In diesem Lab lernen Sie, wie Sie Wireshark-Anzeigefilter verwenden, um Netzwerkverkehr zu analysieren und potenzielle Sicherheitsbedrohungen zu erkennen. Wireshark, ein leistungsstarker Netzwerkprotokollanalysator, kann Netzwerkpakete erfassen und analysieren, was für Cybersecurity-Experten von entscheidender Bedeutung ist.
Durch die Beherrschung dieser Filter können Sie bestimmte Verkehrstypen schnell isolieren und untersuchen. Dies optimiert Ihre Analyse und verbessert Ihre Fähigkeit, Sicherheitsvorfälle zu erkennen und zu behandeln.
Coden ohne Setup – sofort loslegen.
Wireshark starten und Netzwerkverkehr analysieren
In diesem Schritt werden wir mit der Verwendung von Wireshark beginnen. Zuerst lernen Sie, wie Sie es starten. Dann erfassen Sie entweder Netzwerkverkehr oder verwenden eine bereitgestellte Beispieldatei zur Analyse. Das Verständnis der Wireshark-Oberfläche ist entscheidend, da es Ihnen hilft, Paketdaten anzuzeigen und zu analysieren.
Wireshark starten
Um Wireshark zu starten, müssen Sie ein Terminalfenster öffnen. Sie können dies tun, indem Sie auf das Terminalsymbol in der Taskleiste klicken oder Strg+Alt+T drücken. Sobald das Terminal geöffnet ist, verwenden Sie einen Befehl, um Wireshark zu starten. Geben Sie im Terminal den folgenden Befehl ein und drücken Sie die Eingabetaste:
wireshark
Dieser Befehl weist Ihr System an, die Wireshark-Anwendung zu starten. Nach einigen Sekunden öffnet sich Wireshark. Sie sollten ein Fenster ähnlich dem unten gezeigten sehen:
Arbeiten mit Netzwerk-Mitschnittdateien (Network Capture Files)
Für dieses Lab haben Sie zwei Möglichkeiten:
Option 1: Verwenden der bereitgestellten Beispieldatei
Eine Beispiel-Mitschnittdatei wurde für Sie unter /home/labex/project/sample.pcapng vorbereitet. Diese Datei enthält eine Vielzahl von Netzwerkverkehr, die Sie analysieren können. So öffnen Sie diese Datei:
Gehen Sie in Wireshark zu Datei > Öffnen (File > Open)
Navigieren Sie zu /home/labex/project/sample.pcapng
Klicken Sie auf "Öffnen" ("Open")
Die Datei wird in Wireshark geladen und zeigt verschiedene Pakete an, die zuvor erfasst wurden.
Option 2: Eigenen Verkehr erfassen
Wenn Sie es vorziehen, Ihren eigenen Verkehr zu erfassen:
Suchen Sie im Wireshark-Hauptfenster nach der Liste der verfügbaren Netzwerkschnittstellen (network interfaces).
Suchen Sie die Schnittstelle eth1. In dieser Lab-Umgebung ist eth1 die Hauptnetzwerkschnittstelle, die wir zum Erfassen von Paketen verwenden werden.
Doppelklicken Sie auf eth1. Diese Aktion startet sofort den Paket-Erfassungsprozess (packet capture process).
Generieren Sie etwas Netzwerkverkehr, indem Sie ein neues Terminal öffnen und Folgendes ausführen:
curl www.google.com
Hinweis (Note): Free users can not connect to the internet. Upgrade to a pro to capture your own traffic.
Sobald Sie genügend Pakete erfasst haben (mindestens 20-30 Pakete), klicken Sie auf die rote quadratische "Stop"-Schaltfläche in der Wireshark-Symbolleiste.
Die Wireshark-Oberfläche verstehen
Die Wireshark-Oberfläche ist in drei Hauptbereiche unterteilt, von denen jeder einen bestimmten Zweck hat:
Paketliste (Packet List) (oberer Bereich): Dieser Bereich zeigt alle Pakete an, die in der Reihenfolge ihres Empfangs erfasst wurden. Er bietet Ihnen einen schnellen Überblick über den erfassten Verkehr.
Paketdetails (Packet Details) (mittlerer Bereich): Wenn Sie ein Paket im oberen Bereich auswählen, zeigt dieser mittlere Bereich die Details dieses Pakets in einem hierarchischen Format an. Er schlüsselt die Struktur des Pakets auf und zeigt Informationen wie die Quell- und Ziel-IP-Adressen, Protokolltypen (protocol types) und mehr an.
Paket-Bytes (Packet Bytes) (unterer Bereich): Dieser Bereich zeigt die Rohdaten (raw bytes) des ausgewählten Pakets im Hexadezimalformat an. Er ist nützlich für detaillierte Analysen, insbesondere wenn Sie die genauen Daten betrachten müssen, die übertragen werden.
Um zu sehen, wie diese Bereiche zusammenarbeiten, klicken Sie auf verschiedene Pakete im oberen Bereich. Sie sehen, wie die entsprechenden Details und Rohdaten im mittleren und unteren Bereich aktualisiert werden.
Grundlegende Anzeigefilter verstehen und anwenden
In diesem Schritt werden wir die Anzeigefilter (display filters) in Wireshark untersuchen. Anzeigefilter sind wesentliche Werkzeuge, wenn es um die Analyse von Netzwerkverkehr geht. Sie helfen Ihnen, sich auf bestimmte Arten von Paketen zu konzentrieren, anstatt alle erfassten Daten durchsuchen zu müssen. Am Ende dieses Abschnitts wissen Sie, was Anzeigefilter sind, warum sie nützlich sind und wie Sie grundlegende Filter anwenden, um bestimmte Arten von Netzwerkverkehr zu isolieren.
Was sind Anzeigefilter?
Wenn Sie Netzwerkverkehr analysieren, kann es überwältigend sein, jedes einzelne erfasste Paket zu betrachten. Normalerweise möchten Sie sich auf bestimmte Arten von Paketen konzentrieren. Hier kommen die Wireshark-Anzeigefilter ins Spiel. Sie ermöglichen es Ihnen, nur die Pakete anzuzeigen, die bestimmte Kriterien erfüllen. Dies macht den Analyseprozess viel effizienter, da Sie keine Zeit mit irrelevanten Daten verschwenden.
Anzeigefilter in Wireshark verwenden eine spezielle Syntax. Diese Syntax ermöglicht es Ihnen, Pakete basierend auf verschiedenen Attributen wie Protokollen, IP-Adressen, Ports und sogar dem Inhalt der Pakete zu filtern. Das Verständnis dieser Syntax ist der Schlüssel zur effektiven Verwendung von Anzeigefiltern.
Filter-Symbolleiste (Filter Toolbar)
Werfen Sie einen Blick auf den oberen Rand des Wireshark-Fensters. Sie werden ein Textfeld bemerken. Es könnte mit "Apply a display filter..." beschriftet sein oder einfach "Expression..." anzeigen. Hier geben Sie Ihre Anzeigefilter ein. Sobald Sie einen Filter eingegeben und die Eingabetaste gedrückt haben, verwendet Wireshark diesen Filter, um nur die relevanten Pakete anzuzeigen.
Beginnen wir mit einem einfachen Beispiel. Angenommen, Sie möchten nur HTTP-Verkehr anzeigen. HTTP ist das Protokoll, das für das Surfen im Internet verwendet wird. Um dies zu tun, geben Sie einen Filter in die Filter-Symbolleiste ein. Geben Sie den folgenden Filter ein und drücken Sie dann die Eingabetaste:
http
Nachdem Sie diesen Filter angewendet haben, zeigt Wireshark nur HTTP-Pakete an. Alle anderen Pakete werden vorübergehend ausgeblendet. Sie werden feststellen, dass die Filterleiste grün wird, wenn Sie einen gültigen Filter anwenden. Dies ist ein visueller Hinweis darauf, dass Ihr Filter korrekt funktioniert.
Die Ausgabe sollte nun nur noch Pakete anzeigen, die sich auf den HTTP-Verkehr beziehen. Dies umfasst typischerweise Webanfragen (wenn Sie eine Website um Informationen bitten) und Antworten (wenn die Website Ihnen die Informationen sendet). Wenn Sie keine HTTP-Verkehr in der Beispieldatei sehen, können Sie verschiedene Protokolle ausprobieren, die möglicherweise vorhanden sind, wie z. B. TCP, UDP oder DNS:
tcp
Oder versuchen Sie, mehr HTTP-Verkehr zu erzeugen, indem Sie den Befehl curl in einem Terminal ausführen:
curl www.google.com
IP-Adressfilter (IP Address Filters)
Als Nächstes filtern wir den Verkehr basierend auf IP-Adressen. Eine IP-Adresse ist wie eine eindeutige Kennung für ein Gerät in einem Netzwerk. Schauen Sie sich zunächst Ihre Paketliste an. Sie sehen Spalten mit der Bezeichnung "Source" (Quelle) und "Destination" (Ziel). Diese Spalten zeigen die IP-Adressen der Geräte, die die Pakete senden und empfangen.
Sobald Sie eine IP-Adresse identifiziert haben, die häufig in Ihrem Mitschnitt vorkommt (z. B. 192.168.1.1), können Sie diese verwenden, um einen Filter zu erstellen. Geben Sie den folgenden Filter in die Filter-Symbolleiste ein, um nur Pakete von dieser Quelle anzuzeigen:
ip.src == 192.168.3.131
Sie können 192.168.3.131 durch eine IP-Adresse ersetzen, die Sie tatsächlich in Ihrem Mitschnitt sehen. Nach dem Anwenden dieses Filters werden nur Pakete mit dieser Quell-IP-Adresse angezeigt.
Wenn Sie alle Pakete wieder sehen möchten, können Sie den aktuellen Filter löschen. Klicken Sie einfach auf die Schaltfläche "Clear" (X) auf der rechten Seite der Filterleiste.
Portfilter (Port Filters)
Viele Netzwerkdienste arbeiten auf bestimmten Ports. Ein Port ist wie eine Tür an einem Gerät, die es bestimmten Arten von Netzwerkverkehr ermöglicht, ein- oder auszutreten. HTTP verwendet beispielsweise typischerweise Port 80. Um Pakete nach Portnummer zu filtern, können Sie den folgenden Filter verwenden:
tcp.port == 80
Dieser Filter zeigt sowohl eingehende als auch ausgehende Pakete an, die den TCP-Port 80 verwenden. Sie können auch andere gängige Ports wie 443 (HTTPS) oder 53 (DNS) ausprobieren, je nachdem, was in Ihrem Mitschnitt verfügbar ist.
Filter kombinieren (Combining Filters)
Sie können Ihre Filter leistungsfähiger machen, indem Sie sie mit logischen Operatoren wie and (und) und or (oder) kombinieren. Wenn Sie beispielsweise nur HTTP-Verkehr anzeigen möchten, der Port 80 verwendet, können Sie den folgenden Filter verwenden:
http and tcp.port == 80
Versuchen Sie, verschiedene Filterkombinationen anzuwenden und beobachten Sie, wie sich die angezeigten Pakete ändern. Denken Sie daran, dass Sie, bevor Sie einen neuen Filter ausprobieren, entweder den vorherigen Filter löschen können, indem Sie auf die Schaltfläche "Clear" klicken, oder den vorhandenen Filter direkt in der Filterleiste ändern können, um darauf aufzubauen.
Echte Programmierer lernen durch Tun.
Fortgeschrittene Filtertechniken
In diesem Schritt werden wir untersuchen, wie man komplexere Filter für eine detaillierte Analyse des Netzwerkverkehrs erstellt. Als Anfänger fragen Sie sich vielleicht, warum wir fortgeschrittene Filtertechniken benötigen. Nun, in realen Szenarien können Netzwerk-Mitschnittdateien (network capture files) extrem groß sein und alle Arten von Verkehr enthalten. Fortgeschrittene Filtertechniken sind wie eine leistungsstarke Lupe für Sicherheitsexperten. Sie helfen uns, den verdächtigen oder wichtigen Verkehr schnell aus der Datenflut in diesen großen Mitschnittdateien herauszufiltern.
Komplexe Filter mit mehreren Bedingungen
Wireshark bietet Ihnen die Möglichkeit, komplexe Filter zu erstellen, indem Sie mehrere Bedingungen kombinieren. Dies ist sehr nützlich, wenn Sie Ihre Verkehrsanalyse präziser gestalten möchten. Beginnen wir mit der Erstellung eines Filters, um HTTP GET-Anfragen zu finden.
http.request.method == "GET"
Dieser Filter ist so konzipiert, dass er nur HTTP-Pakete anzeigt, die GET-Anfragen enthalten. Wenn Sie diesen Filter anwenden, sehen Sie Pakete, die Anfragen an Webserver sind. Der Grund, warum wir diesen Filter verwenden, ist, dass GET-Anfragen eine gängige Art von HTTP-Anfrage sind, die verwendet wird, um Daten von einem Server abzurufen. Durch die Isolierung dieser Anfragen können wir uns auf die Datenabrufaktivitäten im Netzwerk konzentrieren.
Wenn Ihre Beispieldatei keine HTTP GET-Anfragen enthält, versuchen Sie diesen alternativen Filter, um TCP SYN-Pakete zu finden, die Verbindungsversuche anzeigen:
tcp.flags.syn == 1
Machen wir unseren Filter nun spezifischer. Wir werden eine Portbedingung hinzufügen.
tcp.port == 80 and http.request.method == "GET"
Dieser neue Filter zeigt nur HTTP GET-Anfragen an, die auf dem Standard-HTTP-Port (80) stattfinden. Der Standard-HTTP-Port wird häufig für unverschlüsselten Webverkehr verwendet. Durch das Hinzufügen dieser Portbedingung beschränken wir unsere Suche auf diejenigen GET-Anfragen, die den typischen HTTP-Kommunikationskanal verwenden.
Filtern basierend auf der Paketgröße (Packet Size)
Netzwerkangriffe beinhalten oft Pakete mit ungewöhnlichen Größen. Angreifer können große oder kleine Pakete verwenden, um bösartige Daten zu verstecken oder die normale Funktion des Netzwerks zu stören. Um basierend auf der Paketgröße zu filtern, verwenden wir eine bestimmte Syntax.
tcp.len >= 100 and tcp.len <= 500
Dieser Filter zeigt TCP-Pakete mit einer Nutzlastlänge (payload length) zwischen 100 und 500 Byte an. Sie können diese Werte nach Bedarf anpassen. Wenn Sie beispielsweise vermuten, dass ein Angriff größere Pakete beinhaltet, können Sie die Obergrenze erhöhen. Durch das Filtern basierend auf der Paketgröße können wir anormale Verkehrsmuster identifizieren, die auf einen Angriff hindeuten könnten.
Filtern basierend auf spezifischem Inhalt (Specific Content)
Sie können den Verkehr auch basierend auf spezifischem Inhalt innerhalb von Paketen filtern. Dies ist sehr nützlich, wenn Sie nach Verkehr suchen, der sich auf eine bestimmte Website oder einen bestimmten Dienst bezieht. Finden wir zum Beispiel HTTP-Verkehr, der sich auf eine bestimmte Website bezieht.
http.host contains "google"
Dieser Filter zeigt nur HTTP-Verkehr an, bei dem der Host-Header "google" enthält. Sie können "google" durch eine beliebige Domain ersetzen, die Sie analysieren möchten. Der Host-Header in einer HTTP-Anfrage teilt dem Server mit, auf welche Website der Client zugreifen möchte. Durch das Filtern basierend auf dem Host-Header können wir uns auf den Verkehr konzentrieren, der sich auf eine bestimmte Domain bezieht.
Wenn Ihre Beispieldatei keinen HTTP-Verkehr mit Host-Headern enthält, versuchen Sie diesen allgemeineren Inhaltsfilter:
frame contains "http"
Verwenden des Operators "contains" für die Textsuche
Der Operator contains ist ein praktisches Werkzeug, um nach bestimmten Textzeichenketten in Paketen zu suchen. Er ermöglicht es uns, nach bestimmten Schlüsselwörtern innerhalb der Paketdaten zu suchen.
frame contains "password"
Dieser Filter zeigt Pakete an, die das Wort "password" irgendwo in den Paketdaten enthalten. Dies kann sehr hilfreich sein, um mögliche Sicherheitsprobleme zu erkennen. Wenn beispielsweise Passwörter im Klartext gesendet werden (was ein großes Sicherheitsrisiko darstellt), kann uns dieser Filter helfen, diese Pakete zu erkennen.
Oder versuchen Sie diesen Filter:
frame contains "login"
Filter negieren (Negating Filters)
Manchmal möchten Sie vielleicht den gesamten Verkehr sehen, mit Ausnahme bestimmter Typen. Hier kommt der Operator not ins Spiel.
not arp
Dieser Filter blendet alle ARP-Pakete aus. ARP (Address Resolution Protocol) wird verwendet, um IP-Adressen MAC-Adressen in einem lokalen Netzwerk zuzuordnen. Manchmal kann ARP-Verkehr sehr häufig sein und Ihre Analyse beeinträchtigen. Durch die Verwendung des Operators not können wir diese Art von Verkehr ausschließen und uns auf andere, relevantere Pakete konzentrieren.
Filter-Lesezeichen speichern und anwenden (Saving and Applying Filter Bookmarks)
Wenn Sie bestimmte Filter häufig verwenden, müssen Sie diese nicht jedes Mal eingeben. Sie können sie als Lesezeichen speichern. So geht's:
Geben Sie einen Filter in die Filterleiste ein. Hier geben Sie die Filterausdrücke ein, die wir gelernt haben.
Klicken Sie auf die Schaltfläche "+" auf der rechten Seite der Filterleiste. Diese Schaltfläche wird verwendet, um den aktuellen Filter als Lesezeichen zu speichern.
Geben Sie Ihrem Filter einen Namen und klicken Sie auf "OK". Das Benennen des Filters erleichtert die spätere Identifizierung.
Sobald Sie Ihren Filter gespeichert haben, können Sie ihn anwenden, indem Sie im Dropdown-Menü des Filters auf seinen Namen klicken. Dies spart Ihnen Zeit und Mühe, insbesondere wenn Sie wiederholte Analysen durchführen.
Nachdem Sie Ihren Verkehr gefiltert haben, um nur die interessierenden Pakete anzuzeigen, möchten Sie diese Pakete möglicherweise in einer neuen Datei speichern. Dies ist nützlich, um spezifische Ergebnisse mit Kollegen zu teilen oder für weitere Analysen. So geht's:
Wenden Sie Ihren gewünschten Filter an. Stellen Sie sicher, dass Sie den Filter so eingerichtet haben, dass nur die Pakete angezeigt werden, die Sie speichern möchten.
Klicken Sie auf Datei > Spezifizierte Pakete exportieren (File > Export Specified Packets). Diese Option ermöglicht es Ihnen, einen bestimmten Satz von Paketen zu exportieren.
Stellen Sie sicher, dass im Abschnitt Paketbereich (Packet Range) "Angezeigt" (Displayed) ausgewählt ist. Dies stellt sicher, dass nur die Pakete exportiert werden, die gerade sichtbar sind (d. h. diejenigen, die Ihrem Filter entsprechen).
Wählen Sie einen Dateinamen und einen Speicherort. Hier entscheiden Sie, wo Sie die neue Mitschnittdatei speichern und wie Sie sie benennen möchten.
Klicken Sie auf "Speichern" (Save). Dadurch wird eine neue Mitschnittdatei erstellt, die nur die Pakete enthält, die Ihrem Filter entsprechen.
Analyse sicherheitsrelevanter Datenverkehrs
In diesem Schritt werden wir uns darauf konzentrieren, Wireshark-Filter für die Sicherheitsanalyse zu verwenden. Die Sicherheitsanalyse ist in der Welt der Cybersicherheit von entscheidender Bedeutung, da sie uns hilft, potenziell bösartige Aktivitäten im Netzwerkverkehr zu erkennen. Am Ende dieses Abschnitts werden Sie in der Lage sein, verschiedene Arten von Sicherheitsbedrohungen mithilfe spezifischer Wireshark-Filter zu identifizieren.
Identifizieren von Port Scanning-Aktivitäten (Port Scanning Activities)
Port Scanning ist eine gängige Technik, die von Angreifern verwendet wird, um Informationen über ein Zielsystem zu sammeln. Angreifer nutzen sie, um offene Ports in einem Netzwerk zu finden, die dann ausgenutzt werden können. Um potenzielles Port Scanning zu erkennen, suchen wir nach einer großen Anzahl von Verbindungsversuchen von einer einzigen Quelle zu mehreren Ports.
Verwenden wir einen bestimmten Filter, um solche Aktivitäten zu identifizieren. Probieren Sie diesen Filter in Wireshark aus:
tcp.flags.syn == 1 and tcp.flags.ack == 0
Dieser Filter zeigt SYN-Pakete ohne das ACK-Flag an. In einer TCP-Verbindung ist das SYN-Paket das erste, das gesendet wird, um eine Verbindung zu initiieren, und das ACK-Paket wird verwendet, um die Verbindung zu bestätigen. Wenn wir viele SYN-Pakete ohne ACK von einer Quelle zu verschiedenen Zielports sehen, ist dies ein starker Hinweis auf Port Scanning.
Erkennen von verdächtigem DNS-Verkehr (Suspicious DNS Traffic)
DNS-Tunneling und andere DNS-basierte Angriffe werden immer häufiger. Diese Angriffe verwenden das DNS-Protokoll, um bösartige Aktivitäten zu verbergen, wie z. B. Datenexfiltration oder Command-and-Control-Kommunikation. Um solche Angriffe zu erkennen, müssen wir nach ungewöhnlichem DNS-Verkehr suchen.
Verwenden Sie diesen Filter, um DNS-Abfragen zu untersuchen:
dns
Sobald Sie diesen Filter angewendet haben, suchen Sie nach ungewöhnlich langen Domainnamen oder einem hohen Volumen von DNS-Anfragen an dieselbe Domain. Dies könnten Anzeichen für Datenexfiltration oder Command-and-Control-Kommunikation sein.
Identifizieren von Brute-Force-Passwortversuchen (Password Brute Force Attempts)
Brute-Force-Passwortangriffe sind eine gängige Methode für Angreifer, um sich unbefugten Zugriff auf Dienste wie SSH oder FTP zu verschaffen. Bei einem Brute-Force-Angriff versucht der Angreifer mehrere Passwortkombinationen, bis er die richtige findet.
Um potenzielle Brute-Force-Passwortversuche zu erkennen, können wir nach fehlgeschlagenen Anmeldeversuchen filtern. Verwenden Sie diesen Filter:
ftp contains "530" or ssh contains "Failed"
Dieser Filter zeigt FTP- und SSH-Pakete an, die gängige Fehlermeldungen enthalten. Wenn Sie mehrere Fehler von derselben Quelle sehen, kann dies auf einen Brute-Force-Versuch hindeuten.
Analysieren von HTTP-Fehlerantworten (HTTP Error Responses)
Webanwendungsangriffe generieren oft HTTP-Fehlerantworten. Angreifer können versuchen, Schwachstellen in Webanwendungen auszunutzen, und diese Versuche können zu Fehlerantworten vom Server führen.
Filtern Sie nach diesen Fehlerantworten mit:
http.response.code >= 400
Dieser Filter zeigt HTTP-Antwortpakete mit Statuscodes von 400 oder höher an. Alle diese Statuscodes stellen Fehlerantworten dar. Durch die Untersuchung dieser Pakete können wir versuchte Web-Exploits identifizieren.
Finden von Klartext-Anmeldeinformationen (Clear-Text Credentials)
Die Übertragung von Anmeldeinformationen im Klartext ist ein großes Sicherheitsrisiko. Wenn ein Angreifer diese Anmeldeinformationen abfängt, kann er sich unbefugten Zugriff auf das System verschaffen.
Um Klartext-Anmeldeinformationen zu erkennen, verwenden Sie diesen Filter:
http contains "user" or http contains "pass" or http contains "login"
Dieser Filter hilft uns, HTTP-Verkehr zu finden, der möglicherweise Anmeldeinformationen enthält. Untersuchen Sie die Pakete, die diesem Filter entsprechen, sorgfältig, um potenzielle Sicherheitsrisiken zu identifizieren.
Übungsszenario: Analysieren von Beispielverkehr und Generieren von neuem Verkehr (Practice Scenario: Analyzing Sample Traffic and Generating New Traffic)
Nachdem Sie verschiedene sicherheitsorientierte Filter kennengelernt haben, ist es an der Zeit, Ihr Wissen in die Praxis umzusetzen. Sie können entweder die bereitgestellte Beispieldatei analysieren oder neuen Verkehr generieren und analysieren.
Analysieren der Beispieldatei (Analyzing the Sample File)
Wenn Sie die bereitgestellte Beispieldatei (/home/labex/project/sample.pcapng) verwenden, versuchen Sie, einige der von uns besprochenen Sicherheitsfilter anzuwenden, um interessante Muster zu identifizieren:
tcp.flags.syn == 1 and tcp.flags.ack == 0
Suchen Sie nach Mustern, die auf Scanning, verdächtige Verbindungen oder andere Sicherheitsbedenken hindeuten könnten.
Generieren und Analysieren von neuem Verkehr (Generating and Analyzing New Traffic)
Öffnen Sie alternativ ein neues Terminalfenster. In diesem Fenster werden wir etwas HTTP-Verkehr mit mehreren Anfragen generieren. Führen Sie die folgenden Befehle aus:
for i in {1..5}; do
curl -I www.google.com
sleep 1
done
Diese Befehle senden fünf HTTP HEAD-Anfragen an www.google.com mit einem Intervall von einer Sekunde zwischen jeder Anfrage.
Gehen Sie als Nächstes zu Wireshark und wenden Sie diesen Filter an, um alle HTTP-Anfragen zu finden:
http.request
Dieser Filter zeigt alle HTTP-Anfragen im erfassten Verkehr an.
Sehen Sie sich diese Pakete an, um Muster des normalen HTTP-Verkehrs zu identifizieren. Beachten Sie die Header, die Häufigkeit der Anfragen und andere Details.
Versuchen Sie schließlich, einen Filter zu erstellen, der normales HTTP-Browsen von automatisierten Scanning-Tools unterscheiden kann. Zum Beispiel:
http.request and !(http.user_agent contains "Mozilla")
Dieser Filter zeigt HTTP-Anfragen an, die keine Browser-User-Agents haben. Da das meiste normale Web-Browsen mit Browsern mit Mozilla im User-Agent durchgeführt wird, könnten Anfragen ohne diese Angabe auf automatisierte Tools und nicht auf normales Browsen hindeuten.
Durch das Üben dieser sicherheitsorientierten Filtertechniken entwickeln Sie die Fähigkeiten, die erforderlich sind, um verdächtigen Verkehr in realen Netzwerkaufzeichnungen schnell zu identifizieren.
Praxis statt nur Theorie.
Zusammenfassung
In diesem Lab haben Sie gelernt, wie Sie Wireshark-Anzeigefilter (Wireshark display filters) für die Analyse des Netzwerkverkehrs und die Identifizierung potenzieller Sicherheitsbedrohungen verwenden. Sie begannen entweder mit der Arbeit mit einer bereitgestellten Beispiel-Mitschnittdatei (sample capture file) oder mit der Erfassung von Live-Netzwerkverkehr und der Vertrautmachung mit der Wireshark-Oberfläche. Anschließend haben Sie grundlegende Anzeigefilter gemeistert, um bestimmte Verkehrstypen nach Protokollen, IP-Adressen und Ports zu isolieren. Sie haben auch Ihre Fähigkeiten mit komplexen Filtertechniken erweitert, indem Sie mehrere Bedingungen kombiniert und nach bestimmten Inhalten gesucht haben. Schließlich haben Sie diese Fähigkeiten in Sicherheitsanalyseszenarien angewendet, um verdächtige Aktivitäten wie Port Scanning, die Offenlegung von Anmeldeinformationen (credential exposure) und potenzielle Angriffe zu erkennen.
Diese Wireshark-Filterfähigkeiten sind entscheidend für eine effiziente Netzwerk-Fehlerbehebung (network troubleshooting) und Sicherheitsanalyse. Durch die schnelle Isolierung relevanter Pakete aus großen Mitschnitten können Sie die Zeit, die zum Identifizieren und Beheben von Netzwerkproblemen und Sicherheitsvorfällen benötigt wird, erheblich reduzieren. Wenn Sie weiterhin mit Wireshark üben, werden Sie ein intuitives Verständnis für Netzwerkprotokolle und Verkehrsmuster entwickeln und Ihre allgemeinen Fähigkeiten im Bereich der Cybersicherheit verbessern.
