Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Netzwerkgrundlagen

Wireshark

Testen Sie unsere 2016 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Wireshark ist eine kostenlose OpenSource-Applikation für die Analyse von Netzwerkkommunikationsverbindungen. Das Programm stellt den gesamten Datenverkehr einer Netzwerkschnittstelle in einzelnen Paketen dar.

Transkript

Pakete lügen nicht. So könnte man abgewandelt unter Netzwerkern sagen, denn wenn wir einen direkten Netzwerkmitschnitt haben, dann gewinnen wir einen tiefen Einblick in das, was im Netz wirklich los ist. Und das wollen wir uns jetzt am Beispiel der Applikation WireShark ansehen. Ja, warum überhaupt Wireshark? Es gibt ja ganz viele Netzwerkanalyse- Programme am Markt und Netzwerkmonitore, aber Wireshark hat sich irgendwo auf ganzer Linie durchgesetzt, das ist der Quasi-Standard, das mag auch daran liegen, dass es eine Open-Source- Applikation ist, es steht hier kostenfrei zum Download zur Verfügung, kann von jedermann verwendet werden, und hat eine ziemlich hohe Verbreitung erlangt. Bevor wir loslegen, ganz kurz, Wireshark ist natürlich ein relativ komplexes Produkt, das würde sicherlich auch ein eigenes komplettes Video-Training rechtfertigen, da gibt es Bücher mit mehreren hundert oder tausend Seiten, und ich möchte mich jetzt hier auf vier Schritte beschränken. Und zwar möchte ich gerne mit Ihnen einen Mitschnitt erstellen, dann wollen wir uns ankucken, wie der Analysebereich von Wireshark aufgebaut ist, dann wollen wir einen Mitschnitt abspeichern, und gleichzeitig einen FTP-Mittschnitt reimportieren, und den wollen wir dann ein bisschen ankucken und filtern. So, die Installation, die mache ich jetzt hier nicht, ich habe das Programm ja schon installiert, und ich kann es gleich aufrufen - Das ist Wireshark, so, und das ist also der Einstiegsbildschirm. Wir konzentrieren uns hier links auf den Capture-Bereich, wir haben hier eine Interface-List, von der wir dann auch die Optionen aufrufen können, und wir könnten hier auch direkt einen Mitschnitt starten, mit Standardeinstellungen, wir kucken uns jetzt mal die Interface-Liste an, Ich habe jetzt hier zwei Netzwerkkarten installiert, und die werden also jetzt angezeigt, auch der Name wird angezeigt, IP wird hier natürlich IP V6 bereits bevorzugt, das ist hier der Link Lokale Adresse, wenn ich hier einmal draufklicke, dann wechselt das Ganze auch zu IP V4, da kann ich also hier wechseln mit einem Klick, und hier sieht man schon, was los ist auf dieser Schnittstelle, und ich kann mir hier hinten dann auch noch Details zum entsprechenden Interface ankucken. Gut, weiterhin habe ich hier noch Optionen, die den Mitschnitt steuern. ich muss hier zunächst ein Inferface auswählen, ich kann auch alle Interfaces gleichzeitig auswählen, für mich solls jetzt mal das Internet Null sein, und dann habe ich diverse Optionen, die also diesen Mitschnitt dann steuern. So, hier haben wir "Use promiscuous mode on all interfaces", das bedeutet, dass der Wireshark auch wirklich sämtlichen Traffic mitschneidet, den er erreichen kann, wenn ich das Häkchen hier rausnehme, dann schneidet er nur den Traffic mit, der auch wirklich an mich persönlich oder an mein Interface gerichtet ist. Weiterhin haben wir hier einen Capture-Filter, wenn ich also schon im Vorfeld weiß, was ich ganz genau mitschneiden möchte, und nicht anschließend erst die Filter-Aktion durchführen möchte, dann kann ich hier so einen Capture-Filter eingeben, teilweise per grafische Oberfläche, aber ich kann auch hier direkt meinen Filter eintippen, welche Filter sind möglich, dazu gehen Sie einfach auf die Wireshark-Seite, und schauen sich hier mal einige Beispiele an, dann wird das ziemlich schnell klar, also beispielsweise wenn ich den Filter Host eintippe und dann eine IP, schneidet er wirklich nur Traffic von und zu dieser bestimmten IP-Adresse mit. Das ist eigentlich relativ sinnvoll. Dann haben wir hier unten Capture Files, wenn ich jetzt also hier einen Dateinamen angeben würde, dann würde er das auch gleich dort reinschreiben, und hier unten haben wir dann eben weitere Optionen, die sich darauf beziehen, wie dieses File dann gehändelt wird, also ob dann beispielsweise nach x Megabyte ein neues File begonnen wird, oder ob ich nach einer bestimmten Anzahl von Dateien die älteste wieder überschreibe und dergleichen, das kann ich hier einstellen, außerdem habe ich hier eine automatische Stop-Option, nicht dass mir am Ende die Festplatte überläuft, so kann ich auch sagen, nach x Megabyte oder x Gigabyte, soll der Mitschnitt dann vollautomatisch aufhören. Auf der rechten Seite haben wir hier nach einige Display-Optionen, ich denke, die werden sich soweit selbst erklären, ja und hier haben wir noch die Namensauflösung, hier versucht er, auf verschiedenen Ebenen einen Namen in die Paketliste hineinzubringen, also beispielsweise bei Resolve Mac Adresses, versucht er, den Hersteller der Netzwerkkarte auf Schicht 2 also die MAC-Adresse, herauszubekommen, und zeigt dann anstelle der ersten drei Byte in Hexadezimalzahlen eine Abkürzung des Herstellernamens an. Kann ich machen, Obacht bei der Auflösung von Network-Layernames, dann versucht er nämlich, mit DNS tatsächlich Namen aufzulösen, das kann natürlich enorme Verzögerungen bringen, und zusätzlichen Netzwerktraffic, ganz klar, ich möchte jetzt hier mal überhaupt keine Namensauflösung verwenden. Gut, und von dort aus können wir dann auch gleich starten, und dann geht's auch schon los, man sieht dann, was auf dem Netzwerk los ist, hier ist jetzt im Augenblick nicht viel los, deswegen machen wir mal ein bisschen was los, ich rufe jetzt mal eine Webseite auf, und dann sollte es hier auch schon losgehen. So, ich stoppe den Mitschnitt an der Stelle mal, so, und wir kucken uns jetzt mal das Fenster hier an. Das Fenster ist geteilt in drei Bereiche, ich habe hier ganz oben die Paketliste, die kann ich hoch und runter scrollen, von links nach rechts, mit Durchnummerierung der Pakete, daneben haben wir die Zeit, das ist die Zeit, die vergangen ist, Zeit im ersten Paket, das ich also mitgeschnitten habe, diese Zeit, die kann ich hier oben unter View Time Display Format kann ich die auch ändern, kann ich also auf die Systemzeit oder dergleichen umkonvertieren, dann haben wir hier eine Quelladresse, und zwar ist das immer die höchste Adresse, die er erreichen kann, in dem Fall natürlich die IP-Adresse, das gleiche gilt dann für die Zieladresse, wenn ich jetzt beispielsweise einen Internet Frame hätte, ja, bei einem ARP Request, der hier zum Beispiel ziemlich am Anfang stattfinden muss, da ist es dann natürlich die MAC-Adresse, Quell- und Zieladresse. Dann das höchste Protokoll, dass er jetzt mit seinen Filtern identifizieren kann, die Länge und, was ich wirklich sehr sehr hilfreich finde, eine Info, die quasi in menschlicher Sprache darstellt, um was es denn jetzt in diesem Paket geht. In der Mitte haben wir das Ganze schon ein bisschen detaillierter aufgeschlüsselt, wir haben hier einzelne Schichten, eine Abbildung des OSI-Modells, oder des TC/IP-Modells, Wir haben hier unten also einmal den kompletten Frame, und die Inhalte, die können wir dann hier entsprechend immer erweitern, dann kommt hier Schicht 2, der Ethernet-Anteil, und anschließend kommt die dritte Schicht, das Internet-Protocol mit Quelladressen, Zieladressen, und was auch sonst noch so alles drinsteht, anschließend haben wir TCP, beziehungsweise UDP, auf Schicht 4, die Transportschicht, und danach wird also zusammengefasst Schicht 5-7 in einem Anwendungsprotokoll, hier Domain Name System, das sind dann hier die übrigen drei applikationsorientierten Schichten. Ja, weiter unten haben wir es dann noch ein bisschen genauer, wenn Sie also meinen, Sie müssen das Ganze in Hex lesen, hier haben Sie die Gelegenheit, auf der rechten Seite haben wir diese Daten hier aufgeschlüsselt in einen rohen Text, so dass wir unter Umständen auch lesen können, was jetzt in diesem Bestandteil des Pakets gerade drin ist. Man kann den Mitschnitt abspeichern, so dass man ihn später irgendwann wieder aufrufen kann, können wir hier machen, direkt mit Save As, früher hatten wir hier das sogenannte PCAP-Format, jetzt ist es PCAP Next Generation und das können wir dann hier direkt abspeichern, Wunderbar, schließen wir den Wireshark, und dann haben wir den Mitschnitt auf dem Desktop, können wir dort wieder aufrufen. Kommen wir zum Filterungsteil, ich habe hier mal eine Datei vorbereitet, die Datei ist hier von meinem FTP-Server, ja, da meinte jemand, er muss sich auf meinen FTP-Server verbinden, und hat's halt probiert, wie man sieht, und hier wollen wir ein bisschen analysieren. Jetzt haben wir hier natürlich enorm viele Daten, also wir müssen filtern, und hier oben haben wir ein sehr leistungsfähiges Filtersystem, wir können uns das hier zusammenklicken, auf der linken Seite stehen jeweils die Protokolle, die wir filtern können. Wir haben einige Operatoren, ein "ist gleich" ist nicht gleich "größer, kleiner, enthält" und so weiter, und damit können wir uns die Filter im Grund genommen zusammenklicken, Innerhalb der Filter haben wir dann noch weitere Möglichkeiten, den Filter genauer zu spezifizieren, und ich denke, es wird schon deutlich, dass man ganz zwingend die Protokolle, die man filtern will, wirklich vollständig kennen muss, oder man muss zumindest gut kennen, um überhaupt eine Analyse sinnvoll gestalten zu können. Also Netzwerkanalyse ohne die Kenntnis der dazugehörigen Protokolle, ist sinnlos, da brauchen wir überhaupt nicht erst anfangen, ja. Ich kann die Filter hier auch direkt oben eintippen, beispielsweise hier habe ich ja ganze viele ARPs noch dazwischen, und IGMP, ICMP und dergleichen, und ich möchte jetzt mal nur FTP filtern, kann ich hier direkt rein tippen, rufe ich auf FTP, ja, und haue hier zweimal auf die RETURN-Taste, und dann geht's auch schon los. Und wie man sieht, derjenige kann mit dem User Administrator auf meinen FTP-Server zugreifen, und das probiert er hier relativ häufig, und ich würde jetzt gerne die Passwortliste sehen, die er hier ganz offensichtlich verwendet hat, und dann kucke ich mir das Ganze an, hier haben wir also Request User, wir haben hier einen Response, und er versucht hier, mit einem bestimmten Pass reinzukommen. Jetzt haben wir zwei Möglichkeiten, entweder wir gehen hier rein, sagen Rechtsklick, und fügen das hier als Filter hinzu - so kann ich schnell und einfach Filter erstellen - oder ich suche mir das hier heraus, indem ich einfach einen Punkt reinhaue, und mal nachschaue, was mir denn FTP so anbietet, und ich weiß ja, was ich suche, den FTP Request Command, so wie es hier auch steht, und ja, ich möchte jetzt einen Operator setzen, und zwar möchte ich das Kommando Path Filter. So, haue ich wieder zweimal RETURN, und wie man sieht, habe ich jetzt tatsächlich nur noch die Wortliste, mit der er ja ganz offensichtlich versucht hat, sich hier einzuloggen. Ja, jetzt könnte ich hier filtern und noch mehr filtern, ich kann mir aber auch versuchen, den Datenstrom von Wireshark zusammensetzen zu lassen, und zwar indem ich hier oben auf Analyze gehe, und dem TCP-Datenstrom folge, er versucht dann wirklich diese Kommunikation, von der ich jetzt aus dem Filter Sätze aufzudröseln, und das probiere ich hier jetzt mal, und tatsächlich - Er dröselt die mir auf, und gibt mir jetzt quasi das, was ich hier haben will, und jetzt kann ich die Wortliste sehen, er hat also hier, oder ich habe hier, mitgeschnitten, ganz offensichtlich bei D, und, ja, bin auch nur bis D gekommen, war wahrscheinlich ein bisschen länger, oder er hat aufgegeben, der Angreifer, ich weiß es nicht mehr, und so kann man mit Wireshark letzten Endes filtern und Analyse betreiben. Ja, und vielleicht noch als Abschluss-Information: Der Angreifer war hier zumindest nicht erfolgreich, weil den User Administrator, den gibt es auf meinem Server so nicht.

Netzwerkgrundlagen

Lassen Sie sich die grundlegenden Netzwerktechniken erklären und erfahren Sie anhand vieler Beispiele, wie Netzwerke in der Praxis aufgebaut werden und wie sie funktionieren.

6 Std. 38 min (63 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!