LabEx
AnmeldenKostenlos beitreten

Web-Traffic-Beweise extrahieren

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In dieser Aufgabe schlüpfen Sie in die Rolle eines Cybersecurity-Trainees bei NetDefenders, der eine mögliche Datenpanne untersucht. Ihr Ausbilder hat Ihnen eine Netzwerkverkehrsaufzeichnungsdatei zur Verfügung gestellt, und Ihre Aufgabe ist es, Kommunikationsnachweise zwischen einem Mitarbeiter und labex.io für Ihren forensischen Trainingsbericht zu extrahieren.

Mit Wireshark analysieren Sie den aufgezeichneten Netzwerkverkehr, indem Sie nach TCP-Paketen filtern, die "labex" enthalten, den TCP-Stream verfolgen, um die vollständige Konversation zu untersuchen, und die Beweise als Textdatei speichern. Diese praktische Übung demonstriert wesentliche Techniken der Netzwerkforensik (Network Forensics), die von Sicherheitsexperten verwendet werden, um verdächtige Webkommunikation zu identifizieren und zu dokumentieren.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/follow_tcp_stream("Follow TCP Stream") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/display_filters -.-> lab-548842{{"Web-Traffic-Beweise extrahieren"}} wireshark/follow_tcp_stream -.-> lab-548842{{"Web-Traffic-Beweise extrahieren"}} wireshark/export_packets -.-> lab-548842{{"Web-Traffic-Beweise extrahieren"}} end

Verborgene Web-Konversationen aufdecken

Als Cybersecurity-Trainee bei NetDefenders untersuchen Sie eine mögliche Datenpanne. Ihr Ausbilder hat Netzwerkverkehr von einem Mitarbeiter erfasst, der auf labex.io zugreift, und Ihnen die Aufgabe übertragen, die Kommunikationsdetails als Beweismittel für Ihren forensischen Trainingsbericht zu extrahieren.

Aufgaben

  • Filtern Sie den erfassten Wireshark-Verkehr, um nur TCP-Pakete anzuzeigen, die labex enthalten.
  • Verfolgen Sie einen TCP-Stream von den gefilterten Paketen und speichern Sie ihn als tcp_evidence.txt im Projektordner.

Anforderungen

  1. Öffnen Sie die Aufzeichnungsdatei network_evidence.pcapng in Wireshark, die sich in Ihrem Verzeichnis /home/labex/project befindet.
  2. Verwenden Sie einen Anzeigefilter (Display Filter), um nur TCP-Pakete anzuzeigen, die "labex" in ihrem Inhalt enthalten.
  3. Wählen Sie eines der gefilterten Pakete aus und verwenden Sie dann die Funktion "Follow TCP Stream" von Wireshark, um die gesamte Konversation anzuzeigen.
  4. Speichern Sie den Inhalt des TCP-Streams als Datei mit dem Namen tcp_evidence.txt im Verzeichnis /home/labex/project.
  5. Die gespeicherte Datei muss die vollständigen TCP-Stream-Daten zwischen Ihrem System und labex.io enthalten.

Beispiele

Wenn Sie den richtigen Filter anwenden, könnte Ihre Wireshark-Anzeige wie folgt aussehen:

Wireshark filter

Nachdem Sie den TCP-Stream verfolgt haben, sehen Sie ein Fenster mit den Konversationsdaten. Die gespeicherte Datei enthält diese Daten, die TLS-Handshake-Informationen und verschlüsselten HTTPS-Verkehr enthalten können.

Hinweise

  • Um nach TCP-Paketen zu filtern, die bestimmten Text enthalten, verwenden Sie das Format: tcp contains "text"
  • Klicken Sie mit der rechten Maustaste auf ein Paket und wählen Sie "Follow" > "TCP Stream", um die gesamte Konversation anzuzeigen.
  • Klicken Sie im Fenster "Follow TCP Stream" auf die Schaltfläche "Save As", um die Stream-Daten zu speichern.
  • Stellen Sie sicher, dass Sie die Datei mit genau dem erforderlichen Namen im angegebenen Verzeichnis speichern.
  • Das Speicherdialogfeld (Save Dialog) kann standardmäßig einen anderen Speicherort verwenden. Navigieren Sie daher vor dem Speichern zu /home/labex/project.
✨ Lösung prüfen und üben

Zusammenfassung

In dieser Aufgabe habe ich Netzwerkforensik-Aufgaben mit Wireshark durchgeführt, um Webverkehrsdaten aus einer erfassten Paketdatei zu extrahieren. Die Untersuchung konzentrierte sich auf die Prüfung der Kommunikation zwischen einem System und labex.io, um potenziellen Datenverlust zu dokumentieren. Dies erforderte die Anwendung spezifischer Anzeigefilter (Display Filters), um relevante TCP-Pakete zu isolieren, die "labex" in ihrem Inhalt enthalten.

Der Prozess umfasste das Öffnen einer Netzwerkaufzeichnungsdatei, das Filtern des Datenverkehrs, das Verfolgen von TCP-Streams, um die vollständige Kommunikation anzuzeigen, und das Speichern der Beweise als Textdatei. Diese Techniken stellen wesentliche Fähigkeiten für Cybersecurity-Experten dar, die Netzwerkforensik-Untersuchungen durchführen und Beweise für Sicherheitsvorfallberichte (Security Incident Reports) vorbereiten.

Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger