Wireshark & TShark: Gezielte Netzwerkanalyse – Filter & Protokolle

von

Stefan
in

Im ersten Teil dieser Serie haben wir die Grundlagen von Wireshark und TShark behandelt. In diesem Beitrag vertiefen wir das Thema und zeigen, wie sich mit Filtern und Protokollanalysen gezielte und effiziente Netzwerkanalysen durchführen lassen. Diese Fähigkeiten sind insbesondere in der Cybersecurity unerlässlich, um relevante Informationen aus großen Datenmengen herauszufiltern.

Filtertypen in Wireshark und TShark

Wireshark und TShark unterstützen zwei Haupttypen von Filtern:

  • Capture-Filter:
    Beschränken bereits die erfassten Daten während des Mitschnitts.
    Beispiel: tshark -i eth0 -f "tcp port 80" → Zeichnet nur TCP-Verkehr auf Port 80 auf.
  • Display-Filter:
    Wenden sich auf vorhandene Mitschnitte an, um nur bestimmte Pakete anzuzeigen.
    Beispiel: http → Zeigt nur HTTP-Pakete an.

Syntax der Display-Filter

Display-Filter in Wireshark sind sehr mächtig. Einige Beispiele:

FilterBedeutung
ip.addr == 192.168.1.10Alle Pakete von oder zu dieser IP-Adresse
tcp.port == 443TCP-Verkehr auf Port 443 (HTTPS)
http.requestNur HTTP-Requests
dnsAlle DNS-Anfragen und -Antworten
ssl oder tlsTLS/SSL-verschlüsselter Datenverkehr
frame contains "Passwort"Pakete, die den String „Passwort“ enthalten

In der grafischen Oberfläche von Wireshark können diese Filter direkt im oberen Suchfeld eingegeben werden.

Praxisbeispiele für Protokollanalyse

HTTP-Verkehr analysieren

  • Filter: http
  • Anwendung: Erkennung unverschlüsselter Passwörter, URLs und Header-Informationen.

Cybersecurity-Bezug:
Ein Angreifer könnte bei HTTP unverschlüsselte Login-Daten mitlesen. Mit HTTPS (TLS) sind diese nicht sichtbar.

DNS-Anfragen überwachen

  • Filter: dns
  • Anwendung: Analyse verdächtiger DNS-Anfragen, z. B. bei Malware-Kommunikation.

Praxisbeispiel:
Eine Schadsoftware könnte DNS-Anfragen zu Command-and-Control-Servern stellen.

TLS/SSL-Verkehr untersuchen

  • Filter: tls
  • Anwendung: Überprüfung, ob Verschlüsselung verwendet wird und welche Version von TLS aktiv ist.

Cybersecurity-Bezug:
Veraltete TLS-Versionen wie TLS 1.0 gelten als unsicher und sollten erkannt werden.

TCP-Handshake nachvollziehen

  • Filter: tcp
  • Anwendung: Analyse des Drei-Wege-Handshakes (SYN, SYN-ACK, ACK).

Praxisbeispiel:
Fehlerhafte Handshakes können auf Netzwerkprobleme oder Port-Scans hindeuten.

Kombination von Filtern

Mehrere Filter lassen sich kombinieren:

ip.addr == 192.168.1.10 && tcp.port == 443

Zeigt nur TLS-Verkehr für eine bestimmte IP-Adresse.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert