LabEx
LoginBeitreten

Wie man verdächtige Netzwerkaktivitäten mit Wireshark in der Cybersicherheit identifiziert

WiresharkAdvanced
Jetzt üben

Einführung

Im Bereich der Cybersicherheit ist das Verständnis und die Identifizierung verdächtiger Netzwerkaktivitäten entscheidend für die Aufrechterhaltung einer sicheren und widerstandsfähigen Netzwerkinfrastruktur. Dieses Tutorial führt Sie durch den Prozess der Verwendung von Wireshark, einem leistungsstarken Netzwerkprotokollanalysator, um potenzielle Bedrohungen in Ihrer Netzwerkumgebung zu erkennen und zu analysieren.

Dies ist ein Guided Lab, das schrittweise Anweisungen bietet, um Ihnen beim Lernen und Üben zu helfen. Befolgen Sie die Anweisungen sorgfältig, um jeden Schritt abzuschließen und praktische Erfahrungen zu sammeln. Historische Daten zeigen, dass dies ein Labor der Stufe Experte mit einer Abschlussquote von 15% ist. Es hat eine positive Bewertungsrate von 100% von den Lernenden erhalten.

Installation und Einrichtung von Wireshark

Was ist Wireshark?

Wireshark ist ein leistungsstarker Open-Source-Netzwerkprotokollanalysator, mit dem Sie Daten, die in Echtzeit in einem Netzwerk hin- und herlaufen, erfassen und untersuchen können. Sicherheitsexperten verwenden es, um:

  • Netzwerkverkehr zu überwachen
  • Netzwerkprobleme zu beheben
  • Verdächtige Aktivitäten zu erkennen
  • Protokolldetails zu analysieren
  • Potenzielle Sicherheitsbedrohungen zu identifizieren

Installation von Wireshark

Beginnen wir mit der Installation von Wireshark auf unserem Ubuntu-System. Öffnen Sie ein Terminal und führen Sie die folgenden Befehle aus:

sudo apt update
sudo apt install -y wireshark

Während der Installation werden Sie gefragt, ob Nicht-Superuser Pakete erfassen dürfen. Wählen Sie "Ja" für die Bequemlichkeit in dieser Laborumgebung.

Die Installation kann einige Minuten dauern. Nach Abschluss sollten Sie eine Ausgabe sehen, die anzeigt, dass Wireshark erfolgreich installiert wurde.

Einrichten von Benutzerberechtigungen

Um Pakete zu erfassen, ohne Wireshark als Root auszuführen, müssen wir unseren Benutzer der wireshark-Gruppe hinzufügen:

sudo usermod -a -G wireshark $USER

Damit die Änderungen wirksam werden, müssen wir uns abmelden und wieder anmelden, aber für dieses Labor können wir die Änderungen sofort mit dem folgenden Befehl anwenden:

newgrp wireshark

Überprüfen der Installation

Lassen Sie uns überprüfen, ob Wireshark korrekt installiert wurde:

wireshark --version

Sie sollten eine ähnliche Ausgabe sehen wie:

Wireshark 3.6.2 (Git v3.6.2 packaged as 3.6.2-2)

Copyright 1998-2022 Gerald Combs <gerald@wireshark.org> and contributors.
License GPLv2+: GNU GPL version 2 or later <https://www.gnu.org/licenses/>
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

Compiled (64-bit) with Qt 5.15.3, with libpcap, with POSIX capabilities
(Linux), with libnl 3, with Lua 5.2.4, with GLib 2.72.1, with zlib 1.2.11,
with Snappy, with libpcap 1.10.1, with GNUTLS 3.7.3, with Gcrypt 1.9.4.

Starten von Wireshark

Starten wir nun Wireshark mit der grafischen Oberfläche:

wireshark &

Die Wireshark-Anwendung öffnet sich in einem neuen Fenster. Sie sehen die Hauptoberfläche mit einer Liste der Netzwerk-Interfaces, die für die Paketaufzeichnung verfügbar sind.

Nehmen Sie sich einen Moment Zeit, um sich mit der Wireshark-Benutzeroberfläche vertraut zu machen:

  1. Der obere Abschnitt zeigt verfügbare Netzwerk-Interfaces an
  2. Der mittlere Abschnitt (derzeit leer) zeigt die erfassten Pakete an
  3. Die Filterleiste oben ermöglicht es Ihnen, angezeigte Pakete zu filtern
  4. Verschiedene Menüs und Symbolleisten bieten zusätzliche Funktionalität

Im nächsten Schritt erfahren wir, wie man Netzwerkverkehr mit Wireshark aufzeichnet.

Erfassen von Netzwerkverkehr mit Wireshark

Verstehen von Netzwerk-Interfaces

Bevor wir Netzwerkverkehr erfassen können, müssen wir verstehen, welches Netzwerk-Interface wir überwachen müssen. In einem typischen System haben Sie möglicherweise mehrere Interfaces:

  • eth0 oder ens33: Ethernet (kabelgebundene) Verbindung
  • wlan0: Wi-Fi-Verbindung
  • lo: Loopback-Interface (lokaler Verkehr)

Lassen Sie uns die verfügbaren Netzwerk-Interfaces auf unserem System überprüfen:

ip a

Dieser Befehl zeigt alle Netzwerk-Interfaces an. Suchen Sie nach Interfaces wie eth0, ens33 oder anderen Netzwerk-Interfaces (der genaue Name hängt von Ihrer Systemkonfiguration ab).

Generieren von Test-Netzwerkverkehr

Um sicherzustellen, dass wir etwas Netzwerkverkehr zum Analysieren haben, generieren wir etwas grundlegenden HTTP-Verkehr, indem wir ein paar Webanfragen stellen:

## Create a directory to save our captures
mkdir -p ~/wireshark_lab

## Generate some HTTP traffic
curl -s http://example.com > /dev/null
curl -s http://google.com > /dev/null

Erfassen von Verkehr in Wireshark

Lassen Sie uns nun etwas Netzwerkverkehr mit Wireshark erfassen:

  1. Wenn Wireshark noch nicht läuft, starten Sie es:
wireshark &

  1. Suchen Sie im Wireshark-Hauptfenster Ihr primäres Netzwerk-Interface (wahrscheinlich eth0 oder ens33 - verwenden Sie das Interface, das Sie zuvor mit dem Befehl ip a identifiziert haben).

  2. Doppelklicken Sie auf das Netzwerk-Interface, um mit der Paketaufzeichnung zu beginnen.

  3. Sie sehen, wie Pakete im Hauptfenster erscheinen, während sie erfasst werden:

    • Der obere Bereich zeigt die Liste der Pakete an
    • Der mittlere Bereich zeigt Details des ausgewählten Pakets an
    • Der untere Bereich zeigt die Rohdaten des ausgewählten Pakets in hexadezimaler und ASCII-Darstellung an

  4. Lassen Sie uns etwas mehr Netzwerkverkehr generieren, während Wireshark aufzeichnet:

## Open a new terminal window and execute:
ping -c 5 google.com

  1. Gehen Sie zurück zu Wireshark, und Sie sollten die ICMP-Ping-Pakete in der Aufzeichnung sehen.

  2. Um die Aufzeichnung zu stoppen, klicken Sie auf die rote Quadrat-Schaltfläche in der Symbolleiste oder gehen Sie zu Capture > Stop.

Speichern des erfassten Verkehrs

Nachdem wir nun etwas Netzwerkverkehr erfasst haben, speichern wir ihn zur weiteren Analyse:

  1. Gehen Sie in Wireshark zu File > Save oder drücken Sie Ctrl+S.

  2. Navigieren Sie zu dem Verzeichnis ~/wireshark_lab, das wir zuvor erstellt haben.

  3. Benennen Sie Ihre Datei basic_capture.pcapng und klicken Sie auf Save.

## Verify that the capture file was saved
ls -la ~/wireshark_lab/

Sie sollten Ihre Datei basic_capture.pcapng in der Ausgabe sehen.

Öffnen einer gespeicherten Aufzeichnung

Üben wir das Öffnen unserer gespeicherten Aufzeichnungsdatei:

  1. Gehen Sie in Wireshark zu File > Open oder drücken Sie Ctrl+O.

  2. Navigieren Sie zu ~/wireshark_lab/basic_capture.pcapng und öffnen Sie sie.

Die erfassten Pakete sollten nun in Wireshark angezeigt werden und bereit zur Analyse sein.

Im nächsten Schritt erfahren wir, wie man diesen erfassten Verkehr filtert und analysiert, um bestimmte Arten von Netzwerkaktivitäten zu identifizieren.

Analysieren von Netzwerkverkehr mit grundlegenden Filtern

Verstehen von Wireshark-Anzeigefiltern

Wireshark-Anzeigefilter ermöglichen es Ihnen, nur die Pakete anzuzeigen, die bestimmten Kriterien entsprechen. Dies ist unerlässlich, wenn Sie große Paketaufzeichnungen analysieren, um relevante Informationen zu finden.

Die grundlegende Syntax für Wireshark-Anzeigefilter lautet:

protocol.field == value

Zum Beispiel:

  • ip.addr == 192.168.1.1 - Zeigt Pakete mit dieser IP-Adresse an
  • tcp.port == 80 - Zeigt Pakete mit TCP-Port 80 an
  • http - Zeigt alle HTTP-Pakete an

Anwenden von grundlegenden Anzeigefiltern

Lassen Sie uns das Anwenden einiger grundlegender Filter auf unseren erfassten Verkehr üben:

  1. Stellen Sie sicher, dass Wireshark mit unserer zuvor gespeicherten Aufzeichnungsdatei geöffnet ist. Wenn nicht, öffnen Sie sie:
wireshark ~/wireshark_lab/basic_capture.pcapng &

  1. Suchen Sie die Filterleiste oben in der Paketliste (dort steht "Apply a display filter..." (Einen Anzeigefilter anwenden...), wenn sie leer ist).

  2. Filtern wir nach DNS-Verkehr. Geben Sie Folgendes in die Filterleiste ein:

dns
  1. Drücken Sie die Eingabetaste oder klicken Sie auf die blaue Pfeilschaltfläche, um den Filter anzuwenden.

Sie sollten jetzt nur DNS-Pakete in der Anzeige sehen. Dies sind Anfragen und Antworten zur Domänennamenauflösung.

  1. Versuchen wir nun, nach HTTP-Verkehr zu filtern:
http

Wenden Sie den Filter an und beobachten Sie die HTTP-Pakete.

  1. Filtern wir nach einer bestimmten IP-Adresse. Identifizieren Sie zuerst eine IP-Adresse in Ihrer Aufzeichnung, indem Sie sich die Quell- oder Zielspalten ansehen. Wenden Sie dann einen Filter wie folgt an:
ip.addr == [replace_with_an_ip_from_your_capture]

Zum Beispiel: ip.addr == 93.184.216.34 (wenn Sie Verkehr zu example.com sehen)

Kombinieren von Filtern

Sie können Filter mit logischen Operatoren kombinieren:

  • && oder and für die AND-Operation
  • || oder or für die OR-Operation
  • ! oder not für die NOT-Operation

Versuchen wir einen kombinierten Filter:

http && ip.addr == [replace_with_an_ip_from_your_capture]

Dies zeigt HTTP-Verkehr nur von/zu der angegebenen IP-Adresse an.

Erstellen eines einfachen Filters für TCP-Verkehr

Erstellen und speichern wir einen Filter für TCP-Verkehr:

  1. Geben Sie in der Filterleiste Folgendes ein:
tcp

  1. Wenden Sie den Filter an. Sie sollten nur TCP-Pakete sehen.

  2. Speichern wir diesen Filter für die zukünftige Verwendung. Klicken Sie auf die "+"-Schaltfläche auf der rechten Seite der Filterleiste.

  3. Geben Sie in dem Dialogfeld, das angezeigt wird, Folgendes ein:

    • Filter name (Filtername): TCP Traffic (TCP-Verkehr)
    • Filter string (Filterzeichenkette): tcp

  4. Klicken Sie auf "Save" (Speichern), um diesen Filter zu speichern.

Analysieren der Protokollhierarchie

Wireshark bietet eine hilfreiche Visualisierung der Protokolle in Ihrer Aufzeichnung:

  1. Gehen Sie zu Statistics (Statistiken) > Protocol Hierarchy (Protokollhierarchie).

  2. Dies zeigt eine Aufschlüsselung der Protokolle nach Prozentsatz und Paketanzahl.

  3. Schließen Sie dieses Fenster, wenn Sie die Überprüfung abgeschlossen haben.

Speichern gefilterter Ergebnisse

Speichern wir eine gefilterte Ansicht unserer Aufzeichnung:

  1. Wenden Sie einen Filter Ihrer Wahl an (z. B. http oder dns).

  2. Gehen Sie zu File (Datei) > Export Specified Packets (Bestimmte Pakete exportieren).

  3. Stellen Sie sicher, dass "Displayed" (Angezeigt) im Abschnitt "Packet Range" (Paketbereich) ausgewählt ist.

  4. Navigieren Sie zu ~/wireshark_lab/ und speichern Sie als filtered_capture.pcapng.

  5. Überprüfen Sie, ob die Datei gespeichert wurde:

ls -la ~/wireshark_lab/

Sie sollten sowohl Ihre ursprünglichen als auch die gefilterten Aufzeichnungsdateien sehen.

Im nächsten Schritt werden wir diese Filtertechniken verwenden, um verdächtige Netzwerkaktivitäten zu identifizieren.

Identifizieren verdächtiger Netzwerkaktivitäten

Häufige Indikatoren für verdächtige Netzwerkaktivitäten

Bei der Analyse des Netzwerkverkehrs zu Sicherheitszwecken können bestimmte Muster und Verhaltensweisen auf verdächtige oder böswillige Aktivitäten hindeuten:

  1. Ungewöhnliche Portnutzung: Verkehr auf ungewöhnlichen Ports oder bekannten Malware-Ports
  2. Exzessive DNS-Anfragen: Kann auf DNS-Tunneling oder Datenexfiltration hindeuten
  3. Unverschlüsselte Anmeldeinformationen: Passwörter, die im Klartext gesendet werden
  4. Port-Scanning: Mehrere Verbindungsversuche zu verschiedenen Ports
  5. Ungewöhnliche Datenmuster: Base64-codierte Payloads oder verschlüsselter Verkehr, wo dies nicht erwartet wird
  6. Verbindungsversuche zu bekannten bösartigen IPs: Verkehr zu/von Blacklist-Adressen

Simulieren verdächtiger Aktivitäten

Zu Lernzwecken simulieren wir einige verdächtige Netzwerkaktivitäten, die wir mit Wireshark erkennen können:

## Create a directory for our security analysis
mkdir -p ~/wireshark_lab/security_analysis

## Simulate a port scan (limited to a few ports for demonstration)
nmap -p 80,443,22,21,25 scanme.nmap.org > ~/wireshark_lab/security_analysis/scan_results.txt 2>&1

Hinweis: Der obige Befehl nmap führt einen Scan auf gängigen Ports des Servers scanme.nmap.org aus, der speziell für das Testen von nmap eingerichtet wurde.

Erfassen und Analysieren von verdächtigem Verkehr

  1. Starten Sie eine neue Wireshark-Aufzeichnung auf Ihrem Hauptnetzwerk-Interface:
wireshark &

  1. Doppelklicken Sie in Wireshark auf Ihr primäres Netzwerk-Interface, um mit der Aufzeichnung zu beginnen.

  2. Führen Sie im separaten Terminal den Simulationsbefehl aus:

## Simulate another port scan while capturing
nmap -p 80,443,22,21,25 scanme.nmap.org > /dev/null 2>&1

  1. Nachdem der Befehl abgeschlossen ist, stoppen Sie die Wireshark-Aufzeichnung, indem Sie auf die rote Quadrat-Schaltfläche klicken.

  2. Speichern Sie diese Aufzeichnung als suspicious_traffic.pcapng im Verzeichnis ~/wireshark_lab/security_analysis/.

Erkennen von Port-Scanning

Port-Scanning ist eine gängige Aufklärungstechnik, die von Angreifern verwendet wird, um Dienste zu entdecken, die auf einem System ausgeführt werden. Identifizieren wir die Port-Scanning-Aktivität in unserer Aufzeichnung:

  1. Wenden Sie einen Filter an, um die Verbindungsversuche zu verschiedenen Ports anzuzeigen:
tcp.flags.syn == 1 && tcp.flags.ack == 0

Dieser Filter zeigt TCP-SYN-Pakete an, die zum Initiieren von Verbindungen verwendet werden. Eine große Anzahl dieser Pakete zu verschiedenen Ports auf demselben Host deutet auf Port-Scanning hin.

  1. Um sich auf den Verkehr im Zusammenhang mit unserem nmap-Scan zu konzentrieren, können Sie einen Filter für die Zieldomäne hinzufügen:
tcp.flags.syn == 1 && tcp.flags.ack == 0 && ip.addr contains scanme.nmap.org

Erstellen eines Sicherheitsanalyseberichts

Dokumentieren wir unsere Ergebnisse in einem einfachen Sicherheitsanalysebericht:

## Create a report file
nano ~/wireshark_lab/security_analysis/security_report.txt

Fügen Sie den folgenden Inhalt zur Datei hinzu:

Security Analysis Report
=======================

Date: [Current Date]

Findings:
1. Port Scanning Activity Detected
   - Source: [Your IP address]
   - Target: scanme.nmap.org
   - Targeted Ports: 80, 443, 22, 21, 25
   - Evidence: TCP SYN packets to multiple ports

2. Analysis Method:
   - Used Wireshark to capture network traffic
   - Applied filter: tcp.flags.syn == 1 && tcp.flags.ack == 0
   - Identified pattern of systematic connection attempts

3. Recommended Actions:
   - Monitor for unauthorized scanning activities
   - Implement firewall rules to limit outbound scanning
   - Consider implementing network intrusion detection systems

Speichern Sie die Datei, indem Sie Ctrl+O, dann Enter drücken und nano mit Ctrl+X beenden.

Erstellen eines benutzerdefinierten Filters für verdächtige Aktivitäten

Erstellen wir einen benutzerdefinierten Filter zur Erkennung potenzieller Sicherheitsprobleme:

  1. Geben Sie in Wireshark den folgenden Filter ein:
(tcp.flags.syn == 1 && tcp.flags.ack == 0) || (dns.qry.type == 1 && dns.qry.name contains "suspicious") || (http.request && ip.addr == 192.168.0.1)

Dieser komplexe Filter sucht nach:

  • Port-Scanning-Aktivität (SYN-Pakete ohne ACK)
  • DNS-Anfragen für Domänen, die "suspicious" enthalten
  • HTTP-Anfragen von/an IP 192.168.0.1

  1. Speichern Sie diesen Filter:

    • Klicken Sie auf die "+"-Schaltfläche am rechten Ende der Filterleiste
    • Name: Security Monitoring (Sicherheitsüberwachung)
    • Filter string (Filterzeichenkette): (fügen Sie den obigen Filter ein)
    • Klicken Sie auf "Save" (Speichern)

  2. Exportieren Sie diese Filterkonfiguration für die zukünftige Verwendung:

## First, open your Wireshark profile directory to find the saved filters
ls -la ~/.config/wireshark/

Zusammenfassen Ihrer Sicherheitsanalyse

Überprüfen wir unsere Sicherheitsanalyse-Artefakte:

## List all the files we've created
ls -la ~/wireshark_lab/security_analysis/

Sie sollten Folgendes sehen:

  • scan_results.txt - Ausgabe unseres nmap-Scans
  • suspicious_traffic.pcapng - Wireshark-Aufzeichnung verdächtiger Aktivitäten
  • security_report.txt - Unser Analysebericht

Diese Dateien stellen einen grundlegenden Cybersicherheitsanalyse-Workflow dar:

  1. Erfassen Sie verdächtigen Verkehr
  2. Analysieren Sie den Verkehr mithilfe geeigneter Filter
  3. Dokumentieren Sie Ergebnisse und Empfehlungen

In einer realen Sicherheitsumgebung würden Sie Ihre Erkennungstechniken weiter verfeinern, ausgefeiltere Filter erstellen und die Wireshark-Analyse mit anderen Sicherheitstools integrieren, um eine umfassende Bedrohungserkennung und -reaktion zu erzielen.

Zusammenfassung

In diesem Lab haben Sie praktische Erfahrungen mit Wireshark gesammelt, einem leistungsstarken Netzwerkprotokollanalysator, der in der Cybersicherheit weit verbreitet ist. Sie haben gelernt, wie man:

  1. Wireshark unter Ubuntu installiert und einrichtet
  2. Netzwerkverkehr von verschiedenen Schnittstellen erfasst
  3. Filter anwendet, um bestimmte Arten von Netzwerkverkehr zu analysieren
  4. Potenzielle verdächtige Aktivitäten wie Port-Scanning identifiziert
  5. Ihre Ergebnisse in einem Sicherheitsanalysebericht dokumentiert

Diese Fähigkeiten bilden die Grundlage der Netzwerkverkehrsanalyse für Cybersicherheitszwecke. Indem Sie verstehen, wie man Wireshark effektiv einsetzt, können Sie den Netzwerkverkehr überwachen, Anomalien erkennen und potenzielle Sicherheitsbedrohungen identifizieren, bevor sie erheblichen Schaden anrichten.

Wenn Sie Ihre Cybersicherheitsreise fortsetzen, können Sie auf diesen Grundlagen aufbauen, indem Sie fortgeschrittenere Filtertechniken erlernen, benutzerdefinierte Erkennungsregeln entwickeln und Wireshark in andere Sicherheitstools integrieren, um umfassende Netzwerküberwachungslösungen zu erstellen.

Verwandt Wireshark Kurse
Wireshark für Anfänger

Wireshark für Anfänger

cybersecuritywireshark
Cybersicherheitsanalyse mit Wireshark und Tshark

Cybersicherheitsanalyse mit Wireshark und Tshark

cybersecuritywireshark