Wireshark Walkthrough – Analyse einer Mehrprotokoll-CAP

Ausgangssituation

• Die CAP-Datei wurde zuvor mit dem Script traffic.gen erzeugt
• Der Mitschnitt enthält ICMP, HTTP, HTTPS, SSH, SMTP und FTP
• Die Analyse erfolgt vollständig offline in Wireshark

Wireshark öffnen

• Wireshark starten
• Die bereitgestellte CAP-Datei über „Datei → Öffnen“ laden
• Kurz die Oberfläche erklären:
  • Paketliste oben
  • Paketdetails in der Mitte
  • Rohdaten unten

Erster Überblick

• Menü „Statistiken → Protokollhierarchie“ öffnen
• Sichtbar sind u. a.:
  • ICMP
  • HTTP
  • TLS
  • SSH
  • SMTP
  • FTP
• Fenster schließen

ICMP – Ping

• Display-Filter setzen:

icmp

• In der Paketliste sind Echo Requests und Echo Replies sichtbar
• Ein Echo Request wird geöffnet
• Quell- und Ziel-IP werden gezeigt
• Direkt darunter der passende Echo Reply
• Erklärung: ICMP überträgt keine Nutzdaten und ist unverschlüsselt

HTTP – Klartext-Webverkehr

• Display-Filter ändern:

http

• Ein HTTP GET Request wird geöffnet
• Im Paketdetails-Fenster:
  • HTTP-Methode GET
  • Host-Header
  • Angefragte Ressource
• Antwortpaket öffnen
• HTTP-Statuscode und Server-Header anzeigen
• Erklärung: HTTP überträgt Inhalte vollständig im Klartext

HTTPS – Verschlüsselter Webverkehr

• Display-Filter ändern:

tls

• Ein ClientHello-Paket öffnen
• TLS-Version anzeigen
• Server Name Indication (SNI) zeigen
• ServerHello und Zertifikat anzeigen
• Erklärung:
  • Zielsystem und Zertifikat sind sichtbar
  • HTTP-Inhalt ist nicht lesbar

SSH – Gesicherte Fernanmeldung

• Display-Filter ändern:

ssh

• SSH-Version im Klartext sichtbar
• Key-Exchange-Pakete anzeigen
• Erklärung:
  • Benutzername und Passwort sind nicht sichtbar
  • Auch ausgeführte Befehle sind verschlüsselt

SMTP – Mailübertragung ohne Verschlüsselung

• Display-Filter ändern:

smtp

• EHLO-Befehl öffnen
• MAIL FROM und RCPT TO anzeigen
• DATA-Bereich öffnen
• Betreff der Mail anzeigen
• Mailinhalt im Klartext anzeigen
• Erklärung: SMTP ohne TLS überträgt komplette Mails unverschlüsselt

FTP – Steuerverbindung

• Display-Filter ändern:

ftp

• USER-Befehl öffnen
• PASS-Befehl öffnen
• Benutzername und Passwort sind im Klartext sichtbar
• RETR-Befehl für den Dateidownload anzeigen
• Erklärung: FTP-Steuerverbindung ist unverschlüsselt

FTP – Datenverbindung

• Ein Paket der separaten TCP-Datenverbindung öffnen
• Rechtsklick → Follow → TCP Stream
• Dateiinhalt wird vollständig angezeigt
• Erklärung:
  • FTP nutzt separate Steuer- und Datenverbindungen
  • Auch die Datenübertragung ist unverschlüsselt

Zusammenfassung

• ICMP, HTTP, SMTP und FTP übertragen Inhalte im Klartext
• HTTPS und SSH schützen Inhalte durch Verschlüsselung
• Der Mitschnitt zeigt reale Sicherheitsrisiken unverschlüsselter Protokolle
• Wireshark ermöglicht vollständige Rekonstruktion von Klartextkommunikation