Netzwerkverkehr mit Wireshark erfassen und analysieren

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, wie Sie Netzwerkverkehr mit Wireshark, einem beliebten Netzwerkprotokollanalysator (Network Protocol Analyzer), erfassen und analysieren können. Die Analyse des Netzwerkverkehrs ist in der Cybersicherheit von entscheidender Bedeutung, da sie die Identifizierung potenzieller Bedrohungen und die Überwachung von Netzwerkaktivitäten ermöglicht.

Am Ende dieses Labs haben Sie praktische Erfahrungen in der Erfassung und Analyse von Netzwerkpaketen mit Wireshark gesammelt, was eine wertvolle Fähigkeit zur Untersuchung von Sicherheitsvorfällen darstellt.


Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/colorizing_rules("Colorizing Rules") wireshark/WiresharkGroup -.-> wireshark/follow_tcp_stream("Follow TCP Stream") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") subgraph Lab Skills wireshark/interface -.-> lab-415956{{"Netzwerkverkehr mit Wireshark erfassen und analysieren"}} wireshark/packet_capture -.-> lab-415956{{"Netzwerkverkehr mit Wireshark erfassen und analysieren"}} wireshark/display_filters -.-> lab-415956{{"Netzwerkverkehr mit Wireshark erfassen und analysieren"}} wireshark/colorizing_rules -.-> lab-415956{{"Netzwerkverkehr mit Wireshark erfassen und analysieren"}} wireshark/follow_tcp_stream -.-> lab-415956{{"Netzwerkverkehr mit Wireshark erfassen und analysieren"}} wireshark/export_packets -.-> lab-415956{{"Netzwerkverkehr mit Wireshark erfassen und analysieren"}} wireshark/packet_analysis -.-> lab-415956{{"Netzwerkverkehr mit Wireshark erfassen und analysieren"}} end

Netzwerkverkehr erfassen

In diesem Schritt lernen wir, wie man Wireshark startet, Netzwerkverkehr erfasst und ihn zur Analyse speichert. Die Erfassung von Netzwerkpaketen (Network Packet Capturing) ermöglicht es Ihnen, alle Daten zu sehen, die durch Ihre Netzwerkschnittstellen fließen, und bietet so Einblick in die Netzwerkkommunikation.

Was ist ein Netzwerkpaket?

Bevor wir beginnen, wollen wir verstehen, was ein Netzwerkpaket (Network Packet) ist. Ein Paket ist eine formatierte Dateneinheit, die über ein Netzwerk übertragen wird. Wenn Sie eine Aktivität im Internet ausführen (z. B. eine Website besuchen, eine E-Mail senden oder ein Video ansehen), werden die Daten in kleinere Teile oder "Pakete" zerlegt und über das Netzwerk an ihr Ziel gesendet.

Jedes Paket enthält:

  • Quell- und Zieladressen (ähnlich den Absender- und Empfängeradressen auf einem Brief)
  • Nutzlast (Payload) (die eigentlichen Daten oder der Nachrichteninhalt)
  • Metadaten (Informationen darüber, wie das Paket zu behandeln ist)

Anwendung in der Praxis: In der Cybersicherheit ist das Verständnis der Paketstruktur (Packet Structure) grundlegend für die Erkennung verdächtigen Verhaltens. Beispielsweise könnte ein Paket mit ungewöhnlichen Quelladressen oder Zielports darauf hindeuten, dass jemand versucht, Ihr Netzwerk zu scannen.

Wireshark starten

Öffnen wir zunächst Wireshark, indem wir den folgenden Befehl im Terminal ausführen:

wireshark

Nach Ausführung dieses Befehls wird die Wireshark-Anwendung geöffnet. Sie sollten die Wireshark-Hauptschnittstelle sehen, die die verfügbaren Netzwerkschnittstellen anzeigt.

Die Ausgabe sieht in etwa so aus:

Wireshark Main Interface Screenshot

Hinweis für Anfänger: Wenn Sie Wireshark zum ersten Mal verwenden, machen Sie sich keine Sorgen über all die Optionen, die Sie sehen. Wir konzentrieren uns auf die wesentlichen Funktionen, die für die grundlegende Paketerfassung und -analyse benötigt werden.

Netzwerkschnittstelle auswählen

Bevor Sie Pakete erfassen können, müssen Sie auswählen, welche Netzwerkschnittstelle Sie überwachen möchten. Jede Schnittstelle stellt eine andere Netzwerkverbindung auf Ihrem System dar.

Im Wireshark-Hauptfenster sehen Sie eine Liste der verfügbaren Netzwerkschnittstellen. Jede Schnittstelle hat einen kleinen Graphen daneben, der die aktuelle Aktivität anzeigt.

Doppelklicken Sie für dieses Lab auf die Schnittstelle eth1. Dies ist typischerweise die Haupt-Ethernet-Schnittstelle. Wenn Sie eth1 nicht sehen, wählen Sie eine beliebige Schnittstelle aus, die Aktivität anzeigt (ein sich bewegender Graph).

Tipp: Der Graph neben jeder Schnittstelle zeigt den Grad der Netzwerkaktivität auf dieser Schnittstelle an. Die Auswahl einer Schnittstelle mit mehr Aktivität führt zu interessanteren Erfassungsergebnissen.

Was passiert: Wenn Sie eine Schnittstelle auswählen, teilen Sie Wireshark mit, auf welcher "Netzwerkleitung" er lauschen soll. Verschiedene Schnittstellen zeigen möglicherweise unterschiedliche Arten von Datenverkehr an - z. B. Wi-Fi- vs. Ethernet-Verbindungen.

Paketerfassung starten

Sobald Sie eine Schnittstelle ausgewählt haben, sollte Wireshark automatisch mit der Erfassung von Paketen beginnen. Wenn dies nicht der Fall ist, können Sie die Erfassung manuell starten, indem Sie auf das blaue Haifischflossen-Symbol in der Symbolleiste klicken oder Strg+E drücken.

Während die Erfassung läuft, sehen Sie, wie Pakete in Echtzeit im Hauptfenster erscheinen:

Wireshark capturing network traffic

Lassen Sie die Erfassung etwa 30-60 Sekunden lang laufen, um genügend Netzwerkverkehr für die Analyse zu sammeln.

Sicherheitshinweis: Denken Sie daran, dass Wireshark den gesamten Datenverkehr erfasst, der über die ausgewählte Netzwerkschnittstelle fließt. Wenn Sie es in einer Produktionsumgebung oder in einem gemeinsam genutzten Netzwerk verwenden, stellen Sie sicher, dass Sie die Erlaubnis haben, eine solche Überwachung durchzuführen, da es sensible Informationen erfassen kann.

Was Sie erwarten können: Während der Erfassung werden Sie wahrscheinlich verschiedene farbige Linien sehen, die schnell im Display erscheinen. Jede Linie stellt ein Paket dar, und die Farben zeigen verschiedene Protokolle an (z. B. blau für TCP, hellgrün für HTTP).

Die Paketliste verstehen

Beachten Sie während der Erfassung die Hauptpaketliste (Packet List) im Wireshark-Fenster. Jede Zeile stellt ein einzelnes Paket mit mehreren Informationsspalten dar:

  • No.: Die Paketnummer in dieser Erfassungssitzung
  • Time: Wann das Paket erfasst wurde
  • Source: Die IP-Adresse oder der Hostname des sendenden Geräts
  • Destination: Die IP-Adresse oder der Hostname des empfangenden Geräts
  • Protocol: Das verwendete Netzwerkprotokoll (TCP, UDP, HTTP usw.)
  • Length: Die Größe des Pakets in Bytes
  • Info: Zusätzliche Details zum Paket

Wireshark verwendet verschiedene Farben, um verschiedene Protokolle hervorzuheben, wodurch es einfacher wird, verschiedene Arten von Datenverkehr zu identifizieren.

Tiefer Einblick: Die Farbcodierung ist eine leistungsstarke Funktion von Wireshark. Rot wird beispielsweise oft verwendet, um Fehler anzuzeigen, hellblau für TCP-Verkehr und hellgrün für HTTP-Verkehr. Dieser visuelle Hinweis hilft Ihnen, den Datenverkehr, an dem Sie interessiert sind, schnell zu identifizieren.

Sortiertipp: Sie können auf eine beliebige Spaltenüberschrift klicken, um die Paketliste zu sortieren. Wenn Sie beispielsweise auf die Überschrift "Protocol" klicken, werden ähnliche Protokolle gruppiert, was nützlich ist, wenn Sie nach bestimmten Arten von Datenverkehr suchen.

Erfassung stoppen

Nachdem Sie 30-60 Sekunden lang erfasst haben, stoppen Sie die Erfassung, indem Sie auf das rote Quadrat-Symbol in der Symbolleiste klicken oder erneut Strg+E drücken.

Warum stoppen?: Wireshark kann zwar Pakete unbegrenzt erfassen, aber das Anhalten nach einem angemessenen Zeitraum trägt dazu bei, die Dateigröße überschaubar zu halten und die Analyse zu erleichtern. Für bestimmte Untersuchungen können Sie Erfassungen über längere Zeiträume durchführen.

Die erfassten Pakete speichern

Speichern wir nun den erfassten Netzwerkverkehr zur späteren Analyse:

  1. Klicken Sie im Menü oben im Wireshark-Fenster auf File (Datei).
  2. Wählen Sie Save As (Speichern unter).
  3. Navigieren Sie zum Verzeichnis /home/labex/project.
  4. Geben Sie capture.pcapng als Dateinamen ein.
  5. Klicken Sie auf die Schaltfläche Save (Speichern).

Der Speicherdialog sieht in etwa so aus:

Save captured packets dialog in Wireshark

Das .pcapng-Dateiformat ist das native Format von Wireshark zum Speichern von Paketerfassungen. Es enthält alle Informationen über Ihre erfassten Pakete und kann in Wireshark zur weiteren Analyse wieder geöffnet werden.

Erweitertes Wissen: Wireshark unterstützt auch das ältere .pcap-Format und andere Formate zum Importieren/Exportieren. Das .pcapng-Format bietet mehr Funktionen als das ältere .pcap-Format, z. B. die Unterstützung für die Erfassung mehrerer Schnittstellen und Paketannotationen.

Sie haben nun erfolgreich Netzwerkverkehr erfasst und zur Analyse gespeichert. Im nächsten Schritt werden wir untersuchen, wie diese erfassten Daten analysiert werden können.

Die Wireshark-Oberfläche verstehen

Nachdem Sie nun Netzwerkverkehr erfasst haben, wollen wir lernen, wie man ihn mit der Wireshark-Oberfläche analysiert. Das Verständnis dieser Oberfläche ist für eine effektive Analyse des Netzwerkverkehrs unerlässlich.

Das Layout der Wireshark-Oberfläche

Die Wireshark-Oberfläche ist in drei Hauptbereiche unterteilt:

  1. Paketlistenbereich (Packet List Pane) (oben): Zeigt alle erfassten Pakete mit grundlegenden Informationen an
  2. Paketdetailbereich (Packet Details Pane) (Mitte): Zeigt detaillierte Informationen über das ausgewählte Paket an
  3. Paketbytebereich (Packet Bytes Pane) (unten): Zeigt die Rohdaten des ausgewählten Pakets im Hexadezimal- und ASCII-Format an

Um ein Paket im Detail zu untersuchen, klicken Sie einfach im Paketlistenbereich darauf. Die Details dieses Pakets werden in den unteren Bereichen angezeigt.

Wireshark Interface Layout Illustration

Dieses dreigeteilte Layout ermöglicht es Ihnen, sowohl einen Überblick auf hoher Ebene als auch Details auf niedriger Ebene anzuzeigen, was für eine umfassende Netzwerkanalyse entscheidend ist.

Anpassungstipp: Wireshark ermöglicht es Ihnen, das Layout der Oberfläche anzupassen. Sie können die Größe jedes Bereichs ändern, indem Sie die Trennlinien zwischen ihnen ziehen, oder einen Bereich vollständig ausblenden, indem Sie mit der rechten Maustaste auf eine Trennlinie klicken und "Hide" (Ausblenden) auswählen. Wenn Sie versehentlich einen Bereich ausblenden, können Sie ihn über View > Panes (Ansicht > Bereiche) im Menü wiederherstellen.

So inspizieren Sie ein Paket im Detail:

  1. Klicken Sie im Paketlistenbereich auf ein Paket
  2. Die Details dieses Pakets werden in den unteren Bereichen angezeigt
  3. Durchsuchen Sie den Paketdetailbereich, um strukturierte Informationen über das Paket anzuzeigen
  4. Zeigen Sie den Paketbytebereich an, um die rohe hexadezimale und ASCII-Darstellung des Pakets zu verstehen

Übungstipp: Versuchen Sie, verschiedene Pakete im Paketlistenbereich auszuwählen und beobachten Sie, wie sich die anderen beiden Bereiche aktualisieren, um Informationen über das ausgewählte Paket anzuzeigen. Probieren Sie Pakete mit verschiedenen Protokolltypen aus, um die unterschiedlichen Informationen zu sehen, die sie enthalten.

Den Paketdetailbereich verstehen

Der Paketdetailbereich zeigt geschichtete Paketinformationen an, die den Netzwerkprotokollstapel (Network Protocol Stack) widerspiegeln:

  1. Frame Layer (Rahmenschicht): Physische Informationen über die Paketerfassung (Erfassungszeit, Rahmenlänge)
  2. Ethernet Layer (Ethernet-Schicht): Enthält MAC-Adresse und andere Informationen der Verbindungsschicht (Link Layer)
  3. Internet Protocol (IP) Layer (Internetprotokollschicht): Enthält IP-Adressinformationen
  4. Transport Layer (TCP/UDP) (Transportschicht): Enthält Portnummern und Sitzungsinformationen
  5. Application Layer (HTTP, DNS, etc.) (Anwendungsschicht): Enthält anwendungsspezifische Daten

Hintergrundwissen: Diese geschichtete Darstellung folgt dem OSI-Modell (Open Systems Interconnection) oder dem TCP/IP-Modell, dem Standardmodell für die Netzwerkkommunikation. Das Verständnis dieser Schichten hilft Ihnen zu verstehen, wie die Netzwerkkommunikation funktioniert.

Visualisierung: Stellen Sie sich diese Schichten wie eine Hülle in einer Hülle vor. Die äußerste Schicht (Frame) enthält alles. Darin befindet sich die Ethernet-Schicht, dann die IP-Schicht usw. Jede Schicht fügt ihre eigenen Adressierungs- und Kontrollinformationen hinzu, um sicherzustellen, dass die Daten ihr Ziel korrekt erreichen.

Paketdetails überprüfen

So verstehen Sie ein bestimmtes Paket im Detail:

  1. Klicken Sie im Paketlistenbereich auf ein Paket
  2. Erweitern Sie im Paketdetailbereich die Abschnitte, indem Sie auf den Pfeil (►) neben jedem Feld klicken
  3. Wenn Sie verschiedene Felder im Paketdetailbereich auswählen, werden die entsprechenden Bytes im Paketbytebereich hervorgehoben

Dies ermöglicht es Ihnen, jeden Aspekt eines Pakets zu inspizieren, vom Low-Level-Ethernet-Frame bis zu den High-Level-Anwendungsdaten.

Wenn Sie beispielsweise ein HTTP-Paket auswählen und den Abschnitt "Hypertext Transfer Protocol" erweitern, können Sie Details der HTTP-Anfrage oder -Antwort sehen:

  • Anfragemethode (GET, POST usw.)
  • Header-Informationen (User-Agent, Content-Type usw.)
  • Statuscode und Antwortnachricht

Praktische Übung: Versuchen Sie, ein HTTP-Paket zu finden und seine Details zu erweitern. Überprüfen Sie die Anfrage-URL, den Statuscode oder andere interessante HTTP-Header-Informationen. Wenn Sie kein HTTP-Paket finden können, versuchen Sie, eine Website im Netzwerk zu öffnen, um HTTP-Verkehr zu erzeugen.

Tipp zur Fehlerbehebung: Achten Sie bei der Untersuchung von Netzwerkproblemen besonders auf Felder, die rot hervorgehoben sind oder Wörter wie "error" (Fehler), "warning" (Warnung) oder "malformed" (fehlerhaft) enthalten. Diese deuten oft auf potenzielle Probleme hin, die Netzwerkprobleme verursachen könnten.

Wireshark bietet verschiedene nützliche Navigationstools, die Ihnen beim Durchsuchen der Erfassung helfen:

  • Filter Toolbar (Filter-Symbolleiste): Befindet sich oben im Hauptfenster und ermöglicht es Ihnen, die angezeigten Pakete zu filtern
  • Zoom Tools (Zoom-Werkzeuge): Ermöglichen es Ihnen, in die Zeitleistenansicht hinein- oder herauszuzoomen
  • Color Coding (Farbcodierung): Verschiedene Arten von Paketen verwenden unterschiedliche Farben, wodurch die visuelle Identifizierung erleichtert wird
  • Find Feature (Suchfunktion) (Strg+F): Ermöglicht es Ihnen, nach bestimmten Informationen innerhalb des Paketinhalts zu suchen

Zeitdarstellungsoptionen: Standardmäßig zeigt Wireshark die Zeit relativ zum Beginn der Erfassung an. Sie können dies ändern, indem Sie mit der rechten Maustaste auf die Spalte "Time" (Zeit) klicken und ein anderes "Time Display Format" (Zeitdarstellungsformat) auswählen, z. B. absolute Zeit oder Datum und Uhrzeit.

Navigationskurzbefehl: Drücken Sie Strg+G, um zu einer bestimmten Paketnummer zu springen, was nützlich ist, wenn Sie große Erfassungen analysieren oder wenn Sie Verweisen auf bestimmte Pakete in der Dokumentation folgen.

Indem Sie sich mit diesen Werkzeugen vertraut machen, werden Sie in der Lage sein, Netzwerkerfassungen effektiver zu durchsuchen und zu analysieren.

Verwenden von Anzeige-Filtern (Display Filters)

Anzeige-Filter (Display Filters) sind eine der leistungsstärksten Funktionen von Wireshark, mit denen Sie sich auf bestimmte Arten von Datenverkehr konzentrieren können. Dies macht die Analyse übersichtlicher, indem nur die Pakete angezeigt werden, an denen Sie interessiert sind.

Warum Filter wichtig sind

Stellen Sie sich vor, Sie haben Tausende oder sogar Millionen von Paketen in Ihrer Erfassung. Das Auffinden spezifischer Informationen in einer so großen Datenmenge kann sehr schwierig sein. Mit Anzeige-Filtern (Display Filters) können Sie die "Suche eingrenzen" auf nur die Pakete, die für Ihre Analyse relevant sind.

Beispiel aus der Praxis: Bei der Fehlerbehebung eines Problems mit einer Webanwendung sind Sie möglicherweise nur an HTTP-Datenverkehr zu einem bestimmten Server interessiert. Mithilfe von Filtern können Sie sich sofort auf diese Pakete konzentrieren und nicht verwandten Netzwerkverkehr ignorieren.

Anwenden grundlegender Filter

Um einen Filter anzuwenden, geben Sie ihn in die Filterleiste oben im Fenster ein. Um beispielsweise nur TCP-Datenverkehr anzuzeigen, geben Sie Folgendes ein:

tcp

Drücken Sie die Eingabetaste oder klicken Sie auf die blaue Pfeiltaste, um den Filter anzuwenden.

Das Ergebnis zeigt nur TCP-Pakete:

Result of filtering TCP packets

Hier sind einige andere nützliche Filter, die Sie ausprobieren können:

  • http: Zeigt nur HTTP-Datenverkehr an
  • dns: Zeigt nur DNS-Datenverkehr an
  • ip.addr == 8.8.8.8: Zeigt Datenverkehr zu oder von der IP-Adresse 8.8.8.8 an
  • tcp.port == 443: Zeigt nur HTTPS-Datenverkehr an

Um den Filter zu löschen und wieder alle Pakete anzuzeigen, klicken Sie auf die Schaltfläche "X" neben der Filterleiste.

Hilfe zur Filtersyntax: Die Filterleiste von Wireshark verfügt über eine integrierte Unterstützung. Während der Eingabe wird die Syntax grün hervorgehoben, wenn sie gültig ist, oder rot, wenn ein Fehler vorliegt. Sie können auch Strg+Leertaste drücken, um automatische Vervollständigungsvorschläge zu erhalten.

History-Tipp: Wireshark speichert Ihre zuvor verwendeten Filter. Klicken Sie auf den Abwärtspfeil auf der rechten Seite der Filterleiste, um Ihren Filterverlauf anzuzeigen.

Erweiterte Filtertechniken

Über grundlegende Filter hinaus unterstützt Wireshark komplexere Filterausdrücke:

  1. Vergleichsoperatoren: Nicht nur gleich (==)

    • tcp.len > 100: TCP-Pakete, die größer als 100 Byte sind
    • frame.time_delta <= 0.1: Pakete mit einer Zeitdifferenz von ≤ 0,1 Sekunden zum vorherigen Paket
Example of comparison operators in Wireshark
  1. Zusammengesetzte Bedingungen:

    • http && !(tcp.port == 80): HTTP-Datenverkehr, aber nicht auf dem Standard-HTTP-Port
    • (ip.src == 192.168.1.100 && ip.dst == 8.8.8.8) || (ip.src == 8.8.8.8 && ip.dst == 192.168.1.100): Kommunikation zwischen einem bestimmten Gerät und einem DNS-Server
  2. Contains und matches:

    • http contains "password": HTTP-Datenverkehr, der die Zeichenkette "password" enthält
    • tcp matches "GET [^ ]+ HTTP": TCP-Pakete, die einem regulären Ausdruck für GET-Anfragen entsprechen

Effizienztipp: Das Beherrschen von Filterausdrücken kann Ihre Effizienz bei der Analyse des Netzwerkverkehrs erheblich verbessern. Erwägen Sie, häufig verwendete Filterausdrücke zur schnellen Anwendung zu speichern.

Verwenden des Ausdrucks-Generators (Expression Builder)

Wenn Sie sich nicht sicher sind, wie die genaue Filtersyntax lautet, bietet Wireshark einen Ausdrucks-Generator (Expression Builder):

  1. Klicken Sie auf die Schaltfläche "Expression..." (Ausdruck...) neben der Filterleiste
  2. Durchsuchen Sie die Feldnamenliste oder beginnen Sie mit der Eingabe, um zu suchen
  3. Wählen Sie ein Feld aus, wählen Sie eine Beziehung (==, >, contains usw.) und geben Sie einen Wert ein
  4. Klicken Sie auf "OK", um den Filter anzuwenden

Dies hilft Ihnen, komplexe Filter zu erstellen, ohne sich die genaue Syntax merken zu müssen.

Verwenden von Farbgebungsregeln (Coloring Rules)

Wireshark verwendet Farben, um Ihnen zu helfen, verschiedene Arten von Datenverkehr schnell zu identifizieren. So zeigen Sie die Farbgebungsregeln (Coloring Rules) an:

  1. Gehen Sie im Menü zu View > Coloring Rules (Ansicht > Farbgebungsregeln).
  2. Es öffnet sich ein Dialogfeld, das die aktuellen Farbgebungsregeln anzeigt.
Coloring Rules Dialog in Wireshark

Die Farbgebungsregeln werden von oben nach unten angewendet. Die erste Regel, die mit einem Paket übereinstimmt, bestimmt seine Farbe. Sie können Regeln aktivieren oder deaktivieren, indem Sie die Kontrollkästchen daneben aktivieren oder deaktivieren.

Schließen Sie das Dialogfeld "Coloring Rules" (Farbgebungsregeln), wenn Sie die Anzeige beendet haben.

Benutzerdefinierte Regeln: Das Erstellen eigener Farbregeln ist sehr nützlich für diejenigen, die häufig bestimmte Arten von Analysen durchführen. Sie könnten beispielsweise spezielle Farben für den Datenverkehr zu den internen Servern Ihres Unternehmens oder für bestimmte Anwendungen von Interesse erstellen.

Farbe vs. Filter: Denken Sie daran, dass Farbgebungsregeln Pakete hervorheben, aber dennoch alles anzeigen, während Filter nicht übereinstimmende Pakete tatsächlich aus der Ansicht entfernen. Oft ist es nützlich, die Farbgebung zu verwenden, um einen Überblick zu erhalten, und dann Filter anzuwenden, um sich auf bestimmte Probleme zu konzentrieren.

TCP-Streams verfolgen (Following TCP Streams)

Eine der leistungsstärksten Analysefunktionen in Wireshark ist die Möglichkeit, TCP-Streams zu verfolgen (follow TCP streams). Ein TCP-Stream stellt die gesamte Konversation zwischen zwei Hosts dar.

Was ist ein TCP-Stream?

TCP (Transmission Control Protocol) ist eines der am häufigsten verwendeten Kommunikationsprotokolle im Internet. Es bietet eine zuverlässige, geordnete Datenübertragung. Ein TCP-Stream ist die Sammlung aller Pakete, die in einer einzigen TCP-Verbindung ausgetauscht werden, und stellt die vollständige Konversation zwischen zwei Endpunkten dar.

Wenn sich Ihr Browser beispielsweise mit einer Website verbindet, baut er eine TCP-Verbindung auf, sendet Anfragen und empfängt Antworten über diese Verbindung. Dieser gesamte Austausch bildet einen TCP-Stream.

Warum es wichtig ist: Netzwerkkommunikation umfasst oft viele separate Pakete, die nur im Zusammenhang Sinn ergeben. Die TCP-Stream-Funktion rekonstruiert diese fragmentierten Kommunikationen zu einer zusammenhängenden Konversation, wodurch es viel einfacher wird, zu verstehen, was auf der Anwendungsebene geschieht.

Einen TCP-Stream verfolgen

So verfolgen Sie einen TCP-Stream:

  1. Suchen Sie ein TCP-Paket in Ihrer Erfassung (Sie können bei Bedarf den Filter tcp verwenden)
  2. Klicken Sie mit der rechten Maustaste auf das Paket
  3. Wählen Sie Follow > TCP Stream (Verfolgen > TCP-Stream)
Menu for following TCP Stream

Ein neues Fenster wird geöffnet, das die vollständige Konversation anzeigt. Text in Rot stellt Daten dar, die vom Client an den Server gesendet werden, und Text in Blau stellt Daten dar, die vom Server an den Client gesendet werden.

Die Farben verstehen: Roter Text (Client zum Server) enthält oft Anfragen, Befehle oder hochgeladene Daten. Blauer Text (Server zum Client) enthält typischerweise Antworten, heruntergeladene Inhalte oder Statusmeldungen. Diese Farbcodierung hilft Ihnen, die Richtung der Kommunikation schnell zu verstehen.

Analysieren des TCP-Stream-Inhalts

Das TCP-Stream-Fenster bietet verschiedene nützliche Optionen für die Analyse:

  1. Content display options (Optionen zur Inhaltsanzeige) (obere rechte Ecke):

    • ASCII: Zeigt den Inhalt als Text an, ideal für HTTP und andere textbasierte Protokolle
    • Hex Dump: Zeigt den Inhalt in Hexadezimal- und ASCII-Darstellung an, nützlich für Streams, die Binärdaten enthalten
    • C Arrays: Zeigt die Daten als C-Programmiersprachen-Arrays an
    • Raw: Zeigt nur die Rohdaten an

    Lassen Sie uns das YAML-Format ausprobieren, um die Daten in einem besser lesbaren Format anzuzeigen.

    TCP Stream Window Screenshot
  2. Stream navigation (Stream-Navigation) (Dropdown-Menü):

    • Wenn Ihre Erfassung mehrere TCP-Streams enthält, können Sie dieses Menü verwenden, um zwischen ihnen zu navigieren
    • Stream-Nummern beginnen bei 0 und steigen in der Reihenfolge an, in der sie gefunden wurden
  3. Find feature (Suchfunktion):

    • Verwenden Sie Strg+F, um innerhalb des Stream-Inhalts zu suchen
    • Dies hilft, bestimmte Zeichenketten oder Muster in großen Streams zu finden

Analysetipp: Verschiedene Anzeigeoptionen können unterschiedliche Erkenntnisse liefern. Wechseln Sie beispielsweise zur Ansicht "Hex Dump", um sowohl Hexadezimalwerte auf der linken Seite als auch ihre ASCII-Darstellung auf der rechten Seite anzuzeigen. Dies ist hilfreich bei der Analyse von Protokollen, die Text- und Binärdaten mischen.

Speichern von TCP-Streams

Das Speichern von TCP-Streams ist wertvoll für die Dokumentation oder Offline-Analyse:

  1. Klicken Sie im TCP-Stream-Fenster auf die Schaltfläche Save As (Speichern unter).
  2. Navigieren Sie zum Verzeichnis /home/labex/project
  3. Geben Sie tcp_stream.txt als Dateinamen ein
  4. Klicken Sie auf Save (Speichern)
Save TCP Stream Dialog Screenshot

Diese gespeicherte Datei enthält den Text der gesamten TCP-Konversation und kann später überprüft oder mit anderen geteilt werden.

Finden interessanter Streams

In realen Szenarien enthalten Erfassungen oft Hunderte oder Tausende verschiedener TCP-Streams. So finden Sie interessante Streams:

  1. Verwenden Sie Anzeige-Filter (Display Filters), um den Umfang einzugrenzen (z. B. http oder tcp.port == 3001)
  2. Suchen Sie nach Schlüsselpaketen (wie Verbindungsinitiationen oder Paketen, die bestimmte Inhalte enthalten)
  3. Verwenden Sie die Funktion "Follow TCP Stream" (TCP-Stream verfolgen) für diese Pakete

Sie können auch nach einem bestimmten Stream filtern, sobald Sie ihn identifiziert haben. Notieren Sie im TCP-Stream-Fenster den Wert "Stream index" (Stream-Index) (z. B. "TCP Stream: 5"). Sie können den Filter tcp.stream eq 5 verwenden, um nur alle Pakete aus diesem bestimmten Stream anzuzeigen.

Untersuchungsstrategie: Achten Sie bei der Analyse potenzieller Sicherheitsvorfälle auf ungewöhnliche Portnummern, Verbindungen zu unerwarteten IP-Adressen oder Kommunikationen, die zu ungewöhnlichen Zeiten stattfinden. Das Verfolgen dieser Streams deckt oft böswillige Aktivitäten auf.

Verstehen von TCP-Kommunikationsmustern

Wenn Sie mehrere TCP-Streams untersuchen, werden Sie beginnen, Muster in der TCP-Kommunikation zu erkennen:

  1. Three-way handshake (Drei-Wege-Handschlag): Die SYN-, SYN-ACK-, ACK-Sequenz, die eine Verbindung startet
  2. Data transfer (Datenübertragung): Die wichtigsten Anfrage-Antwort-Austausche
  3. Four-way closure (Vier-Wege-Verbindungsabbau): Die FIN- und ACK-Sequenzen, die eine Verbindung beenden

Durch die Untersuchung dieser Muster können Sie feststellen, wo Kommunikationsprobleme auftreten, z. B. fehlgeschlagene Verbindungsaufbauten oder vorzeitige Beendigungen.

Statistische Analysewerkzeuge (Statistical Analysis Tools)

Wireshark bietet verschiedene statistische Werkzeuge (statistical tools), die Ihnen bei der Analyse Ihrer Erfassung helfen. Diese Werkzeuge geben Einblicke in allgemeine Netzwerkstrukturen und können helfen, ungewöhnliche Aktivitäten zu identifizieren.

Warum statistische Analyse wichtig ist

Während die Paket-für-Paket-Analyse für eine tiefgehende Untersuchung unerlässlich ist, hilft Ihnen die statistische Analyse:

  • Wichtige Aktivitätsmuster in Ihrem Netzwerk zu identifizieren
  • Anomalen Datenverkehr oder potenzielle Probleme zu entdecken
  • Ressourcennutzung und Netzwerkleistung zu verstehen
  • Die aktivsten Hosts und Dienste zu identifizieren

Das große Ganze: Stellen Sie sich die Paketanalyse als die Untersuchung einzelner Bäume vor, während die statistische Analyse Ihnen einen Blick auf den gesamten Wald ermöglicht. Beide Perspektiven sind für eine vollständige Netzwerkanalyse notwendig.

Verwenden von statistischen Werkzeugen

Um auf diese Werkzeuge zuzugreifen, erkunden Sie das Menü Statistics (Statistik) und probieren Sie die folgenden Optionen aus:

Protokollhierarchie (Protocol Hierarchy)

Die Protokollhierarchie (Protocol Hierarchy) zeigt die Verteilung der Protokolle in Ihrer Erfassung:

  1. Klicken Sie auf Statistics > Protocol Hierarchy (Statistik > Protokollhierarchie)
  2. Ein Fenster wird geöffnet, das eine Baumansicht aller erkannten Protokolle anzeigt
  3. Die Prozentsätze geben an, wie viel Ihres Datenverkehrs jedes Protokoll verwendet
Protocol Hierarchy Example in Wireshark

Diese Ansicht hilft Ihnen, schnell zu identifizieren:

  • Welche Protokolle die meiste Bandbreite verbrauchen
  • Unerwarteter oder potenziell unerwünschter Netzwerkverkehr
  • Die Gesamtstruktur Ihres Netzwerkverkehrs

Analysetipp: Ungewöhnliche Protokollverteilungen können auf Netzwerkprobleme oder Sicherheitsprobleme hindeuten. Beispielsweise könnte eine abnormal hohe Menge an DNS-Datenverkehr auf DNS-Tunneling-Aktivitäten oder Malware-Kommunikation hindeuten.

Konversationen (Conversations)

Die Konversationsstatistiken (Conversations statistics) listen alle Verbindungen zwischen Endpunkten auf:

  1. Klicken Sie auf Statistics > Conversations (Statistik > Konversationen)
  2. Wählen Sie die Registerkarte für die Protokollebene aus, die Sie untersuchen möchten (Ethernet, IPv4, TCP usw.)
  3. Die Liste zeigt, welche Hosts kommunizieren und wie viele Daten sie ausgetauscht haben
Conversations Statistics Example

Dieses Werkzeug ist besonders nützlich für:

  • Identifizieren, welche Gerätepaare die meisten Daten austauschen
  • Entdecken unerwarteter Kommunikation zwischen Geräten
  • Finden potenziell unautorisierter Verbindungen

Interaktive Funktion: Sie können mit der rechten Maustaste auf eine beliebige Konversation klicken und "Apply as Filter" (Als Filter anwenden) auswählen, um nur die Pakete anzuzeigen, die zu dieser Konversation gehören. Dies erleichtert die Untersuchung spezifischer Kommunikationen.

Endpunkte (Endpoints)

Die Endpunktstatistiken (Endpoints statistics) listen alle Geräte in Ihrer Erfassung auf:

  1. Klicken Sie auf Statistics > Endpoints (Statistik > Endpunkte)
  2. Wählen Sie die Registerkarte für die Protokollebene aus, die Sie untersuchen möchten
  3. Die Liste zeigt alle Geräte an, die am Datenverkehr beteiligt sind
Endpoints Statistics in Wireshark

Verwenden Sie dieses Werkzeug, um:

  • Die aktivsten Geräte in Ihrem Netzwerk zu identifizieren
  • Unbekannte oder unerwartete Geräte zu finden
  • Verkehrsmuster nach IP-Adresse oder MAC-Adresse zu analysieren

Netzwerkabbildung: Das Endpunktwerkzeug (Endpoints tool) erstellt im Wesentlichen eine Karte aller Geräte, die in Ihrem Netzwerk kommunizieren. In Sicherheitskontexten hilft dies, Rogue Devices (nicht autorisierte Geräte) oder unbefugte Systeme zu identifizieren.

I/O-Graph (I/O Graph)

Der I/O-Graph (I/O Graph) zeigt das Datenverkehrsvolumen im Zeitverlauf an:

  1. Klicken Sie auf Statistics > I/O Graph (Statistik > I/O-Graph)
  2. Der Graph zeigt, wie sich das Datenverkehrsvolumen im Laufe der Erfassung ändert
  3. Sie können mehrere Graphen mit verschiedenen Filtern hinzufügen, um verschiedene Arten von Datenverkehr zu vergleichen
I/O Graph Traffic Volume Visual

Diese Visualisierung ist hervorragend geeignet für:

  • Identifizieren von Traffic Spikes (Verkehrsspitzen) oder ungewöhnlichen Mustern
  • Korrelieren von Netzwerkereignissen mit der Zeit
  • Vergleichen verschiedener Arten von Datenverkehr über denselben Zeitraum

Erweiterte Nutzung: Klicken Sie auf die Schaltfläche "+", um zusätzliche Graphlinien mit spezifischen Anzeige-Filtern (display filters) hinzuzufügen. Sie könnten beispielsweise eine Linie haben, die den gesamten Datenverkehr anzeigt, eine andere, die nur HTTP-Datenverkehr anzeigt, und eine dritte, die DNS-Datenverkehr anzeigt. Dies erleichtert das Erkennen von Beziehungen zwischen verschiedenen Protokollen.

Praktische Anwendungen der statistischen Analyse

Diese statistischen Werkzeuge (statistical tools) sind besonders wertvoll in Szenarien wie:

  • Behebung von Netzwerkproblemen: Identifizieren, welche Anwendungen oder Geräte übermäßige Bandbreite verbrauchen
  • Sicherheitsüberwachung: Erkennen ungewöhnlicher Verkehrsmuster, die auf Eindringlinge oder Malware hindeuten könnten
  • Netzwerk-Baseline: Erstellen normaler Verkehrsmuster, um zukünftige Anomalien zu identifizieren
  • Leistungsoptimierung: Bestimmen, welche Protokolle oder Verbindungen die Netzwerknutzung dominieren

Erweiterte statistische Funktionen

Wenn Sie sich mit Wireshark besser auskennen, erkunden Sie diese zusätzlichen statistischen Funktionen:

  • Service Response Time (Dienstantwortzeit): Misst, wie lange Dienste benötigen, um auf Anfragen zu antworten
  • HTTP Statistics (HTTP-Statistiken): Bietet eine detaillierte Aufschlüsselung des HTTP-Datenverkehrs und der Leistung
  • DNS Statistics (DNS-Statistiken): Zeigt DNS-Abfrage- und Antwortmuster an
  • Expert Information (Experteninformationen): Hebt potenzielle Probleme oder Anomalien hervor, die von Wireshark erkannt wurden

Diese erweiterten Statistiken bieten tiefere Einblicke für spezialisierte Analyseaufgaben.

Herzlichen Glückwunsch! Sie haben nun die Grundlagen der Analyse des Netzwerkverkehrs mit Wireshark erlernt. Diese Fähigkeiten bilden eine Grundlage für fortgeschrittenere Netzwerkanalysen und Cybersicherheitsuntersuchungen.

Zusammenfassung

In diesem Lab haben Sie die wesentlichen Fähigkeiten zum Erfassen und Analysieren von Netzwerkverkehr mit Wireshark erlernt. Zuerst haben Sie Wireshark installiert und die erforderlichen Berechtigungen für die Paketerfassung eingerichtet. Anschließend haben Sie Live-Netzwerkverkehr von Ihrem System erfasst und zur weiteren Analyse gespeichert. Abschließend haben Sie verschiedene Analysetechniken wie Anzeigefilter (display filters), Farbgebungsregeln (coloring rules) und das Verfolgen von TCP-Streams (following TCP streams) erkundet.

Die erworbenen Fähigkeiten sind grundlegend für die Netzwerk-Fehlerbehebung und Cybersicherheitsuntersuchungen. Die Analyse des Netzwerkverkehrs ermöglicht es Ihnen, Sicherheitsbedrohungen zu identifizieren, Netzwerk- und Anwendungsprobleme zu beheben, Protokollfunktionen im Detail zu verstehen und die Netzwerkleistung zu überwachen. Im Laufe Ihrer Cybersicherheitsreise können Sie auf diesen Grundlagen aufbauen, um fortgeschrittenere Techniken zur Paketanalyse zu entwickeln, darunter Malware-Erkennung, Intrusion Detection (Angriffserkennung) und Network Forensics (Netzwerkforensik).