und SSH schützen Inhalte durch Verschlüsselung
- Der Mitschnitt zeigt reale Sicherheitsrisiken unverschlüsselter Protokolle
- Wireshark erlaubt die vollständige Rekonstruktion von Klartextkommunikation