LabEx
AnmeldenKostenlos beitreten

Netzwerkanalyse mit Wireshark

WiresharkWiresharkBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab begibst du dich auf eine spannende Reise in die Welt der Netzwerkanalyse mit Wireshark, einem leistungsstarken Tool im Bereich der Cybersicherheit. Stell dir vor, du bist ein digitaler Detektiv, der die komplexen Kommunikationen in einem Computernetzwerk verstehen muss. Wie kannst du sehen, was wirklich hinter der Oberfläche passiert? Hier kommt Wireshark ins Spiel.

Wireshark ist wie ein Mikroskop für Netzwerkverkehr. Es ermöglicht es dir, den Datenverkehr in einem Netzwerk in Echtzeit aufzuzeichnen und zu untersuchen. Diese Fähigkeit ist von entscheidender Bedeutung für die Fehlerbehebung in Netzwerken, die Erkennung ungewöhnlicher Aktivitäten und das Verständnis, wie Anwendungen kommunizieren.

Am Ende dieses Labs hast du praktische Erfahrungen in folgenden Bereichen:

  1. Installation und Einrichtung von Wireshark
  2. Aufzeichnung von Netzwerkverkehr
  3. Analyse von Paketdaten
  4. Filtern von Netzwerkaufzeichnungen
  5. Identifizierung gängiger Protokolle

Lass uns in die faszinierende Welt der Netzwerkanalyse eintauchen!

Installation von Wireshark

In diesem Schritt werden wir Wireshark auf unserem Ubuntu-System installieren. Wireshark ist in den Standard-Ubuntu-Repositories verfügbar, was den Installationsprozess unkompliziert macht.

  1. Zuerst öffnen wir das Terminal. Auf Ihrem Desktop suchen Sie das Xfce-Terminal und öffnen es.
Öffnen des Xfce-Terminal-Fensters

Hinweis: Kostenlose Benutzer können nicht mit dem Internet verbinden. Daher ist Wireshark bereits im Lab-Environment vorinstalliert. Sie können direkt zum Punkt 5 in der Liste springen (prüfen, ob Wireshark installiert ist). Upgrade auf einen Pro-Benutzer, um die Installation von Wireshark selbst zu üben.

Nur für Pro-Benutzer
  1. Aktualisieren wir die Paketlisten, um sicherzustellen, dass wir die neuesten Informationen über verfügbares Software haben. Führen Sie den folgenden Befehl aus:
sudo apt update
  1. Jetzt, da unsere Paketlisten auf dem neuesten Stand sind, installieren wir Wireshark. Geben Sie den folgenden Befehl ein:
sudo apt install wireshark -y
  1. Während der Installation werden Sie gefragt, ob Sie Nicht-Superbenutzern erlauben möchten, Pakete zu erfassen. Wählen Sie "Ja" mit den Pfeiltasten und drücken Sie die Eingabetaste. Dadurch können Sie Wireshark verwenden, ohne es als Root ausführen zu müssen, was sicherer ist.
Wireshark-Installationsaufforderung
  1. Nach Abschluss der Installation überprüfen Sie, ob Wireshark korrekt installiert wurde, indem Sie seine Version überprüfen:
wireshark --version

Sie sollten eine Ausgabe sehen, die die Wireshark-Versionsnummer anzeigt.

  1. Um sicherzustellen, dass Sie die erforderlichen Berechtigungen haben, um Pakete zu erfassen, fügen Sie Ihren Benutzer zur Gruppe wireshark hinzu:

Zuerst überprüfen wir, ob die Gruppe wireshark existiert:

getent group wireshark

Wenn die Gruppe wireshark nicht existiert, erstellen Sie die Gruppe mit dem folgenden Befehl:

sudo groupadd wireshark

Standardmäßig wird Wireshark mit Nicht-Root-Rechten ausgeführt, was seine Fähigkeit, Pakete von bestimmten Schnittstellen oder Protokollen zu erfassen, einschränken kann. Um Wireshark die erforderlichen Berechtigungen mit Dumpcap, einem Tool, das zusammen mit Wireshark installiert wird, zu geben, verwenden Sie die folgenden Befehle:

sudo chgrp wireshark /usr/bin/dumpcap
sudo chmod 4755 /usr/bin/dumpcap
sudo gpasswd -a $USER wireshark

Herzlichen Glückwunsch! Sie haben gerade eines der leistungsstärksten Tools im Arsenal eines Netzwerkanalysten installiert.

Aufzeichnung von Netzwerkverkehr

Jetzt, da wir Wireshark installiert haben, lassen Sie uns etwas Netzwerkverkehr aufzeichnen. Dies ist wie das Aufstellen eines Netzes, um alle Datenpakete zu fangen, die durch unsere Netzwerkschnittstelle fließen.

  1. Öffnen Sie Wireshark, indem Sie wireshark im Terminal eingeben und die Eingabetaste drücken.

  2. Wenn Wireshark geöffnet ist, sehen Sie eine Liste der Netzwerkschnittstellen. Suchen Sie nach einer Schnittstelle, die "eth0" oder "eth1" anzeigt – dies sind typischerweise die Hauptnetzwerkschnittstellen.

Wireshark-Schnittstellenauswahl
  1. Doppelklicken Sie auf die Schnittstelle, um die Paketaufzeichnung zu starten. Sie werden sehen, dass in der Hauptfenster eine Reihe von Paketen beginnt, erscheinen.
Wireshark-Paketaufzeichnungsfenster

  1. Lassen Sie uns etwas Verkehr generieren, um ihn aufzuzeichnen. Öffnen Sie ein neues Terminalfenster und geben Sie den folgenden Befehl ein:

    curl http://example.com

    Dieser Befehl lädt die Webseite von example.com herunter und generiert so etwas HTTP-Verkehr.

  2. Nach ein paar Sekunden der Aufzeichnung klicken Sie auf die rote quadratische "Stop"-Schaltfläche oben im Wireshark-Fenster, um die Aufzeichnung zu beenden.

  3. Sie haben gerade Ihre erste Aufzeichnung von Netzwerkverkehr erstellt! Jede Zeile in der Aufzeichnung repräsentiert ein Paket – eine kleine Dateneinheit, die über das Netzwerk gesendet wird.

  4. Um diese Aufzeichnung für eine spätere Analyse zu speichern, gehen Sie zu Datei > Speichern und speichern Sie die Datei als myfirstcapture.pcapng in Ihrem Home-Verzeichnis (/home/labex).

Speichern der Netzwerkaufzeichnungsdatei

Dieser Prozess der Netzwerkverkehrsaufzeichnung ist grundlegend für die Netzwerkanalyse. In den nächsten Schritten werden wir lernen, wie wir diesen Daten Sinn entnehmen können.

Analyse von Paketdaten

Jetzt, da wir etwas Netzwerkverkehr aufgezeichnet haben, lassen Sie uns in die Daten eintauchen und sehen, was wir daraus lernen können.

  1. Öffnen Sie Ihre gespeicherte Aufzeichnungsdatei in Wireshark, indem Sie zu Datei > Öffnen gehen und myfirstcapture.pcapng aus Ihrem Home-Verzeichnis auswählen. Oder doppelklicken Sie auf die Datei, um sie zu öffnen.

  2. Im oberen Bereich sehen Sie eine Liste aller aufgezeichneten Pakete. Jede Zeile repräsentiert ein einzelnes Paket und enthält Informationen wie die Quell- und Ziel-IP-Adressen, das verwendete Protokoll und ein kurzes Infofeld.

  3. Klicken Sie auf ein Paket, um es auszuwählen. Im mittleren Bereich sehen Sie die Paketdetails, die in verschiedene Protokollschichten aufgeteilt sind. Dies ist wie das Schälen einer Zwiebel – jede Schicht enthüllt mehr Informationen über das Paket.

  4. Lassen Sie uns nach HTTP-Verkehr (Websurfen) suchen. Geben Sie im Filterfeld oben im Fenster http ein und drücken Sie die Eingabetaste. Dadurch werden nur HTTP-Pakete angezeigt.

Wireshark-HTTP-Paketfilter
  1. Suchen Sie ein Paket mit "GET" im Infofeld. Dies repräsentiert eine Anfrage für eine Webseite. Klicken Sie darauf, um die Details zu untersuchen.
Details eines HTTP-GET-Pakets

  1. Erweitern Sie im Paketdetailbereich (Mitte) den Abschnitt "Hypertext Transfer Protocol". Hier können Sie Details zur HTTP-Anfrage sehen, einschließlich der spezifischen angeforderten Seite.

  2. Jetzt suchen wir nach der Antwort des Servers. Suchen Sie ein Paket mit "HTTP/1.1 200 OK" im Infofeld. Dies repräsentiert eine erfolgreiche Antwort des Webservers.

Erfolgreiche Antwortpaket eines HTTP-Servers
  1. Untersuchen Sie die Details dieses Pakets. Möglicherweise können Sie den Inhalt der Webseite im Abschnitt "Line-based text data" sehen.

Dieser Analyseprozess ist von entscheidender Bedeutung für das Verständnis des Netzwerkverhaltens. Es ist wie das Lesen eines Gesprächslogs – Sie können sehen, wer mit wem spricht, was sie sagen und wie sie es sagen.

Verwendung von Filtern

Die eigentliche Stärke von Wireshark liegt in seiner Fähigkeit, große Mengen an Netzwerkdaten schnell zu filtern und zu analysieren. In diesem Schritt lernen wir, wie wir Filter verwenden, um uns auf bestimmte Arten von Verkehr zu konzentrieren.

  1. Wenn Ihre Aufzeichnungsdatei in Wireshark geöffnet ist, beginnen wir mit der Verwendung einiger einfacher Anzeigefilter:

    • Um nur TCP-Verkehr anzuzeigen, geben Sie tcp in die Filterleiste ein und drücken Sie die Eingabetaste.
    • Um Verkehr zu oder von einer bestimmten IP-Adresse anzuzeigen, geben Sie ip.addr == 93.184.215.14 ein (dies ist die IP-Adresse von example.com, aber Sie können sie durch jede IP-Adresse ersetzen, die Sie in Ihrer Aufzeichnung sehen).
Wireshark-TCP-Filterbeispiel
  • Um alle HTTP-GET-Anfragen anzuzeigen, geben Sie http.request.method == "GET" ein.

  1. Lassen Sie uns einen komplexeren Filter erstellen. Wir suchen alle HTTP-GET-Anfragen an example.com:

    • Geben Sie in die Filterleiste ein: http.request.method == "GET" && http.host contains "example.com"
Wireshark-HTTP-GET-Filter
  • Dieser Filter zeigt alle GET-Anfragen an alle Domänen an, die "example.com" enthalten.

  1. Wireshark ermöglicht es Ihnen auch, Filter für die spätere Verwendung zu speichern. Speichern wir unseren HTTP-GET-Filter:

    • Klicken Sie auf das Pluszeichen ("+") neben der Filterleiste.
    • Benennen Sie den Filter "HTTP GETs" und klicken Sie auf Speichern.
    • Sie können diesen Filter jetzt jederzeit schnell anwenden, indem Sie ihn aus der Liste der gespeicherten Filter auswählen.

  2. Schließlich exportieren wir einige unserer Ergebnisse. Gehen Sie zu Statistik > HTTP > Anfragen und klicken Sie dann auf "Speichern unter", um die Liste der HTTP-Anfragen in eine Datei zu exportieren.

    • Wählen Sie /home/labex und speichern Sie die Datei als http_requests.txt.
Exportieren der Liste der HTTP-Anfragen

Die Verwendung von Filtern auf diese Weise ermöglicht es Ihnen, schnell durch große Mengen an Netzwerkdaten zu wühlen und sich auf das Wichtige zu konzentrieren. Es ist wie ein Super-Lupenobjektiv, das Ihnen sofort bestimmte Arten von Netzwerkverkehr anzeigt.

Zusammenfassung

In diesem Lab haben Sie Ihre ersten Schritte in die Welt der Netzwerkanalyse mit Wireshark unternommen. Sie haben gelernt, wie Sie:

  1. Wireshark auf einem Linux-System installieren und einrichten
  2. Netzwerkverkehr aufzeichnen und für die Analyse speichern
  3. Paketdaten untersuchen, um Netzwerkgespräche zu verstehen
  4. Filter verwenden, um sich auf bestimmte Arten von Verkehr zu konzentrieren

Diese Fähigkeiten bilden die Grundlage der Netzwerkanalyse und sind für jeden, der sich für Cybersicherheit oder Netzwerkverwaltung interessiert, von entscheidender Bedeutung. Wenn Sie Ihre Reise fortsetzen, werden Sie feststellen, dass Wireshark ein unschätzbares Tool für das Verständnis des Netzwerkverhaltens, die Fehlerbehebung und sogar die Erkennung von Sicherheitsbedrohungen ist. Üben und erkunden Sie weiter – es gibt immer mehr zu lernen in der faszinierenden Welt der Netzwerkanalyse!

Um Ihr Verständnis von Wireshark und der Netzwerkanalyse zu vertiefen, schauen Sie sich den Kurs "Quick Start with Wireshark" auf LabEx an. Dieser Kurs behandelt fortgeschrittene Themen und enthält praktische Übungen, um Ihnen zu helfen, dieses leistungsstarke Tool zu meistern: https://labex.io/courses/quick-start-with-wireshark.

Wireshark-Kurs-Coverbild
Verwandt Wireshark Kurse
Schnellstart mit Wireshark

Schnellstart mit Wireshark

Cybersecurity
Anfänger