Verschlüsselten Web-Traffic filtern

Einführung

In dieser Aufgabe schlüpfen Sie in die Rolle eines Junior-Cybersecurity-Analysten, der eine potenzielle Datenschutzverletzung bei Cybertech Industries untersucht. Das Sicherheitsteam hat während der Nebenzeiten ungewöhnliche Netzwerkaktivitäten festgestellt und Ihnen eine Packet-Capture-Datei mit dem verdächtigen Netzwerkverkehr zur Verfügung gestellt.

Ihre Aufgabe ist es, Wireshark zu verwenden, um die bereitgestellte Packet-Capture-Datei zu analysieren, indem Sie einen Anzeigefilter erstellen, der nur den verschlüsselten HTTPS-Traffic (TCP-Port 443) isoliert. Diese Filtertechnik hilft Ihnen, sich auf potenziell sensible Kommunikationen zu konzentrieren, die mit der vermuteten Verletzung in Zusammenhang stehen könnten. Sobald Sie den entsprechenden Filter erstellt haben, speichern Sie ihn zur Dokumentation in einer Textdatei.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") subgraph Lab Skills wireshark/display_filters -.-> lab-548806{{"Verschlüsselten Web-Traffic filtern"}} end

Suche nach verdächtigem HTTPS-Traffic

Als Junior-Cybersecurity-Analyst untersuchen Sie eine potenzielle Datenschutzverletzung bei Cybertech Industries. Das Sicherheitsteam hat während der Nebenzeiten ungewöhnliche Netzwerkaktivitäten festgestellt und benötigt Ihre Hilfe. Es wurde Ihnen eine Packet-Capture-Datei mit Netzwerkverkehr von dem Zeitpunkt zur Verfügung gestellt, als die verdächtige Aktivität aufgetreten ist.

Aufgaben

Verwenden Sie den Wireshark-Anzeigefilter, um nur verschlüsselten HTTPS-Traffic anzuzeigen, indem Sie nach TCP-Port 443 filtern.

Anforderungen

Öffnen Sie die Datei suspicious_traffic.pcapng im Verzeichnis ~/project mit Wireshark.
Erstellen Sie einen Anzeigefilter, um nur den HTTPS-Traffic (TCP-Port 443) zu isolieren.
Speichern Sie Ihren Filter als https_filter.txt im Verzeichnis ~/project. Die Datei soll nur den Filterausdruck (nur eine Zeile) enthalten.

Beispiele

Wenn Sie den richtigen Filter erfolgreich anwenden, sollten Sie etwas wie das Folgende sehen:

Die angezeigten Pakete sollten nur solche enthalten, die den TCP-Port 443 verwenden, der der Standardport für HTTPS-Traffic ist.

Ihre gespeicherte Filterdatei sollte nur den Filterausdruck enthalten, zum Beispiel:

ip.addr == 8.8.8.8

(Hinweis: Dies ist nur ein Beispiel für ein Filterformat, nicht die Lösung)

Hinweise

In Wireshark werden Anzeigefilter in der Filterleiste oben im Hauptfenster eingegeben.
Der Filterausdruck sollte sich auf die TCP-Portnummer konzentrieren, die standardmäßig für HTTPS-Traffic verwendet wird.
Denken Sie daran, dass Portnummern in Filterausdrücken mit tcp.port referenziert werden können.
Lesen Sie den Abschnitt "Verwenden von Anzeigefiltern" aus dem Lab (Laborübung) für weitere Anleitungen.
Stellen Sie sicher, dass Sie nur den Filterausdruckstext in Ihrer Filterdatei speichern, ohne zusätzlichen Text oder Erklärungen.

✨ Lösung prüfen und üben

Zusammenfassung

In dieser Aufgabe habe ich als Junior-Cybersecurity-Analyst gearbeitet und eine potenzielle Datenschutzverletzung bei Cybertech Industries untersucht, indem ich verdächtigen Netzwerkverkehr analysiert habe. Mit Wireshark habe ich gelernt, wie man Anzeigefilter erstellt und anwendet, um verschlüsselten HTTPS-Traffic zu isolieren, indem ich mich speziell auf die TCP-Port-443-Kommunikation konzentriert habe.

Die Übung erforderte das Öffnen einer bereitgestellten Packet-Capture-Datei, das Anwenden der entsprechenden Filtersyntax in der Wireshark-Anzeigefilterleiste und das Speichern des Filterausdrucks in einer Textdatei. Diese praktische Fähigkeit ist für Sicherheitsanalysten unerlässlich, die während Sicherheitsuntersuchungen schnell verschlüsselten Webverkehr identifizieren und untersuchen müssen, sodass sie sich auf relevante Pakete konzentrieren und gleichzeitig nicht verwandte Netzwerkkommunikation herausfiltern können.