Wireshark - Analyseleitfaden für PCAP-Dateien

Grundprinzip

• Ziel ist es, Netzwerkkommunikation strukturiert zu lesen und relevante Informationen selbstständig zu extrahieren.
• Es wird nicht geraten, Pakete „durchzuklicken“, sondern systematisch vorzugehen.
• Jede Analyse folgt dem gleichen Schema:
  • Überblick
  • Filterung
  • Detailanalyse
  • Kontextbewertung

Vorbereitung

• Wireshark starten
• PCAP-Datei über "Datei → Öffnen" laden
• Zeitdarstellung auf „Zeit seit Beginn der Aufzeichnung“ umstellen
• Namensauflösung (DNS) deaktivieren, um Verfälschungen zu vermeiden

Überblick verschaffen

• Statistiken → Zusammenfassung
• Statistiken → Protokollhierarchie
• Statistiken → Endpunkte
• Statistiken → Konversationen

Ziel:

• Welche Protokolle sind enthalten?
• Wie viele Pakete insgesamt?
• Welche Hosts kommunizieren miteinander?

Filtern lernen (zentraler Punkt)

• Display-Filter werden verwendet, um relevante Pakete sichtbar zu machen
• Typische Filter:
  • icmp
  • http
  • tcp
  • tcp.port == 80
  • tcp.port == 443
  • ftp
  • smtp

• Filter können kombiniert werden:
  • tcp && ip.addr == X.X.X.X
  • http.request
  • tls.handshake

Paketaufbau verstehen

• Jedes Paket besteht aus Schichten:
  • Frame
  • Ethernet
  • IP
  • TCP/UDP
  • Anwendungsprotokoll

• Wichtige Regel:
  • Antworten stehen immer im Kontext der Anfrage
  • Ein einzelnes Paket reicht selten aus

TCP-Grundlagen für die Analyse

• 3-Way-Handshake identifizieren:
  • SYN
  • SYN/ACK
  • ACK

• Source-Port:
  • Vom Client gewählt
  • Meist >1024
  • Bleibt während einer Verbindung konstant

• MSS:
  • Im SYN-Paket zu finden
  • TCP → Options → MSS

ICMP-Analyse

• Filter: icmp
• Unterscheide:
  • Echo Request
  • Echo Reply
• Zähle Requests und Replies getrennt
• Prüfe, ob auf jede Anfrage eine Antwort folgt

HTTP-Analyse

• Filter: http
• Unterscheide:
  • Request
  • Response

• HTTP-Requests analysieren:
  • Methode (GET/POST)
  • Angeforderter Pfad
  • Host-Header

• HTTP-Responses analysieren:
  • Statuscode
  • Server-Header
  • Content-Type

• Objekte:
• Statistiken → HTTP → Requests
• Statistiken → HTTP → Packet Counter

HTTPS / TLS-Analyse

• Filter: tls
• Nur Metadaten sichtbar – keine Inhalte
• Relevante Punkte:
  • TLS-Version
  • Cipher Suites
  • Server Name Indication (SNI)
  • Zertifikat (X.509)

• Handshake analysieren:
  • ClientHello
  • ServerHello
  • Certificate

FTP-Analyse

• Filter: ftp || ftp-data
• Kontrollverbindung und Datenverbindung unterscheiden
• Aktiv vs. Passiv:
  • PORT-Befehl → aktiv
  • PASV-Befehl → passiv

• Login:
  • USER
  • PASS

• Übertragene Dateien:
  • RETR / STOR
  • Dateiname im Klartext sichtbar

SMTP-Analyse

• Filter: smtp
• SMTP ist ein textbasiertes Protokoll
• Dialog schrittweise lesen

• Begrüßung:
  • HELO / EHLO

• Authentifizierung:
  • AUTH
  • Kodierung identifizieren (z. B. Base64)
  • Kodierte Daten nicht blind lesen – zuerst erkennen

• Mail-Daten:
  • MAIL FROM
  • RCPT TO
  • DATA
  • Subject im Klartext

• Statuscodes:
  • 220, 235, 250, 354, 550 usw.

Sicherheitsanalyse

• Fragen, die immer gestellt werden sollten:
  • Ist der Inhalt lesbar?
  • Werden Zugangsdaten übertragen?
  • Gibt es Verschlüsselung?
  • Wird STARTTLS angeboten?
  • Wird es tatsächlich genutzt?

• Bewertung immer begründen, nicht behaupten

Typische Fehler

• Nicht filtern
• Nur ein Paket betrachten
• Source- und Destination-Port verwechseln
• Anwendungsebene ignorieren
• Statistiken nicht nutzen

Merksatz

• Wireshark ist kein Ratespiel.
• Alles, was gefragt wird, steht sichtbar im Mitschnitt – man muss nur wissen, wo.