Wireshark: Angriffe erkennen und analysieren

von

Stefan
in

In den bisherigen Teilen dieser Serie haben wir die Grundlagen, Filtertechniken und die automatisierte Netzwerkanalyse mit TShark behandelt. Nun konzentrieren wir uns auf den Einsatz von Wireshark und TShark in der IT-Sicherheit. Ziel ist es, typische Angriffe und Sicherheitsprobleme zu erkennen und zu analysieren.

Wireshark und Cybersecurity

Wireshark ist nicht nur ein Diagnose-Tool, sondern auch ein wichtiges Werkzeug für Security-Analysten und Incident-Response-Teams. Es hilft bei:

  • Erkennung von Angriffen wie Man-in-the-Middle (MitM)
  • Forensischen Analysen nach Sicherheitsvorfällen
  • Überwachung sensibler Daten
  • Erkennung verdächtiger Verbindungen zu unbekannten Hosts

Erkennen von Man-in-the-Middle-Angriffen

Ein Man-in-the-Middle-Angriff (MitM) fängt Daten zwischen zwei Kommunikationspartnern ab.

Erkennung mit Wireshark:

  • Ungewöhnlich viele ARP-Replies ohne Anfragen (mögliche ARP-Spoofing-Attacken).
  • Mehrere MAC-Adressen für dieselbe IP-Adresse.

Filterbeispiel:

arp

Zeigt alle ARP-Pakete, um verdächtige ARP-Antworten zu identifizieren.

Unverschlüsselte Passwörter erkennen

Viele ältere Protokolle wie FTP, Telnet oder HTTP übertragen Passwörter im Klartext.

Beispiel:

  • Filter: ftp oder telnet
  • In den Paketdetails können Benutzername und Passwort oft im Klartext eingesehen werden.

Praxisbezug:
In Sicherheitstests können so unsichere Dienste identifiziert und anschließend auf verschlüsselte Alternativen wie SFTP oder HTTPS umgestellt werden.

Erkennen von Malware-Kommunikation

Malware kommuniziert oft mit Command-and-Control-Servern (C2). Hinweise sind:

  • Viele DNS-Anfragen zu unbekannten Domains
  • Regelmäßige Verbindungen zu einer festen IP außerhalb des normalen Traffics

Filterbeispiel:

dns && ip.dst == 198.51.100.23

Zeigt nur DNS-Pakete mit Ziel-IP 198.51.100.23 an.

Analyse von verdächtigem HTTPS-Verkehr

Auch bei verschlüsseltem Traffic können Metadaten wie:

  • Häufigkeit der Verbindungen
  • Genutzte TLS-Versionen
  • Ungewöhnlich lange Zertifikatsketten

Hinweise auf Angriffe geben.

Filterbeispiel:

tls.handshake

Zeigt alle TLS-Handshake-Pakete, um z. B. veraltete Protokollversionen zu erkennen.

Datenabfluss und Exfiltration

Angreifer nutzen oft unauffällige Kanäle wie DNS-Tunneling, um Daten zu exfiltrieren.

Praxisbeispiel:

  • Sehr große oder ungewöhnlich codierte DNS-Anfragen können ein Hinweis sein.
  • Filter: dns.qry.name contains "base64"

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert