Wireshark - Analyseleitfaden für PCAP-Dateien
Version vom 10. Februar 2026, 18:04 Uhr von Thomas.will (Diskussion | Beiträge) (→HTTP – Klartext-Webverkehr)
Wireshark Walkthrough – Analyse einer Mehrprotokoll-CAP
Ausgangssituation
- Die CAP-Datei wurde zuvor mit dem Script traffic.gen erzeugt
- Der Mitschnitt enthält ICMP, HTTP, HTTPS, SSH, SMTP und FTP
- Die Analyse erfolgt vollständig offline in Wireshark
Wireshark öffnen
- Wireshark starten
- Die bereitgestellte CAP-Datei über „File → Open“ laden
- Kurz die Oberfläche erklären:
- Packet List oben
- Packet Details in der Mitte
- Packet Bytes unten
Erster Überblick
- Menü „Statistics → Protocol Hierarchy“ öffnen
- Sichtbar sind unter anderem:
- ICMP
- HTTP
- TLS
- SSH
- SMTP
- FTP
- Fenster wieder schließen
ICMP – Ping
- Display-Filter setzen:
icmp
- In der Paketliste sind Echo Requests und Echo Replies sichtbar
- Ein Echo Request wird geöffnet
- Quell- und Ziel-IP-Adresse werden angezeigt
- Direkt darunter ist der passende Echo Reply zu sehen
- Erklärung: ICMP dient der Erreichbarkeitsprüfung und überträgt keine verschlüsselten Nutzdaten
HTTP – Klartext-Webverkehr
- Display-Filter ändern:
http
- Ein HTTP GET Request wird geöffnet
- Im Packet-Details-Fenster sichtbar:
- HTTP-Methode GET
- Host-Header
- Angefragte Ressource
- Das Antwortpaket wird geöffnet
- HTTP-Statuscode und Server-Header werden angezeigt
- File -> Export -> Objects
- Speichern der beiden Objekte
- Erklärung: HTTP überträgt Inhalte vollständig im Klartext
- Statistics -> Follow Graph zeigt die Konversation an.
HTTPS – Verschlüsselter Webverkehr
- Display-Filter ändern:
tls
- Ein ClientHello-Paket wird geöffnet
- Die verwendete TLS-Version wird angezeigt
- Server Name Indication (SNI) ist im Klartext sichtbar
- ServerHello und Zertifikat werden geöffnet
- Erklärung:
- Zielsystem und Zertifikat sind sichtbar
- Der eigentliche HTTP-Inhalt ist verschlüsselt und nicht lesbar
SSH – Gesicherte Fernanmeldung
- Display-Filter ändern:
ssh
- Die SSH-Protokollversion ist im Klartext sichtbar
- Key-Exchange-Pakete werden angezeigt
- Erklärung:
- Benutzername und Passwort sind nicht sichtbar
- Auch ausgeführte Befehle sind vollständig verschlüsselt
SMTP – Mailübertragung ohne Verschlüsselung
- Display-Filter ändern:
smtp
- Analyze Follow TCP Stream
- EHLO-Befehl wird geöffnet
- MAIL FROM und RCPT TO werden angezeigt
- DATA-Bereich wird geöffnet
- Betreff der E-Mail ist im Klartext sichtbar
- Inhalt der E-Mail ist vollständig lesbar
- Erklärung: SMTP ohne TLS überträgt komplette E-Mails unverschlüsselt
FTP – Steuerverbindung
- Display-Filter ändern:
ftp
- Analyze Follow TCP Stream
- USER-Befehl wird geöffnet
- PASS-Befehl wird geöffnet
- Benutzername und Passwort sind im Klartext sichtbar
- RETR-Befehl für den Dateidownload wird angezeigt
- Erklärung: Die FTP-Steuerverbindung ist unverschlüsselt
FTP – Datenverbindung
- Display-Filter ändern:
ftp-data
- Ein Paket der separaten TCP-Datenverbindung wird geöffnet
- Rechtsklick auf das Paket → „Follow → TCP Stream“
- Der Dateiinhalt wird vollständig im Klartext angezeigt
- Erklärung:
- FTP nutzt getrennte Steuer- und Datenverbindungen
- Auch die Datenübertragung ist unverschlüsselt
Zusammenfassung
- ICMP, HTTP, SMTP und FTP übertragen Inhalte im Klartext
- HTTPS und SSH schützen Inhalte durch Verschlüsselung
- Der Mitschnitt zeigt reale Sicherheitsrisiken unverschlüsselter Protokolle
- Wireshark erlaubt die vollständige Rekonstruktion von Klartextkommunikation