Einführung
In dieser Herausforderung lernen Sie, wie Sie die Spaltenanzeige von Wireshark individuell konfigurieren, um potenzielle Bedrohungen schnell zu identifizieren. Konkret werden Sie Wireshark so einstellen, dass eine Spalte „Source IP“ im Paketlisten-Bereich erscheint, die das Feld ip.src anzeigt. Dies ermöglicht eine sofortige Gefahrenbewertung während eines vermuteten HTTP-Angriffs.
Der Prozess umfasst das Öffnen von Wireshark, den Aufruf der Spalteneinstellungen durch Rechtsklick auf einen Spaltenkopf, das Hinzufügen einer neuen Spalte mit dem Titel „Source IP“ und dem Feldnamen ip.src sowie die Überprüfung, ob die neue Spalte die Quell-IP-Adressen der erfassten Pakete korrekt darstellt. Dies erleichtert die schnelle Identifizierung angreifender IP-Adressen erheblich.
Wireshark-Spaltenanzeige anpassen
Ein kritischer Server steht unter einem potenziellen HTTP-Angriff. Konfigurieren Sie Wireshark schnell so, dass die Quell-IPs für eine sofortige Bedrohungsanalyse angezeigt werden.
Aufgaben
- Fügen Sie dem Paketlisten-Bereich eine Spalte „Source IP“ hinzu, die das Feld
ip.srcanzeigt. - Blenden Sie die ursprüngliche Spalte „Source“ aus.
Anforderungen
- Öffnen Sie Wireshark.
- Klicken Sie mit der rechten Maustaste auf einen beliebigen vorhandenen Spaltenkopf im Paketlisten-Bereich.
- Wählen Sie
Column Preferences. - Fügen Sie eine neue Spalte mit dem Titel
Source IPund dem Feldnamenip.srchinzu. - Blenden Sie die ursprüngliche Spalte „Source“ aus.
- Stellen Sie sicher, dass die neue Spalte die Quell-IP-Adressen der erfassten Pakete korrekt anzeigt.
Beispiele
Nach Abschluss der Herausforderung sollte der Paketlisten-Bereich von Wireshark eine neue Spalte namens „Source IP“ enthalten, welche die Ursprungs-IP-Adressen der Pakete zeigt. Zum Beispiel:
| No. | Time | Source IP | Destination | Protocol | Length | Info |
|---|---|---|---|---|---|---|
| 1 | 0.000000 | 192.168.1.100 | 8.8.8.8 | DNS | 78 | Standard query A google.com |
| 2 | 0.001000 | 8.8.8.8 | 192.168.1.100 | DNS | 94 | Standard query response A 142.250.184.142 |
Hinweise
- Ein Rechtsklick auf einen Spaltenkopf ermöglicht den Zugriff auf die Spalteneinstellungen.
- Verwenden Sie im Fenster „Column Preferences“ die Schaltfläche „+“, um eine neue Spalte hinzuzufügen.
- Der „Field type“ sollte auf „Custom“ eingestellt werden.
- Der „Field name“ ist fallsensitiv (Groß-/Kleinschreibung beachten).
Zusammenfassung
Das Ziel dieser Herausforderung war es, die Spaltenanzeige in Wireshark anzupassen, um die Identifizierung potenzieller HTTP-Angriffe durch die schnelle Anzeige von Quell-IP-Adressen zu unterstützen. Dies umfasste das Öffnen von Wireshark, den Zugriff auf die Spalteneinstellungen per Rechtsklick auf einen Spaltenkopf und das Hinzufügen einer neuen Spalte mit dem Titel „Source IP“ und dem Feldnamen ip.src.
Der wichtigste Lerneffekt ist die Erkenntnis, wie die Wireshark-Benutzeroberfläche angepasst werden kann, um spezifische Paketinformationen darzustellen – in diesem Fall die Quell-IP-Adresse, was für die Gefahrenbewertung entscheidend ist. Diese Anpassung ermöglicht eine effiziente Analyse des Netzwerkverkehrs, indem relevante Daten direkt im Paketlisten-Bereich hervorgehoben werden.
