LabEx
AnmeldenKostenlos beitreten

Analysieren Sie TCP-Verkehr mit der Funktion "TCP-Stream verfolgen" in Wireshark

CybersecurityCybersecurityBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, wie Sie die Funktion "Follow TCP Stream" in Wireshark für die Analyse von TCP-Verkehr nutzen können. Diese Funktion ermöglicht es Ihnen, die Datenlast einer bestimmten TCP-Konversation zu extrahieren und anzuzeigen. Sie ist in vielen Cybersicherheitsszenarien äußerst nützlich, beispielsweise beim Untersuchen von verdächtigen Netzwerkverkehr und der Analyse von Anwendungsprotokollen.

Am Ende dieses Labs werden Sie verstehen, wie Sie dieses leistungsstarke Tool nutzen können, um Einblicke in die Netzwerkkommunikation zu gewinnen. Dies wird Ihre Fähigkeiten zur Netzwerkanalyse erheblich verbessern.

Grundlagen von TCP und Netzwerkverkehrsnachverfolgung

In diesem Schritt werden wir zunächst die Grundlagen des TCP (Transmission Control Protocol) verstehen, einem der wichtigsten Protokolle für die Netzwerkkommunikation. Anschließend nutzen wir das leistungsstarke Tool Wireshark, um Netzwerkverkehr zu erfassen. Das Verständnis von TCP und die Fähigkeit, Netzwerkverkehr zu erfassen, sind essentielle Fähigkeiten im Bereich der Cybersicherheit, da sie es Ihnen ermöglichen, zu sehen, was auf einem Netzwerk passiert, und es auf potenzielle Probleme zu analysieren.

Was ist TCP?

TCP, oder Transmission Control Protocol, ist eines der wichtigsten Protokolle in der Internetprotokollfamilie. Die Internetprotokollfamilie ist eine Reihe von Regeln, die bestimmen, wie Daten über das Internet übertragen werden. TCP bietet eine zuverlässige Möglichkeit, Daten zwischen Anwendungen auf verschiedenen Hosts zu senden, die über ein IP-Netzwerk kommunizieren.

Zuverlässigkeit bedeutet, dass TCP sicherstellt, dass alle Datenpakete, die von einer Anwendung an eine andere gesendet werden, korrekt und in der richtigen Reihenfolge ankommen. Dies unterscheidet sich von UDP (User Datagram Protocol), einem verbindungslosen Protokoll. UDP stellt keine Verbindung her, bevor es Daten sendet, und garantiert nicht, dass alle Pakete ankommen oder in der richtigen Reihenfolge ankommen. TCP hingegen ist verbindungsorientiert. Es stellt zunächst eine Verbindung zwischen Sender und Empfänger her und sendet dann die Daten. Dieser Prozess trägt dazu bei, die Integrität der übertragenen Daten aufrechtzuerhalten.

Starten von Wireshark

Um mit der Erfassung von Netzwerkverkehr zu beginnen, müssen wir Wireshark starten. So können Sie es tun:

  1. Öffnen Sie zunächst ein Terminalfenster. Dies können Sie tun, indem Sie auf das Terminal-Symbol in der Dock-Leiste klicken oder Strg+Alt+T drücken. Das Terminal ist eine textbasierte Schnittstelle, die es Ihnen ermöglicht, mit dem Betriebssystem Ihres Computers über die Eingabe von Befehlen zu interagieren.

  2. Sobald das Terminal geöffnet ist, müssen Sie einen Befehl eingeben, um Wireshark zu starten. Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste:

wireshark

Dieser Befehl weist das Betriebssystem an, die Wireshark-Anwendung zu starten.

  1. Wenn Wireshark geöffnet ist, sehen Sie die Hauptschnittstelle. In dieser Schnittstelle sehen Sie eine Liste der verfügbaren Netzwerkschnittstellen. Netzwerkschnittstellen sind die Verbindungspunkte zwischen Ihrem Computer und dem Netzwerk. Jede Schnittstelle kann zum Senden und Empfangen von Netzwerkverkehr verwendet werden.
Wireshark-Hauptschnittstelle

Erfassen von Netzwerkverkehr

Nachdem Wireshark geöffnet ist, sind wir bereit, mit der Erfassung von Netzwerkverkehr zu beginnen. Hier sind die Schritte:

  1. Klicken Sie in der Liste der Netzwerkschnittstellen auf die Schnittstelle eth1. Dies ist normalerweise die primäre Netzwerkschnittstelle für Ihre virtuelle Maschine. Eine virtuelle Maschine ist wie ein Computer innerhalb Ihres Computers, und die eth1-Schnittstelle ist die Verbindung zu Ihrem Netzwerk.

  2. Nachdem Sie die eth1-Schnittstelle ausgewählt haben, klicken Sie auf die Schaltfläche Start capturing packets, die durch ein blaues Haienflossen-Symbol in der Symbolleiste dargestellt wird. Diese Aktion weist Wireshark an, die ausgewählte Netzwerkschnittstelle zu überwachen und alle Netzwerkpakete, die durch sie gehen, zu erfassen.

Starten der Paketerfassung

  1. Wenn Wireshark mit der Erfassung beginnt, sehen Sie Pakete im Hauptfenster von Wireshark erscheinen. Diese Pakete sind die Bausteine des Netzwerkverkehrs. Jedes Paket enthält eine kleine Datenmenge und einige Informationen darüber, wo es herkommt und wohin es geht.

  2. Um etwas TCP-Verkehr zu generieren, den wir analysieren können, verwenden wir den curl-Befehl. Öffnen Sie ein neues Terminalfenster und geben Sie den folgenden Befehl ein:

curl https://labex.io

Der curl-Befehl wird verwendet, um Daten von oder zu einem Server zu übertragen. In diesem Fall ruft er den Inhalt der Webseite von https://labex.io ab. Diese Aktion generiert TCP-Verkehr, da die HTTP-Anfrage an die Webseite das TCP-Protokoll verwendet.

  1. Sobald Sie den curl-Befehl ausgeführt haben, sehen Sie den Inhalt der Webseite im Terminal angezeigt. Gleichzeitig erfasst Wireshark alle TCP-Pakete, die sich auf diese HTTP-Anfrage beziehen. Diese Pakete enthalten Informationen über die Anfrage und die Antwort zwischen Ihrem Computer und dem Webserver.

  2. Nachdem Sie etwa 10 - 15 Sekunden lang erfasst haben, was normalerweise ausreicht, um eine gute Stichprobe des Verkehrs zu erhalten, kehren Sie zu Wireshark zurück und klicken Sie auf die Schaltfläche Stop capturing packets, die durch ein rotes Quadrat-Symbol in der Symbolleiste dargestellt wird. Dies stoppt Wireshark, weitere Pakete zu erfassen.

Stoppen der Paketerfassung
  1. Um den erfassten Verkehr für eine spätere Analyse zu speichern, gehen Sie zum Menü Datei und wählen Sie Speichern, oder Sie können Strg+S drücken. Navigieren Sie zum Verzeichnis /home/labex/project/, geben Sie Ihrer Datei den Namen capture.pcapng und klicken Sie dann auf Speichern. Das .pcapng-Dateiformat ist ein Standardformat zum Speichern von Netzwerkpaketerfassungen, und es ermöglicht Ihnen, den erfassten Verkehr später zu öffnen und zu analysieren.

Nun haben Sie erfolgreich etwas Netzwerkverkehr erfasst, der TCP-Konversationen enthält. In den nächsten Schritten werden wir diesen erfassten Verkehr analysieren, um mehr über TCP zu erfahren.

Filtern und Verfolgen von TCP-Streams

In diesem Schritt werden wir uns mit dem Prozess des Filterns von Netzwerkverkehr befassen, um uns auf TCP-Konversationen zu konzentrieren. Das Verständnis, wie man dies macht, ist von entscheidender Bedeutung, da es Ihnen hilft, das Rauschen aus allen Netzwerkdaten zu eliminieren und sich auf die spezifische Kommunikation zu konzentrieren, an der Sie interessiert sind. Darüber hinaus werden wir die leistungsstarke Funktion "Follow TCP Stream" in Wireshark erkunden, die es Ihnen ermöglicht, die vollständige Kommunikation zwischen Hosts zu untersuchen. Diese Funktion ist wie eine Lupe für Netzwerkkonversationen und erleichtert es erheblich, zu analysieren, was passiert.

Filtern nach TCP-Verkehr

Zunächst lernen wir, wie man den Verkehr filtert, um nur TCP-Pakete anzuzeigen.

  1. Im Hauptfenster von Wireshark schauen Sie sich die obere Seite der Paketliste an. Sie sehen ein Eingabefeld für die Anzeigefilter. Es hat einen Platzhaltertext, der lautet "Apply a display filter". In diesem Feld geben Sie die Filterkriterien ein, um die Pakete, die Sie sehen möchten, einzugrenzen.
  2. Geben Sie tcp in das Filterfeld ein. Dieser einfache Befehl weist Wireshark an, nur Pakete anzuzeigen, die zum TCP-Protokoll gehören. Nach dem Eingeben drücken Sie die Eingabetaste oder klicken Sie auf den Pfeilknopf, um den Filter anzuwenden.
Anwenden des TCP-Filters
  1. Sobald Sie den Filter angewendet haben, sollte die Paketliste jetzt nur TCP-Pakete anzeigen. Dies reduziert die Anzahl der angezeigten Pakete und erleichtert es erheblich, sich auf TCP-Konversationen zu konzentrieren. Durch das Filtern bereinigen Sie im Wesentlichen die Ansicht, damit Sie die relevanten Daten deutlicher sehen können.

Verständnis von TCP-Konversationen

Bevor wir beginnen, TCP-Streams zu verfolgen, ist es wichtig, zu verstehen, was eine TCP-Konversation ist. Eine TCP-Konversation oder ein TCP-Stream besteht aus allen Paketen, die zwischen zwei Endpunkten (Kombinationen aus IP-Adresse und Port) während einer TCP-Sitzung ausgetauscht werden. Jede TCP-Konversation hat mehrere Schlüsselkomponenten:

  • Eine Quell- und Ziel-IP-Adresse: Diese Adressen identifizieren die beiden Hosts, die kommunizieren. Die Quell-IP ist die Adresse des Computers, der die Daten sendet, und die Ziel-IP ist die Adresse des Computers, der die Daten empfängt.
  • Einen Quell- und Zielport: Ports sind wie Türen auf einem Computer. Sie ermöglichen es verschiedenen Anwendungen, Daten zu senden und zu empfangen. Der Quellport ist der Port auf dem sendenden Computer, und der Zielport ist der Port auf dem empfangenden Computer.
  • Sequenz- und Bestätigungsnummern zur Verfolgung von Daten: Diese Nummern werden verwendet, um sicherzustellen, dass die Daten korrekt gesendet und empfangen werden. Die Sequenznummer verfolgt die Reihenfolge der Datenpakete, und die Bestätigungsnummer bestätigt, dass die Pakete empfangen wurden.
  • Verschiedene Flags (SYN, ACK, FIN usw.), die den Verbindungsstatus steuern: Diese Flags sind wie Signale, die den beiden Hosts sagen, was sie tun sollen. Beispielsweise wird das SYN-Flag verwendet, um eine Verbindung zu starten, das ACK-Flag, um zu bestätigen, dass Daten empfangen wurden, und das FIN-Flag, um eine Verbindung zu beenden.

Verfolgen eines TCP-Streams

Nachdem Sie nun TCP-Konversationen verstehen, lernen wir, wie man in Wireshark einen TCP-Stream verfolgt.

  1. In der gefilterten Paketliste suchen Sie nach Paketen, die sich auf Ihre curl-Anfrage beziehen. Sie sehen möglicherweise Pakete mit Zielport 80 (HTTP) oder 443 (HTTPS). Diese Ports werden häufig für Webumgang verwendet, daher sollten Sie die relevanten Pakete hier finden, wenn Sie mit curl eine Webseite anfordern.
  2. Klicken Sie auf eines dieser Pakete, um es auszuwählen. Dies teilt Wireshark mit, dass Sie an diesem bestimmten Paket und der Konversation, zu der es gehört, interessiert sind.
  3. Klicken Sie mit der rechten Maustaste auf das ausgewählte Paket und wählen Sie Follow > TCP Stream aus dem Kontextmenü. Diese Aktion öffnet ein neues Fenster, das die gesamte TCP-Konversation anzeigt.
Menü "Follow TCP Stream"
  1. Ein neues Fenster wird geöffnet, das den Inhalt der gesamten TCP-Konversation anzeigt. Dies ist eine der leistungsstärksten Funktionen in Wireshark zur Analyse von Anwendungsschichtprotokollen. Es ermöglicht Ihnen, die vollständige Kommunikation zwischen den beiden Hosts zu sehen, einschließlich aller gesendeten und empfangenen Daten.
Fenster mit TCP-Stream-Inhalt

  1. In diesem Fenster:

    • Text in rot repräsentiert Daten, die vom Client an den Server gesendet wurden. Dies hilft Ihnen, die Daten, die in verschiedene Richtungen fließen, leicht zu unterscheiden.
    • Text in blau repräsentiert Daten, die vom Server an den Client gesendet wurden.
    • Die gesamte Konversation wird in der Reihenfolge rekonstruiert, in der sie stattfand. Dies bedeutet, dass Sie den Ablauf der Kommunikation genauso verfolgen können, wie Sie ein Gespräch zwischen zwei Personen lesen würden.

  2. Wenn Sie einen HTTPS-Stream verfolgt haben, sehen Sie möglicherweise verschlüsselte Daten. Dies liegt daran, dass HTTPS Verschlüsselung verwendet, um die übertragenen Daten zu schützen. Wenn Sie einen HTTP-Stream verfolgt haben, sollten Sie lesbaren Text einschließlich HTTP-Headern und möglicherweise HTML-Inhalt sehen können. Dies liegt daran, dass HTTP-Daten standardmäßig nicht verschlüsselt sind.

  3. Erkunden Sie die verschiedenen Anzeigeoptionen über das Dropdown-Menü "Show and save data as":

    • ASCII: Zeigt die Daten als Text an (am besten für HTTP, SMTP usw.). Dies ist nützlich, wenn Sie die Daten in einem menschenlesbaren Format lesen möchten.
    • Hex Dump: Zeigt sowohl hexadezimale als auch ASCII-Darstellungen an (gut für gemischte Text/Binärdaten). Diese Option ist hilfreich, wenn Sie die Daten auf einer technischeren Ebene analysieren müssen.
    • C Arrays: Formatiert die Daten als Arrays in der Programmiersprache C. Dies kann nützlich sein, wenn Sie Programmierer sind und die Daten in einem C-Programm verwenden möchten.
    • Raw: Zeigt nur die Rohdaten in Binärform an. Dies ist die grundlegendste Ansicht der Daten und nützlich, wenn Sie die exakten übertragenen Bytes sehen müssen.

  4. Um diese Daten in einem druckbaren Format darzustellen, klicken Sie auf die Schaltfläche Print. Speichern Sie die Druckausgabe als PDF mit dem Namen print.pdf im Verzeichnis /home/labex/project/. Dies ermöglicht es Ihnen, eine feste Kopie der Daten für eine weitere Analyse oder Dokumentation zu haben.

Durch das Verfolgen von TCP-Streams können Sie den Inhalt der Netzwerkkommunikation leicht sehen, ohne die Daten aus einzelnen Paketen manuell zusammenfügen zu müssen, was die Protokollanalyse erheblich vereinfacht.

Speichern und Analysieren von TCP-Stream-Daten

In diesem Schritt konzentrieren wir uns darauf, TCP-Stream-Daten für die Offline-Analyse zu speichern und zu lernen, wie man die gespeicherten Informationen interpretiert. Das Speichern von Daten ist von entscheidender Bedeutung, da es Ihnen ermöglicht, sie in Ihrem eigenen Tempo zu überprüfen und zu analysieren, ohne erneut Netzwerkverkehr erfassen zu müssen. Das Verständnis der gespeicherten Daten hilft Ihnen, wertvolle Erkenntnisse aus der Netzwerkkommunikation zu gewinnen.

Speichern von TCP-Stream-Daten

Zunächst lernen wir, wie man TCP-Stream-Daten speichert.

  1. Das TCP-Stream-Fenster sollte aus dem vorherigen Schritt noch geöffnet sein. Wenn Sie es versehentlich geschlossen haben, keine Sorge. Wiederholen Sie einfach die Schritte, um einen TCP-Stream zu verfolgen. Sobald das Fenster geöffnet ist, schauen Sie sich die untere Seite des Fensters an. Dort finden Sie die Schaltfläche Save As. Mit dieser Schaltfläche können Sie den Inhalt des TCP-Streams in einer Datei auf Ihrem Computer speichern.
Position der Schaltfläche "Save As"

  1. Klicken Sie auf die Schaltfläche Save As. Dadurch wird ein Speicherdialog geöffnet, in dem Sie den Speicherort und den Namen der Datei auswählen können, in der die TCP-Stream-Daten gespeichert werden sollen.

  2. Navigieren Sie im Speicherdialog zum Verzeichnis /home/labex/project/. In diesem Verzeichnis speichern wir die gespeicherten TCP-Stream-Daten, um sie leicht zugänglich und organisiert zu halten.

  3. Nachdem Sie zum richtigen Verzeichnis navigiert haben, geben Sie den Dateinamen tcp_stream_data.txt in das entsprechende Feld ein. Klicken Sie dann auf die Schaltfläche Save. Dadurch wird der Inhalt des TCP-Streams in einer Textdatei mit dem angegebenen Namen gespeichert.

  4. Der Inhalt des TCP-Streams wird in dieser Datei im Format gespeichert, das im Dropdown-Menü "Show and save data as" ausgewählt wurde. Dies bedeutet, dass Sie je nach Ihren Analyseanforderungen verschiedene Formate auswählen können.

Verständnis der gespeicherten Daten

Nachdem wir die TCP-Stream-Daten gespeichert haben, lernen wir nun, wie man deren Inhalt versteht.

  1. Um die gespeicherte TCP-Stream-Daten-Datei zu öffnen, verwenden wir einen Texteditor namens nano. Führen Sie den folgenden Befehl im Terminal aus:
nano /home/labex/project/tcp_stream_data.txt

Dieser Befehl weist das System an, die Datei tcp_stream_data.txt im Verzeichnis /home/labex/project/ mit dem Texteditor nano zu öffnen.

  1. Sobald die Datei im nano-Editor geöffnet ist, untersuchen Sie ihren Inhalt. Der Inhalt, den Sie sehen, hängt von der Art des TCP-Streams ab, den Sie verfolgt haben. Hier sind einige häufige Szenarien:

    • Bei HTTP: Sie sehen möglicherweise Anfrage- und Antwort-Header, HTML-Inhalte, JSON-Daten usw. Dies sind die Komponenten, die die Kommunikation zwischen einem Webbrowser und einem Webserver ausmachen.
    • Bei HTTPS: Sie sehen hauptsächlich Binärdaten, die verschlüsselte TLS-Records darstellen. Da HTTPS Verschlüsselung verwendet, um die Daten zu schützen, ist der Inhalt nicht in einem menschenlesbaren Format.
    • Bei anderen Protokollen: Sie sehen protokollspezifische Datenformate. Jedes Protokoll hat seine eigene Art, die Daten zu strukturieren, daher variiert der Inhalt entsprechend.

  2. Wenn Sie die Datei untersucht haben, drücken Sie Strg+X, um den nano-Editor zu verlassen. Dadurch wird die Datei geschlossen und Sie kehren zum Terminal zurück.

Praktische Anwendungen der TCP-Stream-Analyse

Die TCP-Stream-Analyse ist eine essentielle Fähigkeit in der Cybersicherheit und bei der Netzwerkfehlersuche. Lassen Sie uns einige häufige Anwendungen untersuchen:

  1. Malware-Analyse: Durch die Untersuchung von C2 (Command and Control)-Kommunikationen können Sie feststellen, wie Malware mit ihren Betreibern kommuniziert. Dies hilft beim Verständnis des Verhaltens der Malware und bei der Entwicklung von Gegenmaßnahmen.
  2. Netzwerkforensik: Bei einer Untersuchung können Sie Benutzeraktivitäten rekonstruieren, indem Sie TCP-Streams analysieren. Dies ist nützlich, um festzustellen, welche Aktionen im Netzwerk ausgeführt wurden und wer daran beteiligt war.
  3. Fehlersuche: Die TCP-Stream-Analyse kann Ihnen helfen, Anwendungsfehler und Protokollprobleme zu identifizieren. Durch die Untersuchung der zwischen Anwendungen übertragenen Daten können Sie feststellen, wo das Problem liegt.
  4. Erkennung von Datenexfiltration: Sie können unbefugte Datenübertragungen entdecken, indem Sie TCP-Streams analysieren. Dies ist wichtig, um sensible Informationen vor dem Austritt zu schützen.
  5. Sicherheitsüberwachung: Die Analyse verdächtiger Netzwerkverbindungen durch die TCP-Stream-Analyse hilft Ihnen, potenzielle Sicherheitsbedrohungen zu erkennen. Sie können abnormes Verhalten identifizieren und entsprechende Maßnahmen ergreifen.

Durch das Speichern von TCP-Streams erzielen Sie mehrere Vorteile:

  • Sie können Beweise für eine spätere Analyse archivieren. Dies ist nützlich für langfristige Untersuchungen oder Zwecke der Compliance.
  • Sie können Ihre Ergebnisse mit Teammitgliedern teilen. Dies fördert die Zusammenarbeit und hilft bei der Treffung informierter Entscheidungen.
  • Sie können mehrere Streams vergleichen, um Muster zu identifizieren. Muster können Trends und potenzielle Sicherheitsrisiken aufdecken.
  • Sie können die Daten mit anderen Analysetools verarbeiten. Dies ermöglicht Ihnen, eine tiefere Analyse durchzuführen und zusätzliche Erkenntnisse zu gewinnen.

Diese Fähigkeit, die tatsächlich über das Netzwerk übertragenen Daten zu extrahieren, anzuzeigen und zu speichern, macht Wireshark zu einem so leistungsstarken Tool für Netzwerkanalysten und Sicherheitsexperten.

Fortgeschrittene Techniken zur TCP-Stream-Analyse

In diesem letzten Schritt werden wir einige fortgeschrittene Techniken zur TCP-Stream-Analyse erkunden. Diese Techniken sind von entscheidender Bedeutung, da sie Ihre Effizienz bei der Untersuchung von Netzwerkverkehr erheblich verbessern werden. Am Ende dieses Abschnitts werden Sie besser gerüstet sein, reale Netzwerkprobleme zu beheben und Sicherheitsuntersuchungen durchzuführen.

Filtern mehrerer TCP-Streams

Zunächst lernen wir, wie man mehrere TCP-Streams filtert. Diese Fähigkeit ermöglicht es Ihnen, sich auf bestimmte TCP-Konversationen innerhalb einer großen Netzwerkverkehrsaufzeichnung zu konzentrieren.

  1. Kehren Sie zum Hauptfenster von Wireshark zurück. Wenn das TCP-Stream-Fenster noch geöffnet ist, schließen Sie es. Dies ist erforderlich, da wir auf die Hauptschnittstelle zugreifen müssen, um die folgenden Operationen auszuführen.
  2. Um alle TCP-Konversationen in Ihrer Aufzeichnung anzuzeigen, gehen Sie im oberen Menü zu Statistics > Conversations. Diese Menüoption bietet einen umfassenden Überblick über alle Konversationen, die im aufgezeichneten Netzwerkverkehr stattfinden.
Menü "Conversations"
  1. Klicken Sie im Fenster "Conversations" auf die Registerkarte TCP. Dadurch wird die Ansicht gefiltert, um nur TCP-Konversationen anzuzeigen, was es Ihnen erleichtert, die relevanten Daten zu analysieren.
Registerkarte "TCP Conversations"

  1. In dieser Ansicht erhalten Sie detaillierte Informationen zu allen TCP-Konversationen. Die Details umfassen:

    • Quell- und Zieladressen sowie Ports: Dies hilft Ihnen, zu identifizieren, welche Geräte miteinander kommunizieren.
    • Übertragene Bytes in jede Richtung: Dies gibt Ihnen eine Vorstellung von der Menge der gesendeten und empfangenen Daten.
    • Dauer der Konversation: Sie zeigt, wie lange die Kommunikation zwischen den beiden Geräten gedauert hat.
    • Pakete in jede Richtung: Dies gibt die Anzahl der ausgetauschten Datenpakete an.

  2. Wählen Sie eine dieser Konversationen aus und klicken Sie auf die Schaltfläche Follow Stream unten. Diese Aktion ermöglicht es Ihnen, schnell diesen bestimmten TCP-Stream zu verfolgen und eine tiefergehende Analyse der ausgewählten Konversation durchzuführen.

Verwenden von TCP-Stream-Nummern

Jeder TCP-Stream in einer Aufzeichnung hat einen eindeutigen Bezeichner, der als "tcp.stream"-Nummer bezeichnet wird. Diese Nummer ist wie ein Fingerabdruck für jeden TCP-Stream und kann verwendet werden, um bestimmte Streams zu filtern und zu analysieren.

  1. Um Pakete für einen bestimmten TCP-Stream zu filtern, verwenden wir einen Anzeigefilter. Ein Anzeigefilter ist ein leistungsstarkes Tool in Wireshark, das es Ihnen ermöglicht, nur die Pakete anzuzeigen, die bestimmten Kriterien entsprechen.
  2. Hier ist ein Beispiel für einen Anzeigefilter:
tcp.stream eq 0

Dieser Filter zeigt nur die Pakete an, die zum TCP-Stream mit der Nummer 0 gehören.

  1. Ersetzen Sie 0 durch die Stream-Nummer, die Sie anzeigen möchten. Auf diese Weise können Sie sich auf jeden bestimmten TCP-Stream in Ihrer Aufzeichnung konzentrieren.
  2. Versuchen Sie, diesen Filter im Hauptfenster von Wireshark anzuwenden. Geben Sie einfach den Filter in das Anzeigefilterfeld ein und drücken Sie die Eingabetaste. Wireshark zeigt dann nur die Pakete an, die der angegebenen TCP-Stream-Nummer entsprechen.

Erstellen eines Berichts

Die Dokumentation Ihrer Ergebnisse ist ein wichtiger Teil der Netzwerkanalyse. Sie hilft Ihnen, Ihre Beobachtungen zu verfolgen und sie mit anderen zu teilen.

  1. Um einen einfachen Textbericht zu erstellen, verwenden wir den Texteditor nano. Öffnen Sie das Terminal und führen Sie den folgenden Befehl aus:
nano /home/labex/project/tcp_analysis_report.txt

Dieser Befehl öffnet eine neue Textdatei, in der Sie Ihre Analyseergebnisse aufzeichnen können.

  1. In dieser Datei müssen Sie die folgenden Informationen dokumentieren:

    • Wie viele TCP-Streams in Ihrer Aufzeichnung enthalten waren: Dies gibt einen Überblick über die Komplexität des Netzwerkverkehrs.
    • Welche Arten von Protokollen Sie identifiziert haben (HTTP, HTTPS usw.): Verschiedene Protokolle haben unterschiedliche Sicherheitsauswirkungen und Nutzungsmuster.
    • Alle interessanten Beobachtungen aus den von Ihnen untersuchten TCP-Streams: Diese Beobachtungen können wertvolle Einblicke in das Netzwerkverhalten liefern.

  2. Hier ist eine Vorlage, die Sie verwenden können:

TCP Analysis Report

Date: [Aktuelles Datum]

Number of TCP Streams: [Anzahl]

Protocols Identified:
- [Protokoll 1]
- [Protokoll 2]

Observations:
1. [Beobachtung 1]
2. [Beobachtung 2]

Conclusion:
[Ihre Schlussfolgerung über den analysierten Netzwerkverkehr]
  1. Füllen Sie die Vorlage mit Ihren Ergebnissen aus. Wenn Sie fertig sind, speichern Sie die Datei, indem Sie Strg+O und dann die Eingabetaste drücken. Schließen Sie schließlich den Editor, indem Sie Strg+X drücken.

Dieser letzte Schritt hat Ihnen zusätzliche Techniken zur TCP-Stream-Analyse beigebracht, die Sie effizienter bei der Untersuchung von Netzwerkverkehr machen. Diese Fähigkeiten sind unschätzbar für die Netzwerkfehlersuche und Sicherheitsuntersuchungen.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie die Funktion "Follow TCP Stream" von Wireshark für eine tiefergehende Analyse von Netzwerkverkehr nutzen können. Sie haben praktische Erfahrungen in der Erfassung von Netzwerkverkehr, dem Filtern von TCP - Konversationen, der Interpretation von Daten in verschiedenen Formaten, dem Speichern von Stream - Daten für den Offline - Gebrauch und der Anwendung fortgeschrittener Analysetechniken gesammelt.

Diese Fähigkeiten sind für Netzwerkadministratoren, Sicherheitsanalysten und IT - Fachkräfte unerlässlich. Sie ermöglichen es Ihnen, Netzwerkprobleme zu beheben, Sicherheitsvorfälle zu untersuchen und das Verhalten von Anwendungen zu verstehen. Während Sie fortschreiten, denken Sie daran, dass Wireshark noch viele weitere Funktionen bietet und die TCP - Stream - Analyse nur ein wertvolles Werkzeug in Ihrem Cybersicherheitsarsenal ist.

Verwandt Cybersecurity Kurse
Cybersicherheit mit praktischen Labs

Cybersicherheit mit praktischen Labs

CybersecurityLinux
Anfänger
Schnellstart mit Nmap

Schnellstart mit Nmap

Cybersecurity
Anfänger
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger

We use cookies for a number of reasons, such as keeping the website reliable and secure, to improve your experience on our website and to see how you interact with it. By accepting, you agree to our use of such cookies. Privacy Policy