Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Wireshark Grundkurs

WLAN-Datenverkehr aufzeichnen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Es stehen verschiedene Modi in Wireshark zur Auswahl, um den Netzwerkverkehr innerhalb eines Wireless Local Area Network aufzuzeichnen.

Transkript

Haben Sie sich schon einmal gefragt, wie man ein WLAN sniffen kann? In diesem Video möchte ich Ihnen das zeigen. Es gibt hierfür verschiedene Modi. Einmal kann man sich mit einem WLAN verbinden und schneidet den Verkehr ganz normal mit. Der Promiscuous mode spielt hier keine Rolle. Sie sehen immer nur die Daten, die Sie senden oder für Sie bestimmt sind. Möchten wir nun den Datenverkehr von allen sehen, egal ob nur in dem einen WLAN-Netz oder in allen Netzen, so benötigen wir den Monitor Mode. An dieser Stelle wird es interessant. Unter Windows benötigen Sie eine WLAN-Karte, die diesen Modus unterstützt. Das sind nur ein paar sehr ausgewählte Karten oder die speziell hierfür gemachte AirPCap-Karte von Riverbed. Leichter tut man es sich allerdings unter Linux, dort funktionieren fast alle Karten. Das hat alles etwas mit den Treibern zu tun, die den Monitor Mode unterstützen müssen. Das reicht jetzt erstmal als Theorie, lassen Sie uns in Praxis einsteigen. Gehen wir als erstes in die Capture Options, dort haben wir eine WLAN-Karte, wir klicken mal doppelt drauf. Und hier finden wir auch schon den Monitor Mode, diesen aktivieren wir nun. Wir müssen nun etwas warten bis der Link-layer header type sich umgestellt hat auf 802.11. Nun können wir hier wieder mit OK rausgehen und schauen uns mal eine normale Netzwerke-Karte an. Hier steht der Monitor Mode erst gar nicht zur Verfügung. Ok, lassen wir uns diesen Capture einmal starten. Hier sehen wir nun schon einige Datenpakete. Die Datenpakete, ich mach mal auf Stop, mit Beacon frame , sind Ankündigungen des WLAN-Excess-Points. Dann gibt es da noch Probe Request, wenn ein Client eine Verbindung mit einem WLAN aufbauen möchte und die Probe Response, wenn der WLAN-Excess-Point dem Client mit den Verbindungsdaten, wie dem Kanal und der Verschüsselungsmethode antwortet. Möchten wir auf eine SSID filtern, so gehen wir in den Display-Filter und geben wlan_mgt.ssid==Wireshark-AP ein und Enter. Wireshark-AP ist der Excess-Point, den ich hier zur Verfügung gestellt habe, um das Ganze einmal durchzutesten. Schalten wir den Autoscroll wieder ein, so sehen wir aktuell nur noch Pakete von Wireshark-AP. Schauen wir nun doch mal unter Statistics WLAN Traffic. Hier werden alle erkannten WLANs aufgelistet, inklusive Mac-Adresse, dem Kanal, der SSID und der Anzahl der übertragenen Pakete und eventuell der Verschlüsselungsmethode. Jetzt klicke ich mal auf die SSID hier drauf und sehe alle Clients, die in diesem WLAN kommunizieren. Ich sehe wieder die Mac-Adresse, die übertragenden Pakete und einen Kommentar, welcher Client die Basisstation ist. Im unteren Bereich, sowie im oberen Bereich, habe ich nun die Möglichkeit mit der rechten Maustaste, direkt einen Filter zu erstellen. Ich kann auch die ganze Ansicht auf ein Display-Filter reduzieren oder nur die wirklich existierenden Netwerke anzeigen lassen. Es gibt nämlich auch manche Geräte, die nach ihrem Excess-Point suchen und Pakete versuchen an diesen zu senden, obwohl er an diesem Standort gar nicht zur Verfügung steht. Genau diese SSIDs, oder diese Einträge, kann ich damit ausblenden. Jetzt kann ich aber mit dieser Anzeige noch nicht viel in meinem Netzwerk-Traffic analysieren, geschweige denn einen Fehler suchen. Also müssen wir den Netzwerkverkehr entschlüsseln. Das ist relativ einfach. Ich benötige nämlich nur das Kennwort des WLANs. Also gehen wir auf Preferences, wählen hier Protocols aus, geben über die Tastatur einfach IEE ein, kommen schon zu dem richtigen Punkt und müssen hier darauf achten, dass definitiv dieser Haken bei Enable Decryption angehakt ist. Nun gehen wir auf edit und fügen einen neuen hinzu. Ich denke mal wep sollte eigentlich der Vergangenheit angehören, bei wpa-psk müssen Sie einen sehr langen Code eingeben, den Sie zum Beispiel mit dem wpa-psk-Generator auf der Wireshark-Seite aus dem Passwort und der SSID generieren können. Aber es geht auch einfacher, mit dem wpa-pwd. Hier können wir das Passwort eingeben, gefolgt von einem : und der SSID. Wir können den : und die SSID auch weglassen, allerdings dient das der Übersichtlichkeit und ist für den Computer doch etwas perfomanter. Wir bestätigen hier mit OK. Man könnte hier auch mehrere Einträge haben für die verschiedenen Netze einfach untereinander. Ok, Wir bestätigen das. Das bestätigen wir auch. Jetzt sollten wir eigentlich schon entschlüsselten Verkehr sehen. Das ist aber nicht so, denn wpa, egal ob wpa oder wpa2, dieser Eintrag galt für beide Protokolle, wird erst entschlüsselt angezeigt, wenn über eapol ein seperater Schlüssel ausgehandelt wurde. Eine Art Vier-Wege-Handshake. Ich verbinde also mein Gerät einmal neu mit dem Netwerk, einmal trennen und dann wieder verbinden und wenn wir jetzt hier oben einmal filtern auf eapol, so sehen wir hier, die vier angesprochenen Pakete. Ok, ich lösche mal den Filter und wir sehen, hier ist sogar schon ein DHCP Paket angekommen. Das heißt, der Datenverkehr wurde entschlüsselt. Ich schalte mal Autoscroll wieder ein. Und nun könnten wir eigentlich die IP-Adresse nachschauen des Gerätes und könnten darauf filtern. Ich mach nur mal Stop, scrolle mal etwas hoch, hier war noch ein entschüsseltes Paket, rechte Maustaste Apply as Filter Selected. Machen wir noch ein addr draus, weil ich möchte ja den Datenverkehr in beide Richtungen sehen und sehe hier schon die entschlüsselten Daten. Ok diese Fehlermeldung war jetzt in diesem Fall ganz normal. Diese kam von meiner virtuellen Maschine, die können Sie einfach wegklicken, sollte Sie bei Ihnen auftreten. Ich muss Ihnen allerdings sagen, das dies nicht immer so einfach ist, wie ich es Ihnen hier darstellen konnte, denn die WLAN-Karte, die Einstellung und der Empfang können hier einen dicken fetten Strich durch die Rechnung machen. Die Netzwerkkarte, die sie zum sniffen nutzen, muss nämlich alles das unterstützen, was ihr Excess-Point kann denn es können ja Clients kommen, die diese Einstellung verwendet haben mit dem Excess-Point. Also muss die angesprochene Netzwerkkarte, die entsprechenden Standards, wie zum Beispiel 802.11 G oder N, die Verbindung über 2,4 GHz oder 5 GHz, noch die Anzahl der Antennen, der gleichzeitig sendenden Antennen und die Anzahl der gleichzeitigen fliesenden Datenströme unterstützen, je nachdem, was Ihr Excess-Point anbietet. Mal ganz davon abgesehen, dass sie im Empfangsbereich von beiden Gegenstellen sein müssen. Das klingt jetzt alles etwas viel, aber ich wollte Ihnen nur ein paar Hinweise geben, falls es mal nicht direkt funktioniert. Probieren Sie es einfach mal aus und analysieren die Daten in Ihrem WLAN.

Wireshark Grundkurs

Analysieren Sie netzwerkspezifische Probleme mithilfe des kostenfreien Programms Wireshark. Sie lernen Netzwerkdaten mitzuschneiden und auszuwerten.

3 Std. 46 min (53 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Exklusiv für Abo-Kunden
Erscheinungsdatum:12.08.2015

Die Aussagen zur Rechtssituation in diesem Video-Training beziehen sich auf die Situation in Deutschland bis August 2015 und stellen keine Rechtsberatung dar. Eine Einzelfall-bezogene ausführliche Beratung durch einen hierauf spezialisierten Anwalt wird hierdurch nicht ersetzt.

Alle lokalen Mitschnitte wurden ausschließlich in Demonstrationsnetzwerken mit nachgestellten IP-Adressen erstellt.

Trafficgeneratoren und Software für Penetrationstests zum Erstellen von Spezialdaten für das Video-Training wurde ausschließlich in abgeschotteten Laborumgebungen verwendet.

Öffentliche Abrufe von Webseiten dienen ausschließlich zu Informationszwecken z.B. für Statistiken – oder die Mitschnitte wurden ausdrücklich für dieses Videotraining genehmigt.

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!