BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf ·...

57
Wireshark kompakt PROFESSIONELLES INTERNET- UND OPEN-SOURCE-KNOW-HOW Holger Reibold Der praxisorientierte Einstieg in die Netzwerk- und Protokollanalyse mit dem freien Klassiker Security.Edition BRAIN-MEDIA.DE

Transcript of BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf ·...

Page 1: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Wireshark kompakt

PROFESSIONELLES INTERNET- UND OPEN-SOURCE-KNOW-HOW

Holger Reibold

Der praxisorientierte Einstieg in die Netzwerk- und Protokollanalyse mit dem freien Klassiker

Security.Edition

BR

AIN

-ME

DIA

.DE

Page 2: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Holger Reibold

Wireshark kompakt

Page 3: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

2 Wireshark kompakt

www.brain-media.de

Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Ver-lags ist es nicht gestattet, das Buch oder Teile daraus in irgendeiner Form durchFotokopien oder ein anderes Verfahren zu vervielfältigen oder zu verbreiten. Das-selbe gilt auch für das Recht der öffentlichen Wiedergabe.

Der Verlag macht darauf aufmerksam, dass die genannten Firmen- und Marken-namen sowie Produktbezeichnungen in der Regel marken-, patent- oder warenrech-tlichem Schutz unterliegen.

Verlag und Autor übernehmen keine Gewähr für die Funktionsfähigkeit beschrie-bener Verfahren und Standards.

© 2015 Brain-Media.de

Herausgeber: Dr. Holger Reibold

Umschlaggestaltung: Brain-Media.de

Satz: Brain-Media.de

Korrektur: Theresa Tting

Coverbild: kallejipp / photocase.de

Druck: COD

ISBN: 978-3-95444-176-1

Page 4: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Vorwort 3

Wireshark kompakt

Inhaltsverzeichnis

Vorwort ....................................................................................................................7

1 Netzwerkanalyse mit Wireshark – der Einstieg ............................................9

1.1 Wireshark kennenlernen .........................................................................9

1.2 Bedienelemente..................................................................................... 13

1.3 Was Wireshark so alles kann ................................................................ 17

1.4 Die zentralen Aufgaben ........................................................................ 19

1.5 Fehlersuche ........................................................................................... 21

1.6 Sicherheitschecks.................................................................................. 23

1.7 Programmanalyse ................................................................................. 23

1.8 Wireshark in Betrieb nehmen ............................................................... 23

1.9 Die Aufzeichnung des Datenverkehrs................................................... 25

1.10 Datenpaket versus Frame...................................................................... 28

1.11 Einstieg in die praktische Analyse des Datenverkehrs.......................... 29

1.12 Werkzeugleiste ..................................................................................... 34

1.13 Filterfunktionen im Griff ...................................................................... 38

1.14 Die Ansichten im Detail ....................................................................... 40

1.15 Die Statusleiste ..................................................................................... 45

2 Wireshark in Aktion – live.......................................................................... 49

2.1 Vorbereitungen ..................................................................................... 49

2.2 Aufzeichnung starten ............................................................................ 52

2.3 Die Capture-Optionen........................................................................... 56

2.4 Interface-Einstellungen......................................................................... 61

2.5 Neues Interface hinzufügen .................................................................. 64

Page 5: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

4 Inhaltsverzeichnis

www.brain-media.de

2.6 Remote-Schnittstelle einrichten ............................................................ 66

2.7 Erste Filter bei der Aufzeichnung ......................................................... 70

2.8 Capture-Vorgang in Aktion .................................................................. 74

3 Mit Aufzeichnungen hantieren.................................................................... 77

3.1 Aufzeichnungen speichern.................................................................... 78

3.2 Aufzeichnungen öffnen......................................................................... 80

3.3 Aufzeichnungen zusammenführen........................................................ 81

3.4 Satz mit Capture-Dateien...................................................................... 84

3.5 Datenexport........................................................................................... 85

3.6 Paketliste drucken ................................................................................. 88

3.7 Paketbereich und Format ...................................................................... 89

4 Mit Aufzeichnungen arbeiten...................................................................... 91

4.1 Mit Kontextmenüs arbeiten .................................................................. 93

4.2 Kontextmenü in der Detailansicht ...................................................... 103

5 Mit Filtern jonglieren ................................................................................ 109

5.1 Aufbau von Darstellungsfiltern........................................................... 112

5.2 Dialog „Filter Expression“.................................................................. 116

5.3 Pakete suchen, finden und markieren ................................................. 121

5.4 Beispiele für die Filterung .................................................................. 124

6 Wireshark für Fortgeschrittene ................................................................. 129

6.1 TCP-Stream folgen ............................................................................. 130

6.2 Experteninfos ...................................................................................... 131

6.3 Namensauflösung ............................................................................... 136

6.4 Zahlen über Zahlen ............................................................................. 137

Page 6: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Vorwort 5

Wireshark kompakt

6.5 Protokollhierarchie.............................................................................. 140

6.6 Bandbreitennutzung analysieren......................................................... 142

6.7 Konversationen ................................................................................... 143

6.8 Endpunkte ........................................................................................... 145

6.9 Weitere statistische Funktionen .......................................................... 145

7 Wireshark anpassen................................................................................... 147

7.1 Wireshark anpassen ............................................................................ 148

7.2 Paketfärbung ....................................................................................... 153

7.3 Profile ................................................................................................. 154

Anhang – Konsolenwerkzeuge............................................................................. 157

Wireshark auf der Konsole starten ................................................................... 157

TShark .............................................................................................................. 161

tcpdump............................................................................................................ 162

dumpcap ........................................................................................................... 162

editcap .............................................................................................................. 163

mergecap .......................................................................................................... 163

Index..................................................................................................................... 165

Weitere Brain-Media.de-Bücher .......................................................................... 169

Weitere Titel in Vorbereitung .......................................................................... 172

Plus+................................................................................................................. 172

Page 7: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

6 Inhaltsverzeichnis

www.brain-media.de

Page 8: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Vorwort 7

Wireshark kompakt

Vorwort

VorwortNetzwerke – lokale, globale und drahtlose – bestimmen längst unser aller Alltag.Der Nutzen der Netzwerktechnologie ist unbestritten: Sie vereinfacht den Daten-austausch und hat das Internet in seiner heutigen Form erst möglich gemacht. Dochwie wir alle wissen, ist die Technik auch fehleranfällig und birgt so manches Ge-fahrenpotenzial.

Je intensiver wir auf diese Techniken setzen, umso wichtiger werden Analyse-werkzeuge, mit denen Sie den Netzwerktraffic einer eingehenden Analyse unter-ziehen sowie Anomalien und Ungereimtheiten aufdecken können. Wireshark istder mit Abstand beliebteste Spezialist für die Netzwerk- und Protokollanalyse. MitWireshark gehen Sie Problemen auf den Grund, können Sie den Datentransferrekonstruieren und verschiedene statistische Auswertungen anstellen. Alles mitdem Ziel, die Vorgänge in Ihrem Netzwerk besser zu verstehen.

In diesem Handbuch lernen Sie, wie Sie mit dem Tool typische Administratorauf-gaben bewältigen. Das Buch beschränkt sich dabei auf die wesentlichen Aktionen,die im Admin-Alltag auf Sie warten, und verzichtet bewusst auf überflüssigenBallast. Zunächst lernen Sie Wireshark und seine wichtigsten Funktionen undHilfsmittel kennen, mit denen Sie den lokalen, aber auch entfernten Traffic auf-zeichnen können.

Die Suche nach Auffälligkeiten in den meist gigantischen Aufzeichnungen ist wiedie sprichwörtliche Suche nach der Nadel im Heuhaufen. Hier kommen Sie mitden mächtigen Filterfunktionen des Sniffers schneller an Ziel. Wireshark stelltIhnen verschiedene Hilfsmittel für die Traffic-Analyse und Auswertungen zurVerfügung. Deren Einsatz wird anhand typischer Praxisbeispiele erläutert, ebensodie Anpassungsmöglichkeiten des Programms.

Wenn Sie diesen Einstieg durchgearbeitet haben, sind Sie bestens für die grundle-genden Aufgaben der Netzwerkanalyse und alle weiteren Schritte gerüstet.

Herzlichst,

Holger Reibold

(Juni 2015)

Page 9: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

8 Vorwort

www.brain-media.de

Page 10: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Wireshark kennenlernen 9

Wireshark kompakt

1 Netzwerkanalyse mit Wireshark – derEinstieg

Der Job eines System- und Netzwerkadministrators ist alles andere als einfach,denn man muss nicht nur die verschiedensten Systeme und Infrastrukturkomponen-ten kennen, sondern auch permanent Problemen nachgehen und diese lösen.

Die Fehlersuche in einem Netzwerk ist häufig mit der sprichwörtlichen Suche nachder Nadel im Heuhaufen vergleichbar. Um zu erfahren, warum die Verbindungenzu einem lokalen Datenbankserver langsam sind und immer wieder abbrechen,warum ein DSL-Router permanent Internetverbindungen aufbaut oder welcheServices Daten nach außen übermitteln, benötigen Sie einen Netzwerk-Sniffer. Deranalysiert den Datentransfer über definierbare Netzwerkschnittstellen und gewährtIhnen teilweise tiefe Einblicke in den Traffic.

All das, und noch viel mehr, kann Wireshark leisten. In der Öffentlichkeit werdenTools zur Netzwerkanalyse häufig als Hacker-Werkzeug diskreditiert, da sie auchvon Hackern genutzt werden, um sich Zugang zu fremden Netzwerken zu ver-schaffen. Das absichtliche Abhören oder Protokollieren von fremden Funkverbin-dungen ist verboten, außer man besitzt hierfür die explizite Zustimmung des Netz-betreibers. Ungewolltes Abhören ist nach dem deutschen Telekommunikationsge-setz nicht strafbar. Allerdings sind die Speicherung, Weitergabe oder Verwendungder auf diesem Weg erlangten Informationen und Daten ebenfalls nicht zulässig.

Für Netzwerkadministratoren gehört Wireshark dennoch zur Grundausstattungeines Werkzeugkastens.

1.1 Wireshark kennenlernenWireshark, das früher Ethereal hieß, ist ein freies Programm zur Analyse vonNetzwerkkommunikationsverbindungen. Man bezeichnet solche Programme auchals Sniffer. Das Programm stellt entweder während oder nach der Aufzeichnungdes Datenverkehrs einer Netzwerkschnittstelle die Daten in Form einzelner Paketedar.

Das Besondere an dem Sniffer: Die Daten werden übersichtlich und für den Men-schen nachvollziehbar analysiert und aufbereitet. Sie können die Darstellung derMitschnitte mit Filtern gezielt auf bestimmte Informationen beschränken und sogar

Page 11: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

10 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Statistiken des Datenflusses erstellen oder binäre Inhalte wie beispielsweise Bilderextrahieren.

Eine weitere Besonderheit: Wireshark ist für alle relevanten Plattformen verfügbar.Sie können den Sniffer also unter Linux, Mac OS X und Windows einsetzen. UnterWindows zeichnet Wireshark den Datenverkehr transparent mit Hilfe von Win-Pcap auf. WinPcap gehört auch zum Standardinstallationspaket der Windows-Variante.

Ein erster Blick auf die Benutzeroberflächedes freien Netzwerk-Sniffers Wireshark.

Was macht Wireshark nun zu etwas Besonderem? Und warum sollte dieses Pro-gramm in jeden Admin-Werkzeugkasten gehören? Einige Besonderheiten desProgramms hatte ich ja bereits angesprochen, aber Wireshark kann noch weitmehr, als nur den Netzwerktraffic aufzeichnen und visualisieren.

Ich möchte mich an dieser Stelle nicht lange aufhalten und Ihnen die Grundlagender TCP/IP-Technologie, das OSI-Schichtenmodell etc. näher bringen. Sie sollten– und haben vermutlich – schon Bekanntschaft mit den Netzwerkgrundlagen ge-

Page 12: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Wireshark kennenlernen 11

Wireshark kompakt

macht. Falls nicht, sollten Sie sich ein wenig bei Wikipedia in die Materie einlesen.Es genügt vollkommen, wenn Sie grundlegende Netzwerkkenntnisse mitbringen.Alles Weitere erlernen Sie dann in der Praxis.

Wenn Sie Wireshark das erste Mal unter Windows starten, wird vermutlich folgen-de Fehlermeldung ausgegeben:

The NPF driver isn't running

Die besagt, dass der Treiber für die Netzwerkschnittstellen nicht geladen werdenkonnte. Die Lösung ist einfach: Starten Sie Wireshark als Administrator. Dazumarkieren Sie den Wireshark-Eintrag in der Schnellstart- oder Taskleiste mit derrechten Maustaste und führen den Befehl Als Administrator ausführen aus.

In diesen einleitenden Abschnitten möchte ich Ihnen in Kurzform zeigen, wie Siemit Wireshark arbeiten und welche Möglichkeiten Ihnen der Sniffer bietet. Nachdem Start finden Sie im linken Fensterbereich unter Capture die Netzwerkschnitt-stellen, die Wireshark aktuell erkennt und nutzen kann. Prinzipiell kann Wiresharkauch Remote-Schnittstellen überwachen; darauf kommen wir später zu sprechen.

Um den Traffic, der über die erste Netzwerkschnittstelle läuft, aufzuzeichnen undzu analysieren, wählen Sie in der Interface-Liste den Eintrag Eth0 oder LAN-Verbindung aus. Dann starten Sie die Aufzeichnung mit einem Klick auf die grüneHaiflosse. Im Wireshark-Hauptfenster können Sie nun verfolgen, wie der Roh-Traffic aussieht, der über die erste Netzwerkschnittstelle läuft.

Starten Sie nun Ihren E-Mail-Client und den Browser. Der E-Mail-Client prüftstandardmäßig Ihr Postfach auf neue E-Mails. Dazu müssen eine Verbindung zudem E-Mail-Server hergestellt und die Zugangsdaten an diesen übermittelt werden.Ähnliches passiert, wenn Sie im Browser die Web-Schnittstelle Ihres Postfachesansteuern oder sich bei einen Online-Dienst oder Shop anmelden.

Stoppen Sie dann die Aufzeichnung, indem Sie auf die rote Schaltfläche Stop therunning live capture in der Symbolleiste klicken. Wireshark hält die Aufzeichnungan und Sie können sich als Nächstes an die Auswertung machen. Die Analyse stelltIhnen verschiedenste Möglichkeiten zur Verfügung. Eine der wichtigsten Optionenist die Suche.

Page 13: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

12 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Die Analyse der Aufzeichnung kann beginnen.

Um die Suche zu öffnen, führen Sie die Tastenkombination Strg + N aus. Wire-shark präsentiert Ihnen den Suchdialog, der Ihnen verschiedene Suchoptionen und-parameter anbietet. Im Bereich By verwenden wir in diesem Quickstart die OptionString, um eine bestimmte Zeichenfolge zu suchen.

Die weiteren Suchoptionen für die Einschränkung der Suche sind die folgenden:

Suche in

String-Optionen

Richtung

Die Suche starten Sie mit einem Klick auf die Schaltfläche Find. Im vorliegendenBeispiel verwenden wir den Suchbegriff Password. Der steht für das Passwort, dasfür das Einloggen in den E-Mail-Server und den Online-Dienst benötigt wird.

Page 14: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Bedienelemente 13

Wireshark kompakt

Wireshark markiert die Fundstelle in der Aufzeichnung und Sie können direktermitteln, im welchem Zusammenhang ein Passwort an welchen Dienst übertragenwurde. Sie werden dabei häufig feststellen, dass die Passwörter unverschlüsseltübertragen werden. Damit sind sie für Hacker ein gefundenes Fressen.

Wireshark hat schnell und einfach den Traffic identifiziert,der für die Passwortübermittlung zuständig ist.

Da Wireshark automatisch das gefundene Paket markiert und ansteuert, ist es ein-fach, die relevanten Informationen auszuwerten. Damit haben Sie einen erstenEindruck, was Sie mit Wireshark konkret anfangen können.

1.2 BedienelementeBevor wir uns den weiteren Möglichkeiten widmen, die Wireshark bietet, möchteich noch kurz auf die wesentlichen Bedienelemente der Benutzeroberfläche zusprechen kommen.

Page 15: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

14 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Die Kopfzeile zeigt Ihnen die Bezeichnung der Aufzeichnungsdatei an – sofern Siediese gespeichert haben. Hier werden auch die Bezeichnung der überwachtenSchnittstelle und die verwendete Wireshark-Version angezeigt.

Es folgt die Menüleiste, über die nahezu die gesamte Funktionalität des Analyse-werkzeugs bereitsteht. Es folgt die Symbolleiste, die die am häufigsten verwende-ten Befehle zur Verfügung stellt. Die Funktionen dieser Leiste sollten Sie im Laufeder Zeit aus dem Effeff kennen.

Die Filterfunktion von Wireshark.

Die Filterfunktion ist eine essentielle Funktion, mit der Sie gezielt die Darstellungder Aufzeichnungen beschränken können. Der Filter hilft Ihnen dabei, die Datenherausfiltern, die für Sie relevant sind. Die Filterfunktion erlaubt das Sichern vonFilterkonfigurationen, um später auf diese zurückgreifen zu können.

Die Paketliste.

In der sogenannten Paketliste werden die aufgezeichneten Pakete aufgeführt. In derListe werden die Pakete durchnummeriert und mit einem Zeitstempel versehen.Der Zeitstempel beginnt dabei mit dem Wert 0, der den Beginn der Aufzeichnungmarkiert. Die Paketliste führt folgende Spalten auf:

Quelle

Ziel

Protokoll

Länge

Page 16: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Bedienelemente 15

Wireshark kompakt

Informationen

Über die Spaltenköpfe können Sie die Listeneinträge sortieren und somit bei-spielsweise die Darstellung nach den Zielsystemen sortieren.

Als Nächstes präsentiert Ihnen Wireshark die Liste der Paketdetails. Den Detailskann man entsprechend dem OSI-Schichtenmodell die Details zu den verschiede-nen Paketen entnehmen. Dabei enthält der erste Eintrag den gesamten Daten-Frame. Welche weiteren Einträge existieren, ist von Paket zu Paket unterschied-lich. Nachstehendes Beispiel zeigt beispielsweise weitere Details zu IP, TCP undPOP. Über Pluszeichen bzw. Dreiecke können Sie weitere Details entnehmen.

Die Paketdetails.

Es folgt die Byte- bzw. Rohdatenansicht. In dieser Ansicht können Sie die Infor-mationen, die in den Paketen enthalten sind, in hexadezimaler und ASCII-Ansichteinsehen.

Page 17: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

16 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Die Paketdetails und die Rohdatenansicht.

Die verschiedenen Ansichten sind miteinander verknüpft und Sie können durch diePaketdetails zu den Rohdaten navigieren.

Insbesondere in der ASCII-Datendarstellung können Sie die übermittelten Informa-tionen einsehen. Wie wir im weiteren Verlauf noch sehen werden, können Sieinnerhalb der Programmoberfläche eine Fülle weiterer Funktionen ausführen.

Die Statusleiste von Wireshark.

Den Abschluss nach unten bildet die Statusleiste, die Ihnen verschiedene Funktio-nen und Informationen zur Verfügung stellt. Links finden Sie das Info-Symbol, dasIhnen den sogenannten Info-Status anzeigt.

Das Notiz-Symbol stellt Ihnen Platz für Ihre Anmerkungen zur aktuellen Auf-zeichnung zur Verfügung. Haben Sie die Aufzeichnung als Capture-Datei gespei-chert, verrät die Statuszeile Ihnen auch den Pfad. Der Statuszeile können Sie au-ßerdem die Anzahl der Pakete und das gewählte Capture-Profil entnehmen.

Page 18: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Was Wireshark so alles kann 17

Wireshark kompakt

Durch den Einsatz von Kontextmenüs istWireshark besonders benutzerfreundlich.

1.3 Was Wireshark so alles kannWireshark ist laut der Website SecTools.org das beliebteste Sicherheitswerkzeug –noch weit vor anderen namhaften Tools. Laut Angaben der Entwickler wird derSniffer Monat für Monat über 500.000 Mal von der Projekt-Site heruntergeladen.Dabei sind nicht die Downloads mitgezählt, bei denen Wireshark ein tragendesElement ist. Man denke beispielsweise an Kali Linux.

Wireshark verdankt seine Verbreitung sicherlich auch dem Umstand, dass dasProgramm für alle relevanten Betriebssystemplattformen verfügbar ist. Inzwischengibt es sogar einen abgespeckten Android-Client und eine portable Version.

Auch wenn es auf den ersten Blick nicht unbedingt offensichtlich ist, zeichnet sichWireshark durch eine hohe Benutzerfreundlichkeit aus – zumindest gilt das für ein

Page 19: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

18 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Programm dieser Art. Insbesondere durch den Einsatz von Kontextmenüs der rech-ten Maustaste ist Wireshark benutzerfreundlich. Die Menüs bieten unterschiedlicheFunktionen, abhängig davon, welche Elemente Sie in Wireshark markieren.

Die Kernaufgaben von Wireshark sind die Fehlererkennung, die Sicherheitsanalyseund -prüfung sowie die Fehlerbehebung in Ihrem Netzwerk. Dabei wird üblicher-weise zunächst der Datenverkehr aufgezeichnet und dann im nächsten Schritt ana-lysiert.

Wireshark unterstützt vielfältige Formate.

Das Besondere dabei: Sie können Ihre Aufzeichnungen in unzähligen verschiede-nen Formaten sichern und somit auch problemlos anderen Anwendern zur Verfü-gung stellen. Standardmäßig werden die Aufzeichnungen, auch Captures genannt,im PCAPNG-Format gesichert.

Page 20: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Die zentralen Aufgaben 19

Wireshark kompakt

Wireshark verwendet für die Dekodierung der aufgezeichneten Daten sogenannteDissektoren, die die Daten zerlegen und aus den übermittelten Datenpaketen dieDatenfelder und Netzwerk-Frames identifizieren und anschließend darstellen.

Nicht immer, aber doch in vielen Fällen können diese Dissektoren auch die Inhalteder Frame interpretieren. Das wiederum kommt den Anwendern zugute, denn da-mit vereinfacht sich die Analyse und Interpretation der Informationen, die Ihnender Sniffer präsentiert.

Da Wireshark ein klassisches Open Source-Projekt mit einer großen Communityund Fangemeinde ist, wurden im Laufe der Jahre Tausende solcher Dissektorenentwickelt, die gängige Anwendungen und Protokolltypen analysieren können.Wireshark setzt dabei auf Lua für die Entwicklung von Dissektoren, aber auch vonsogenannten Taps.

1.4 Die zentralen AufgabenDie wichtigsten Aufgabenbereiche von Wireshark sind die allgemeine Netzwerk-analyse, die Fehlersuche, die Sicherheitsprüfung und die Programmanalyse. Fürjeden dieser Bereiche bietet Wireshark umfangreiche Funktionen.

Wenn Sie Ihr Netzwerk zunächst einer allgemeinen Analyse unterziehen wollen, sobietet Wireshark hierfür interessante Möglichkeiten. Sie können beispielsweiserecht einfach herausfinden, welches die „geschwätzigsten“ Systeme sind. Sie kön-nen den typischen Datenverkehr als Klartext darstellen und die typischen Kommu-nikationsvorgänge ermitteln.

Sie können mit Hilfe von Wireshark herausfinden, ob die typischen Netzwerkfunk-tionen in Ihrem Netzwerk ordnungsgemäß funktionieren und auf welchen Hostswelche Dienste und Programme laufen.

Da die drahtlose Kommunikation längst ein essentieller Bereich der Netzwerk-kommunikation ist, müssen Sie wissen, welche Rechner sich Zugang zu IhremNetzwerk verschaffen wollen. Auch das kann Wireshark für Sie ermitteln.

Sie können mit Wireshark allerdings nicht nur eine Schnittstelle oder ein lokalesNetzwerk überwachen, sondern auch mehrere. Dabei ist das Aufzeichnen und Ana-lysieren des ein- und ausgehenden Datenverkehrs eines bestimmten Hosts oderSubnetzes möglich. Sie können auch den HTTP- und FTP-Datentransfer aufzeich-nen und gegebenenfalls rekonstruieren.

Ich hatte es oben angedeutet, dass Wireshark die Aufzeichnungen in verschiedenenFormaten sichern bzw. die Daten in verschiedene Formate exportieren kann. Aberauch der umgekehrte Weg ist möglich: Sie können die Daten anderer Sniffer in

Page 21: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

20 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Wireshark importieren und profitieren dann von den Analysefunktionen, die IhnenWireshark zur Verfügung stellt.

Eine der beliebtesten Aktionen für den Einstieg in Wireshark ist die Aufzeichnungdes Traffics im eigenen Netzwerk in Ruhezustand, also dann, wenn keine Clientsoder Server in irgendeiner Form aktiv sind. Sie werden nicht schlecht staunen, wiehoch dieses „Grundrauschen“ Ihres Netzwerks ist. Wir kommen weiter untenkonkret darauf zu sprechen.

Das Grundrauschen eines Netzwerks ist beachtlich. Hier fallenuntypische Netzwerkaktivitäten besonders schnell auf.

Page 22: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Fehlersuche 21

Wireshark kompakt

1.5 FehlersucheNeben der allgemeinen Netzwerkanalyse unterstützt Sie Wireshark insbesonderebei der Fehlersuche. Mit Hilfe des Sniffers können Sie beispielsweise Verzögerun-gen beim Datenverkehr zwischen Clients und Servern oder anderen relevantenDiensten ermitteln. Mit Wireshark kommen Sie TCP- und HTTP-Proxy-Problemengenauso auf die Spur, wie den Fehlermeldungen von bestimmten Applikationen.

Wireshark unterstützt Einsteiger und Profisdurch die Wiki-Integration gleichermaßen.

Kommen Ihnen bei der Traffic-Analyse bestimmte Einträge merkwürdig oderverdächtig vor, können Sie diese aber mangels Erfahrung nicht auf den erstenBlick interpretieren, hilft Ihnen die Wiki-Integration weiter. In der Detailansichtsteht über das Kontextmenü der rechten Maustaste das Wireshark-Wiki mit denentsprechenden Einträgen zur Verfügung.

Page 23: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

22 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Mit Hilfe von Wireshark können Sie auch verminderte Datendurchsätze identifizie-ren, doppelte IP-Adressen ermitteln und überfüllte Datenpuffer identifizieren.

Sie können Wireshark auch dafür verwenden, um die Signalstärke in einem WLANanzuzeigen und um deren Qualität zu prüfen. Sie kommen mit Wireshark wieder-holten drahtlosen Verbindungsversuchen auf die Schliche.

Wireshark kann insbesondere gängige Fehlkonfigurationen im lokalen Netzwerkermitteln und alle jene Anwendungen identifizieren, die einen unverhältnismäßighohen Datendurchsatz und Traffic generieren.

Keine offene Fragen: Ask Wireshark liefertdie Antworten auf all Ihre Fragen.

Wireshark-Anwender profitieren beim Einsatz des Sniffers von der langen Traditi-on und der riesigen Community, die das Tool pflegt und dokumentiert. Wenn Siemit dem Wiki nicht weiterkommen, steht Ihnen mit Ask Wireshark(http://ask.wireshark.org) eine tolle Plattform zur Verfügung, in der Sie Ihre Fra-gen und Probleme loswerden können. Dort bleibt keine Frage unbeantwortet – imGegenteil. Im Mai 2015 gab es zu 8748 bisher gestellten Fragen sage und schreibe9903 Antworten.

Page 24: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Sicherheitschecks 23

Wireshark kompakt

1.6 SicherheitschecksDen dritten wichtigen Bereich, den Wireshark abdeckt, sind die Sicherheitsprüfun-gen. Sie können den Sniffer sogar als forensisches Werkzeug einsetzen.

Sie können mit Wireshark recht einfach all die Applikationen in Ihrem Netzwerkidentifizieren, die keine Standard-Ports verwenden. Der Sicherheitsspezialist taugtauch dazu, ein- und ausgehenden Traffic von verdächtigen Hosts zu erkennen.

Trojaner, Backdoors und andere unerwünschte Prozesse haben häufig die Eigen-schaft, den Angreifer über den aktuellen Status und neue Informationen zu infor-mieren. Derartige Muster kann Wireshark genauso ermitteln, wie den ein- undausgehenden Datenverkehr von verdächtigen Hosts.

Mit seinen Prüffunktionen kann Wireshark sogar Prozesse identifizieren, die ver-suchen, das eigene Netzwerk auszukundschaften. Nicht minder interessant ist dieMöglichkeit, die Zieladressen dieses Traffics zu lokalisieren und zu kartographie-ren.

Wireshark kann auch fragwürdige Umleitungen und verdächtige Frames entde-cken. Der Sniffer kennt außerdem die bekannten Signaturen von Kennwortatta-cken.

1.7 ProgrammanalyseDen letzten Funktionsbereich, den Wireshark noch zu bieten hat, ist die Prog-rammanalyse. Sie können sich mit dem Sniffer über die Funktionsweise von akti-vierten Netzwerkprogrammen und -diensten informieren. Der Sicherheitsspezialisterlaubt die Auswertung und grafische Aufbereitung der Bandbreitennutzung. Siekönnen mit Wireshark auch Fehlermeldungen von Programmen und den damitbereitgestellten Diensten nachgehen.

Auch die Darstellung, welche Benutzer welches Programm verwenden, beherrschtWireshark. Last but not least können Sie mit Wireshark ausfindig machen, wieProgramme beispielsweise die Transportprotokolle TCP und UDP verwenden.

1.8 Wireshark in Betrieb nehmenSind Sie von den Möglichkeiten und der Funktionalität von Wireshark überzeugt,können Sie sich im nächsten Schritt der Installation des Sniffers zuwenden undWireshark in Betrieb nehmen.

Page 25: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

24 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Laden Sie sich dazu zunächst die aktuelle Wireshark-Version herunter. Die trägtim Mai 2015 die Programmbezeichnung 1.12.x. Unter Windows ist die Installationwirklich ein Kinderspiel. Starten Sie mit einem Doppelklick auf die Installations-datei die Installationsroutine.

Sie müssen zunächst den Lizenzbedingungen zustimmen. Im zweiten Schritt er-folgt die Auswahl der zu installierenden Komponenten. Hier sind in der Regelkeine weiteren Anpassungen erforderlich.

Die Auswahl der zu installierenden Wireshark-Komponenten.

Bestimmen Sie im nächsten Dialog, welche Systemverknüpfungen Sie anlegenwollen und mit welchen Dateierweiterungen Sie den Sniffer verknüpfen wollen.

Der nächste Schritt dient der Konfiguration des Zielverzeichnisses. Stimmen Sieim Folgedialog der Installation von WinPcap zu. Das ist ein Treiber, der durch denHardware-nahen Zugriff auf die Netzwerkkarte das Sammeln der übertragenenDaten erlaubt.

Mit einem abschließenden Klick auf Install starten Sie dann die Installation. Siekönnen den Installationsvorgang in einer Fortschrittsanzeige verfolgen. Während

Page 26: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Die Aufzeichnung des Datenverkehrs 25

Wireshark kompakt

der Installation müssen Sie auch der WinPcap-Installation und der zugehörigenLizenz zustimmen. Zum Abschluss können Sie Wireshark das erste Mal starten.

Unter alternativen Betriebssystemen ist die Installation von Wireshark ebenfallseinfach durchzuführen. Bei den meisten Linux-Distributionen lässt sich Wiresharkeinfach mit Hilfe des jeweiligen Paketmanagers installieren. Wenn Sie Wiresharkunter Mac OS X verwenden wollen, müssen Sie zunächst die X11-Komponenteninstallieren. Anschließend steht einer Installation auf einem Apple-Rechner nichtsim Weg.

Wireshark unter Mac OS X.

1.9 Die Aufzeichnung des DatenverkehrsGrundlegende Netzwerkkenntnisse sind für die Verwendung von Wireshark uner-lässlich. Wenn Sie dann auch noch wissen, wie Wireshark die Daten aufzeichnet,steht einer erfolgreichen Netzwerk- und Traffic-Analyse nichts mehr im Wege.

Die Aufzeichnungen von Wireshark basieren auf einer flexiblen Architektur, dieerst durch spezielle Treiber möglich wird. Ein Computer, der eine Netzwerkver-bindung per Ethernet oder einen WLAN-Adapter herstellt, verwendet hierfür zu-

Page 27: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

26 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

nächst einen spezifischen Netzwerkadapter und einen sogenannten Link Layer-Treiber.

Wireshark kann über diese beiden Komponenten direkt auf den Netzwerkverkehrzugreifen und diesen aufzeichnen und für die anschließende Analyse bereitstellen.

In der Praxis verwendet Wireshark für das Einlesen des Traffics die beiden TreiberWinPcap und libpcap. WinPcap ist die Windows-Variante des Pcap-Treibers, dieBibliothek libpcap kommt bei unixartigen Betriebssystemen zum Einsatz.

Sowie Sie die Datenaufzeichnung beginnen, startet Wireshark eine kleines Hilfs-programm: dumpcap. Dieses Hilfsprogramm ist für die eigentliche Aufzeichnungzuständig. Konkret reicht das Utility die Frames mit Hilfe eines speziellen LinkLayer-Treibers an das Aufzeichnungsmodul von Wireshark, die so genannte Cap-ture Engine, weiter.

Wireshark stellt Ihnen nun zwei Filter für die gezielte Einschränkung der Aus-gangsdaten zur Verfügung:

Capture Filter

Display Filter

Die Capture Filter kommen auf der netzwerknahen Ebene zum Einsatz und erlau-ben es Ihnen, den aufzuzeichnenden Traffic frühzeitig einzuschränken. Sie könnendie Aufzeichnung beispielsweise auf diesem Weg auf IP- oder HTTP-Traffic be-grenzen.

Page 28: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Die Aufzeichnung des Datenverkehrs 27

Wireshark kompakt

Die Konfiguration der Capture-Filter.

Die Display-Filter dienen nach der Aufzeichnung dazu, die bereits gesammeltenInformationen zu bündeln und dann zu filtern. Über die Capture-Optionen kannman genau bestimmen, welche Pakete von dumpcap aufgezeichnet werden.

Nachdem dumpcap die Daten an die Capture Engine übergeben hat, werden diedort von der Core Engine und den verfügbaren Dissektoren, Plug-ins und schließ-lich den Display-Filtern verarbeitet. Die Dissektoren splitten die Daten-Frames indie verschiedenen Datenfelder auf und Sie können häufig bereits eine Analyse derDatenfelder bzw. der Inhalte in diesen Feldern durchführen.

Page 29: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

28 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Frames und Pakete.

1.10 Datenpaket versus FrameWir sind im bisherigen Verlauf dieses Einstiegs in die Netzwerkanalyse mit Wi-reshark immer wieder den beiden Begriffen Datenpakete, oder kurz Paket, undFrames begegnet. Damit Sie immer genau wissen, wovon hier die Rede ist, solltenSie die Merkmale der beiden und deren Unterschiede kennen.

Im Zusammenhang mit Wireshark beschreibt ein Frame einen Kommunikations-vorgang auf der MAC-Ebene inklusive dem MAC-Header und Trailer. Die Kom-munikation zwischen zwei Geräten bzw. Diensten erfolgt dabei auf Frame-Basis.

Nun bezeichnet Wireshark in der Paketliste die verschiedenen Einträge in chrono-logischer Abfolge als Frame 1, Frame 2 etc. Diese Kennzeichnung ist allerdingsein wenig irreführend, denn der erste Abschnitt enthält lediglich einen Header, denWireshark anlegt.

Der Frame, von dem wir hier sprechen, beginnt in obigem Beispiel erst mit demzweiten Eintrag Ethernet II. Alle Informationen oberhalb dieses Elements sindWireshark-eigene Metadaten. Unser Frame umfasst alle weiteren Inhalte bis ein-schließlich dem Hypertext Transfer Protocol-Knoten.

Page 30: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Einstieg in die praktische Analyse des Datenverkehrs 29

Wireshark kompakt

Beim einem Paket handelt es sich um den Inhalt eines MAC-Frames. In unseremBeispiel beginnt das Paket mit den IP-Kopfzeilen und endet unmittelbar vor derMAC-Fußzeile.

1.11 Einstieg in die praktische Analyse des Da-tenverkehrs

Anhand eines zweiten Workshops möchte ich Ihnen als Nächstes zeigen, wie Siedie wichtigsten Funktionen von Wireshark in der Praxis einsetzen und welcheweiteren Funktionen Sie kennenlernen sollten, um effektiv mit dem Sniffer arbei-ten zu können.

In diesem kleinen Workshop verwenden wir einen Browser, steuern Google an undführen eine Suche mit einem Suchbegriff durch. Dazu starten Sie in Wireshark eineneue Capture-Session, starten dann einen Browser und steuern damit Google an.Im Browserfenster geben Sie dann einen beliebigen Suchbegriff ein. Nachdem imBrowser das Suchergebnis ausgegeben wird, beenden Sie die Aufzeichnung.

Das File-Menü stellt Ihnen die wichtigsten datei-spezifischen Funktionen zur Verfügung.

Page 31: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

30 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Diese Aktionen sind bislang nichts Neues für Sie, aber um ein Maximum aus demProgramm herausholen, sollten Sie insbesondere mit den wichtigsten Funktionenund Bedienelementen vertraut sein. Das Hauptmenü stellt Ihnen folgende Funktio-nen zur Verfügung:

File: Das Dateimenü erlaubt Ihnen das Öffnen von einer oder mehrerenCapture-Dateien. Hier finden Sie auch verschiedene Exportmöglichkeiten.

Edit: Im Bearbeiten-Menü finden Sie umfangreiche Such- und Markie-rungsmöglichkeiten. Auch die Programmeinstellungen sind über diesesMenü verfügbar.

View: Das Ansichten-Menü erlaubt Ihnen die Anpassung der Ansicht, dieIhnen Wireshark präsentiert. Sie können beispielsweise die Paketliste und-details ein- und ausschalten. Sollte Ihnen die Farbzuordnung nicht zusa-gen, die Wireshark den verschiedenen Elementen und Inhalten zuweist,können Sie diese mit dem Untermenü Coloring Rules ändern.

Die Einstellungen für die farbige Kennzeichnung der aufgezeichneten Daten.

Page 32: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Einstieg in die praktische Analyse des Datenverkehrs 31

Wireshark kompakt

Go: Dieses Menü dient der Navigation in den zu analysierenden Daten.Sie können dabei insbesondere von Paket zu Paket springen.

Capture: Die Funktionen dieses Menüs dienen insbesondere der Auswahlund Konfiguration der zu überwachenden Schnittstellen. Sie können aberauch die Capture-Optionen und die Capture-Filter anpassen.

Analyze: Dieses Menü dient in erster Linie der Auswahl der Darstellungs-filter. Sie können damit beispielsweise die dem Standardprofil zugeordne-ten Filter bearbeiten. Ihnen stehen aber auch Dekodierfunktionen zur Ver-fügung. Sie können außerdem verschiedenen Streams folgen.

Die Filter des Standardprofils.

Statistics: An Daten und Informationen wird es Ihnen bei der Verwen-dung von Wireshark nie mangeln. Das zeigt ein erster Blick in der MenüStatistics. Sie können allgemeine statistische Zahlen über dieses Menü ab-

Page 33: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

32 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

rufen, aber auch jede Menge Details bis hin zu aufwändigen grafischenAufbereitungen des Datenverkehrs. Ein Bespiel hierfür ist die grafischeAnalyse, wie Sie in nachstehender Abbildung dargestellt ist.

Alle Achtung: Die grafische Traffic-Auswertung zeigt Ihnengenau, wie und wo welche Daten transferiert wurden.

Telephony: Das Telefonie-Menü stellt Ihnen umfangreiche Analyse- undAuswertungsfunktionen für den Telefonverkehr zur Verfügung. Insbeson-dere VoIP- und SIP-Verbindungen können mit Wireshark untersucht wer-den.

Tools: Mit den Funktionen dieses Untermenüs können Sie die Firewall-Regeln für eine geöffnete Capture-Konfiguration anpassen und auf dieLUA-Funktionen zugreifen.

Internals: Das Interna-Untermenü bietet Ihnen die Möglichkeit, die Dis-sektoren-Tabellen des Sniffers einzusehen. Die Tabellen sind in dem zu-gehörigen Dialog auf drei Registerkarten verteilt:

Page 34: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Einstieg in die praktische Analyse des Datenverkehrs 33

Wireshark kompakt

o Stringo Integero Heuristisch

Wenn Sie exakt wissen wollen, welche Protokolle Wireshark tatsächlichunterstützt, so können Sie das dem Untermenü Supported Protocols ent-nehmen.

Abb. 22: Die Tabelle der Dissektoren.

Help: Im letzten Menü finden Sie verschiedene Hilfen und weiterführendeInformationen.

Page 35: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

34 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

1.12 WerkzeugleisteWährend über die Menüleiste fast alle Funktionen von Wireshark zur Verfügungstehen, sind die wichtigsten Funktionen über die Symbolleiste verfügbar. Diesesind in Gruppen zusammengefasst, die ähnliche Funktionen bieten. Der erste Teilder Symbolleiste sieht wie folgt aus:

Ein Teil der Wireshark-Symbolleiste.

Mit Hilfe der Symbolleiste vereinfacht sich die Nutzung und Steuerung von Wi-reshark deutlich, denn Sie können schnell und einfach auf die wichtigsten Funktio-nen zugreifen. Die erste Funktionsgruppe bezieht sich auf das Aufzeichnen derNetzwerkaktivitäten. Die Belegung der Symbole sieht wie folgt aus:

- Zeigt die Schnittstellenliste an. Dabei muss es sich nicht nur umNetzwerkschnittstellen handeln. Auch Bluetooth-Schnittstellen werdenangezeigt. Der Dialog erlaubt auch das Öffnen der Capture-Optionen.

Die Auswahl der Schnittstelle.

- Zeigt die Capture-Optionen, also die Aufzeichnungsoptionen an,über die Sie beispielsweise die Schnittstellen verwalten und die Capture-Filter bestimmen.

- Beginnt die Aufzeichnung entsprechend der Capture-Einstellungen.

Page 36: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Werkzeugleiste 35

Wireshark kompakt

- Stoppt die laufende Aufzeichnung.

- Startet die aktuelle Capture-Konfiguration erneut.

Es folgt als Nächstes die Funktionsgruppe mit den dateispezifischen Aktionen.Diese Funktionen erlauben insbesondere das Speichern und Öffnen von Aufzeich-nungen:

Die dateispezifischen Funktionen im Detail:

- Öffnet eine gespeicherte Aufzeichnung. Am Einfachsten erfolgtdas Öffnen allerdings über die Startseite von Wireshark.

- Sichert die Aufzeichnung. Sie können dabei das Zielverzeichnisbestimmen.

- Schließt die aktuelle Capture-Datei. Sie können in Wireshark meh-rere Aufzeichnungen gleichzeitig öffnen und ausführen.

• - Führt einen Reload der Capture-Datei aus.

Die Navigationsfunktionen innerhalb vom Wireshark.

Page 37: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

36 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Die nächste Befehlsgruppe fasst die verschiedenen Funktionen für die Suche undNavigation in Ihren Aufzeichnungen zusammen. Dabei stehen Ihnen insgesamtsechs Funktionen zu Verfügung:

- Mit einem Klick auf dieses Symbol öffnen Sie die Suche, mit derSie Ihre Aufzeichnungen nach Zeichenfolgen durchforsten können. DieSuche bietet Ihnen verschiedene Beschränkungsmöglichkeiten.

- Klicken Sie auf diese Schaltfläche, um in der History einen Ein-trag zurück zu springen.

- Hiermit springen Sie im Verlauf einen Eintrag nach vorne.

- Mit einem Klick auf diese Schaltfläche öffnen Sie den Dialog GoTo Packet und geben dann in dem Eingabefeld Packet number den Zah-lenwert an.

Die Sprungfunktion.

- Um zum ersten Paket zurückzuspringen, klicken Sie auf dieseSchaltfläche.

- Klicken Sie auf diese Schaltfläche, um zum letzten Paket in derPaketliste zu springen.

Page 38: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Werkzeugleiste 37

Wireshark kompakt

Die nächste Gruppe umfasst zwei Schaltflächen, deren Funktionen sich auf diePaketliste beziehen:

Die Funktionen für die Paketliste.

Die beiden Funktionen sind aktiviert. Die linke Funktion sorgt für die farbigeKennzeichnung der Einträge in der Paketliste. Hinter der rechten Funktion verbirgtsich die AutoScroll-Funktion, die dafür sorgt, dass die Paketliste bei der Aufzeich-nung neuer Pakete automatisch nach unten scrollt.

Die vorletzte Gruppe stellt Ihnen Funktionen für die Begutachtung der Daten zurVerfügung. Sie können den aufgezeichneten Traffic, genauer die Darstellung ver-größern und verkleinern sowie die Ansicht wieder auf die Standardgröße reduzie-ren.

Die Vergrößerungs- und Verkleinerungsfunktion.

Mit Hilfe der beiden links befindlichen Symbole können Sie die Ansicht IhrerAufzeichnungen verkleinern und vergrößern. Mit der 1:1-Ansicht kehren Sie zurAusgangsansicht zurück. Mit einem Klick auf das rechte Symbol passen Sie dieSpaltenbreite an.

Es folgt die vorletzte Symbolgruppe, die Ihnen insbesondere Filter- und Capture-Einstellungen zur Verfügung stellt:

Die vorletzte Funktionsgruppe.

In dieser Gruppe stehen Ihnen folgende Funktionen zur Verfügung:

Page 39: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

38 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

- Öffnet die Capture-Filtereinstellungen, über die Sie genau festle-gen können, welche Filter zum Einsatz kommen sollen und welche nicht.

- In diesem Dialog legen Sie entsprechend fest, welche Display-Filter zum Einsatz kommen sollen.

- Auch diesen Dialog kennen Sie bereits: Hier bestimmen Sie dieFarben, die zur Kennzeichnung der Inhalte verwendet werden.

- Hier finden Sie die Programmeinstellungen von Wireshark, überdie Sie insbesondere die Bedieneroberfläche anpassen können.

Das letzte Symbol der Wireshark-Symbolleiste ist Ihr digitaler Rettungsanker, derdie Gestaltung eines Rettungsrings besitzt. Ein Klick auf folgendes Symbol öffnetdie englischsprachige Hilfe von Wireshark:

1.13 Filterfunktionen im GriffUnterhalb der Symbolleiste finden Sie die Filterfunktionen, über die Sie die vonWireshark aufgezeichneten Informationen gezielt nach unterschiedlichen Kriterienfiltern können. Damit steht Ihnen eine der wichtigsten Funktionen für das Aufspü-ren der gesuchten Informationen zur Verfügung. Die Filter unterstützen Sie bei dersprichwörtlichen Suche nach der Stecknadel im Heuhaufen. Wireshark sammeltnicht selten Tausende oder gar Zehn- oder Hunderttausende Datenpakete. Diesemanuell zu sichten und zu analysieren ist nahezu unmöglich.

Die Filterleiste.

Damit Ihnen keine relevanten Informationen entgehen, müssen Sie die Filterfunk-tionen kennen und einzusetzen wissen. Wenn Sie beispielsweise entsprechend

Page 40: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Filterfunktionen im Griff 39

Wireshark kompakt

obigem Beispiel den Datenverkehr analysieren wollen, können Sie einfach anderenDatenverkehr ausblenden.

Die Auswahl einer gespeicherten Filterkonfiguration.

Mit einem Klick auf Filter öffnen Sie den oben kurz vorgestellten Dialog der Dis-play-Filter. Über das Auswahlmenü greifen Sie auf die gespeicherten Filter zu.

Das Anlegen von Filterausdrücken.

Rechts neben dem Auswahlmenü finden Sie weitere wichtige Filterfunktionen. Miteinem Klick auf Expression öffnen Sie den gleichnamigen Dialog, in den Sie Ihre

Page 41: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

40 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

eigenen Filterausdrücke bauen können. Dabei stehen Ihnen umfangreiche Proto-kollauswahlmöglichkeiten zur Verfügung, die Sie mit logischen Operatoren undeigenen Wertangaben kombinieren können.

Die Filterleiste umfasst vier weitere Funktionen: Mit einem Klick auf Clear leerenSie das Filterfeld und die Anzeige wird auf den Ausgangspunkt zurück versetzt.Mit Apply wenden Sie einen Filter an und die Darstellung wird entsprechend derFilterkonfiguration eingeschränkt.

Sie können auch sehr bequem eine neue Filterkonfiguration zur späteren Wieder-verwendung sichern. Dazu klicken Sie auf Save. Schließlich wenden Sie den letz-ten Eintrag aus dem Auswahlmenü mit einem Klick auf Filter an.

Die drei Infobereiche Paketliste, Detailansicht und Byte-Ansicht.

1.14 Die Ansichten im DetailUnterhalb der Symbol- und Filterleiste finden Sie die eigentlichen Daten, die Wi-reshark aufgezeichnet hat und die Sie dann analysieren können. Von oben nachunten präsentiert Ihnen Wireshark die Paketliste, gefolgt von der Detailansicht undder Byte-Ansicht. Auch diese Ansichten und die darin verfügbaren Funktionensollten Sie kennen und soweit es sinnvoll und notwendig ist, sich darin zielgerich-tet bewegen können.

Page 42: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Die Ansichten im Detail 41

Wireshark kompakt

In der Paketansicht können Sie sich schnell und einfach durch die Paketliste bewe-gen und sich einen ersten Überblick verschaffen, welche Hosts miteinander kom-muniziert haben. Sie können dieser Übersicht auch entnehmen, welche Programmedabei zum Einsatz kamen.

In der Paketliste werden standardmäßig sieben Spalten mit Informationen ange-zeigt. Standardmäßig sind alle sieben Spalten aktiviert, können aber auch gezieltein- und ausgeblendet werden. In der Paketliste finden Sie die folgenden Spalten:

Spaltennummer: Wireshark nummeriert die Frames der Reihe nachdurch. Die Frames werden standardmäßig in der durchnummerierten Ab-folge aufgelistet. Sie können die Reihenfolge leicht ändern, indem Sie indie Spaltenüberschrift klicken.

Zeit: Die zweite Spalte trägt die Bezeichnung Time und führt die Framesin chronologischer Reihenfolge der Aufzeichnung auf. Dabei wird nichtder aktuelle Zeitpunkt verwendet, sondern die Reihenfolge beginnt beimWert 0.0. Zu allen nachfolgenden Frames wird dann das Zeitintervall seitBeginn der Aufzeichnung aufgeführt. Auch in dieser Spalte können Siedie Reihenfolge mit einem Klick auf den Spaltenkopf umkehren.

Quelle: Dieser Spalte können Sie die Adresse der höchsten verfügbarenNetzwerkschicht eines Frames entnehmen, das von der Quelle aus versen-det wurde. Meist handelt es sich dabei um die IP-Adresse, aber manchmalkann auch nur die MAC-Adresse identifiziert werden.

Ziel: Zu jeder Quelle gehört auch ein Ziel. Dieser Spalte entnehmen Siedie Zieladressen der übermittelten Frames. Auch hier werden entwederIP- oder MAC-Adressen eingeblendet. Wie Sie obiger Abbildung ent-nehmen können, werden bei dieser Beispielaufzeichnung immer IP-Adressen angezeigt.

Protokoll: In der vierten Spalte wird das verwendete Protokoll aufgeführt,das für die Übermittlung der Daten-Frames verwendet wurde. Dabei wer-den die oben erwähnten Dissektoren verwendet. Diese Spalte ist hilfreich,um die Ansicht nach bestimmten Daten-Traffics zu sortieren.

Länge: In der Spalte Length wird die Gesamtlänge der Daten-Frames auf-geführt. So erkennen Sie schnell, ob bestimmte Anwendungen kleine odereher größere Datenpakete transferieren.

Info: In der siebten und letzten Spalte werden ergänzende Informationenzu den Frames aufgeführt. Dort können Sie beispielsweise schnell undeinfach erkennen, ob es sich um DNS-Abfragen oder HTTP-Requestshandelt.

Page 43: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

42 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Wie bereits erwähnt, können Sie die Spalten mit einem Klick auf den Spaltentitelneu sortieren. Haben Sie die Sortierung mit einem Klick geändert, können Sie siemit einem erneuten Klick wieder rückgängig machen.

Sie können auch die Spaltenreihenfolge ändern. Dazu klicken Sie auf einen Spal-tenkopf und ziehen diesen mit gedrückter linker Maustaste an die neue Position.Sie können auch einzelne oder auch mehrere Spalten ausblenden.

Das Ein- und Ausblenden von Spalten.

Sie können eine einzelne Spalte einfach ausblenden, indem Sie den Spaltenkopfmit der rechten Maustaste markieren und dann aus dem Kontextmenü den BefehlHide Column ausführen. Mit Hilfe des Untermenüs Displayed Column können Siegezielt weitere Spalten aus- und wieder einblenden. Ich hatte es oben bereits ange-deutet: Sie können mit Hilfe der rechten Maustaste und den zugehörigen Pop-up-

Page 44: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Die Ansichten im Detail 43

Wireshark kompakt

Menüs viele interessante und nützliche Funktionen ausführen. Wir kommen imweiteren Verlauf immer wieder auf diese Möglichkeiten zu sprechen.

Die verschiedenen Ansichten und Listen sind in Wireshark interaktiv miteinanderverknüpft. Wenn Sie in der Paketliste einen Eintrag markieren, werden in der dar-unter befindlichen Detailansicht die Feinheiten eines Frames bzw. Pakets ange-zeigt. Sie sollten sich bei der Navigation in den Aufzeichnungen immer wieder inErinnerung rufen, dass es sich bei der Frame-Sektion um Wireshark-spezifischeDaten handelt, und diese nicht Teil des Datenpakets sind, die Sie aufgezeichnethaben. Mit der Frame-Sektion fügt der Sniffer Informationen über einen Framehinzu, die für eine spätere Datenanalyse hilfreich sein können.

Die typischen Meta-Informationen eines Wireshark-Frames.

Mit einem Klick auf ein Pluszeichen öffnen Sie in der Detailansicht beispielsweisedie Daten des Frame-Knotens. Voranstehende Abbildung zeigt die typischen Datenund Informationen, die Sie in einem Frame-Eintrag finden. Es handelt sich beidiesen Daten um Meta-Informationen, die die Aufzeichnungen erweitern.

Mit Hilfe des Kontextmenüs der rechten Maustaste können Sie verschiedene weite-re Aktionen ausführen. Mit Expand All können Sie beispielsweise alle eingeklapp-ten Informationen ausklappen. Mit Collapse All können Sie die Baumansicht wie-der zusammenfalten. Mit den beiden Befehlen Expand Subtrees und CollapseSubtrees können Sie die markierten Äste auf- und einklappen.

Sie vereinfachen sich die Analyse, indem Sie mit einem Doppelklick auf einenEintrag in der Paketliste klicken und diesen so in einem eigenen Fenster öffnen.Somit können Sie ein Paket einfacher unter die Lupe nehmen.

Page 45: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

44 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Ein Datenpaket wurde in einem eigenen Fenster geöffnet.

Am unteren Ende des Dialogs finden Sie die sogenannte Byte-Ansicht, die Ihnendie Inhalte der Datenpakete als Hexadezimalcode oder als ACSII-Zeichen anzeigt.Mit einem Rechtsklick in die Ansicht können Sie zwischen den beiden Ansichtenwechseln.

Die Byte-Ansicht erlaubt tiefe Einblick in den Datentransfer.

Durch Markieren von Inhalten kennzeichnet Wireshark die zugehörigen Daten. Siekönnen die Byte-Ansicht prinzipiell auch über die Programmeinstellungen deakti-vieren, doch macht das in der Regel wenig Sinn.

Page 46: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Die Statusleiste 45

Wireshark kompakt

1.15 Die StatusleisteDen Abschluss nach unten hin bildet die Statusleiste, der Sie verschiedene Status-informationen entnehmen können. Die Statusleiste umfasst mehrere Infobereicheund auch zwei Schaltflächen.

Die Funktionen der Statusleiste.

Hinter dem Kreis links verbergen sich die Experteninfos. Mit einem Klick öffnenSie den Dialog Expert Infos, der eine Art Protokoll von Anomalien führt, die Wi-reshark bei der Aufzeichnung identifiziert hat. Der Gedanke dahinter: Dem An-wender sollen Auffälligkeiten einfach zugänglich gemacht werden. Durch die ge-bündelte Zusammenfassung von möglichen Netzwerkproblemen ist es für Netz-werkadministratoren einfacher, diesen auf den Grund zu gehen.

Sie sollten dabei beachten, dass es sich hierbei um eine Zusatzinfo handelt. Aberder Umkehrschluss gilt nicht: Gibt die Experteninfo keine Hinweise aus, bedeutetdas noch lange nicht, dass es nicht doch welche gibt.

Die Experteninfos weisen Sie auf Anomalien hin.

Page 47: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

46 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Wir kommen später noch einmal auf diese Funktion zu sprechen. Anhand des vor-anstehenden Beispiels können Sie sehr schön erkennen, dass dieses Paket eineWarnung aufweist. Derlei Warnungen gilt es zu untersuchen und ihnen nachzuge-hen.

Das Hinzufügen von Kommentaren.

Wenn Sie Ihre Aufzeichnung im PCAPNG-Format speichern, können Sie dieseimmer auch um Notizen erweitern. Dazu klicken Sie auf das zweite Symbol in derStatusleiste. In einem einfachen Editor-Fenster können Sie Ihre Anmerkungen zueiner Aufzeichnung hinterlegen.

In der Statusleiste folgen zwei Infobereiche, die Ihnen Informationen über dieDatenfelder und die Anzahl der Pakete liefern. Wenn Sie eine Aufzeichnung ge-speichert haben, können Sie diesem Bereich den Speicherort der Datei entnehmen.Die Trennlinie zwischen diesen beiden Bereichen können Sie verschieben. WennSie die Trennung verschieben, können Sie dem linken Bereich außerdem die Größeder Aufzeichnungen und die Länge entnehmen.

Im rechten Bereich können Sie die Anzahl der Pakete ersehen, die in der geöffne-ten Capture-Datei enthalten sind. Sollten Sie die Ansicht über Filter eingeschränkthaben, finden Sie auch die Zahl der dargestellten Pakete. Außerdem können Siediesem Bereich die Ladezeit entnehmen.

Rechts finden Sie dann noch die Profilauswahl. In Profilen sind die Voreinstellun-gen und Sniffer-Konfigurationen hinterlegt, die Sie beispielsweise für verschiedeneAnalyseaufgaben anwenden können. Ihre Wireshark-Installation verfügt über einStandardprofil. Wie wir später noch sehen werden, stellt Ihnen Wireshark eineProfilverwaltung zur Verfügung, mit der Sie weitere Profile anlegen können.

Page 48: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Die Statusleiste 47

Wireshark kompakt

Die Profilauswahl von Wireshark.

Page 49: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

48 Netzwerkanalyse mit Wireshark – der Einstieg

www.brain-media.de

Page 50: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Index 165

Wireshark kompakt

Index

Index

AAdministratorrecht ............................. 49Adressauflösung ................................. 98Analyse ............................................... 11Anomalie......................................45, 131Ansichten-Menü ................................. 30ASCII-Ansicht....................................... 15Ask Wireshark ..................................... 22Auffälligkeit......................................... 45Aufzeichnung .................................12, 91Aufzeichnung aufsplitten.................... 91Aufzeichnung speichern ..................... 78Aufzeichnung starten.......................... 52Aufzeichnung öffnen........................... 80Aufzeichnungen zusammenführen ..... 81Aufzeichnungsdatei ............................ 14Aufzeichnungsoptionen...................... 34Ausgangsansicht ................................. 37Authentifizierung................................ 67AutoScroll ........................................... 37

BBackdoor............................................. 23Bandbreitennutzung ......................... 142Bearbeiten-Menü ............................... 30Bedienelemente ................................. 13Beschreibung ...................................... 54Betriebssystem ................................... 53BPF...................................................... 63Broadcast............................................ 72Browser............................................... 11Byte-Ansicht...................................15, 44Byte-Sequenz .................................... 121

CCapture ............................................... 11

Capture Filter.......................................26Capture Info-Dialog .............................74Capture-Datei ......................................16Capture-Optionen.................... 31, 34, 56Capture-Profil ......................................16Capture-Session...................................29Capture-Vorgang .................................74Capturing Engine .................................49Checksumme .....................................134CSV ......................................................86

DDarstellungsfilter .......................109, 112Datenanalyse.......................................43Datenexport ........................................85Datenpaket ..........................................28Datenpuffer .........................................22Datenverkehr...................................9, 19Datenverkehr aufzeichnen ..................25Debugging..........................................134Dekodierfunktion.................................31Detailansicht................................40, 103Display Filter ........................................26Dissektor................................ 19, 27, 111Dissektorentabelle...............................33DNS....................................................137DOCSIS.................................................62Dokumentation .................................106Doppelte IP-Adresse ............................22Druckausgabe ......................................88Druckdialog........................................102DSL.........................................................9dumpcap......................................27, 162

Eeditcap...............................................163E-Mail-Client ........................................11

Page 51: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

166 Index

www.brain-media.de

E-Mail-Server ...................................... 12Endpunkt .......................................... 145Endpunkte ........................................ 130Ethereal ................................................ 9Ethernet.............................................. 71Experteninfos...............................45, 131Export ................................................. 85Exportmöglichkeit............................... 30

FFarbkennzeichnung............................. 99Fehler................................................ 132Fehlerbehebung.................................. 18Fehlererkennung ................................ 18Fehlermeldung.................................. 135Fehlersuche .....................................9, 21Feldtyp................................................ 95Filter Expression ............................... 116Filterausdruck ..................................... 40Filterdialog........................................ 117Filtereingabe..................................... 119Filtereinstellung .................................. 38Filterfunktion .................................14, 38Filterkonfiguration.............................. 70Filterkriterium................................... 110Filterleiste ........................................... 40Filtersprache ....................................... 70Filtertypen ........................................ 109Filterung............................................ 124Filterverwaltung ............................... 120Firewall ..........................................32, 51Format ................................................ 89Frame.................................................. 28Frame-Sektion .................................... 43

GGateway.............................................. 71Geo IP-Datenbank............................. 151Grafische Traffic-Auswertung ............. 32Grundrauschen ................................... 20GUI...................................................... 50

HHacker ...................................................9Hauptmenü..........................................30Hexdump .............................................83HTTP ....................................................92HTTP-Stream........................................86

IImport..................................................83Info-Symbol .........................................16Installation...........................................23Interface hinzufügen ...........................64Interface-Einstellung ...........................61Interface-Konfiguration .......................61IP-Adresse............................................54

KKali Linux..............................................17Kommentar....................................46, 98Kommentarzusammenfassung ..........139Komplexe Filter....................................72Komprimierung....................................78Konsolenwerkzeug ............................157Kontextmenü...............................93, 103Konversation .............................130, 143Kopierfunktion...................................101

LLadezeit ...............................................46Layout-Konfiguration.........................148libpcap ..................................... 26, 52, 70Link Layer.............................................26Link Layer-Header................................57Linux ....................................................10Live Capturing......................................49Live-Aufzeichnung .........................49, 77Logische Verknüpfung .......................114Lua .......................................................19

Page 52: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Index 167

Wireshark kompakt

MMac OS X............................................. 10MAC-Adresse ...................................... 54MaxMind .......................................... 152Menüleiste.....................................14, 34Merge ................................................. 81mergecap.......................................... 163Meta-Information............................... 43Mitschnitt ............................................. 9Monitormodus...............................57, 62Multicast ............................................. 72

NNamensauflösung ........61, 136, 151, 152Netzwerkadministrator......................... 9Netzwerkanalyse .................................. 9Netzwerkkommunikation ................... 19Netzwerknummer............................... 71Netzwerkschnittstelle ................9, 34, 53Netzwerk-Sniffer................................... 9Netzwerktraffic ................................... 10Notiz ..............................................46, 98Notiz-Symbol ...................................... 16

OObjektexport....................................... 86OSI-Schichtenmodell........................... 10

PPaket markieren ............................... 123Paketanalyse....................................... 92Paketansicht ....................................... 41Paketbereich....................................... 89Paketdetails ........................................ 15Pakete suchen................................... 121Paketeditor ....................................... 105Paketfärbung .................................... 153Paketliste .................................14, 28, 37Paketliste drucken .............................. 88Paketnummer ................................... 133

Paketnummerierung..........................110Paketzusammenfassung ....................101Passwort ..............................................67Passwortübermittlung .........................13PCAPNG ...................................18, 46, 78PDML ...................................................86Performance........................................51Pipe......................................................65PostScript ............................................86Problem .............................................134Profil ..................................................154Profilverwaltung ..........................46, 154Programmanalyse................................23Programmeinstellungen ..............38, 148Programmoberfläche ........................148Promiscuous Modus ......................51, 57Protokollhierarchie............................140Protokollsequenz...............................134Protokolltyp.......................................110Pseudo-Code .......................................59

QQuelle ..................................................41

RReassembling.....................................134Relation .............................................117Remote ................................................52Remote Capturing .........................62, 66Remote-Schnittstelle ...........................68Remote-Schnittstelle einrichten..........66Rohdatenansicht..................................15Root-Recht...........................................49Router....................................................9

SSatz Capture-Dateien...........................84Schnittstelleneinstellung .....................58Schnittstellenliste ................................34Schnittstellenmanagement .................64

Page 53: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

168 Index

www.brain-media.de

Schrift ............................................... 151Schwergrad ....................................... 136SCTP.................................................. 100Sicherheitsanalyse .............................. 18Sicherheitscheck ................................. 23Sicherheitsprüfung ............................. 18Sicherung ............................................ 78SMI.................................................... 151Snaplen ..........................................57, 62Sniffer ................................................. 19Sortierung ........................................... 94Spaltenkonfiguration .......................... 95Spaltenkopf......................................... 42Spaltennummer .................................. 41Spaltentitel ....................................... 150SSH...................................................... 72SSL Stream ........................................ 101Standardprofil ................................31, 46Statistik ............................................. 137Statusleiste ............................16, 45, 131Stream ................................................ 31Stream Control Transmission Protocol

..................................................... 100String ................................................ 122Substring........................................... 114Suchdialog ........................................ 121Suche .................................................. 12Symbolleiste ....................................... 34Syntax-Prüfung ................................. 113Systemressourcen............................... 53

TTap...................................................... 19TCP/IP ................................................. 10tcpdump ......................................51, 162TCP-Stream folgen .....................100, 130Telefonie............................................. 32Terminalsserver .................................. 72Textdatei............................................. 86Traffic-Analyse .................................... 25Trojaner .............................................. 23TShark ............................................... 161

UUDP-Stream.......................................100Ungereimtheit ...................................131

VVerbindungsaufbau .............................67Verbindungsversuch............................22Verdächtiger Traffic...........................141Vergleichsoperator ............................112Verkabelung ........................................50VPN......................................................51

WWarnung............................................134Werkzeugleiste ....................................34Wertebereich ....................................119Wiki-Integration ..................................21Wikipedia.....................................11, 106Windows..............................................10windump .............................................51WinPcap ............................ 10, 26, 52, 66WinPcap-Installation ...........................24Wireshark ..............................................9Wireshark anpassen ..........................147Wireshark-Capturing ...........................52WLAN-Adapter ..............................25, 65WLAN-Statistik...................................145

XX11-Komponente.................................25

ZZeitstempel..........................................14Ziel .......................................................41Zugangskennung..................................67Zwischenspeicher ................................57

Page 54: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Weitere Brain-Media.de-Bücher 169

Wireshark kompakt

Weitere Brain-Media.de-Bücher

Weitere Brain-Media.de-BücherDreambox 8000 kompakt

Die Dreambox 8000 stellt ihre Vorgängerallesamt in den Schatten. Was Sie alles mitder Dreambox 8000 anfangen können, verrätIhnen die Neuauflage unseres Dreambox-Klassikers. Mit einem Vorwort des DreamMultimedia-Geschäftsführers Karasu.

Umfang: 450 Seiten plus CDISBN: 978-3-939316-90-9Preis: 29,80 EUR

Scribus 1.4 kompakt

Scribus ist längst ein ebenbürtiger Gegenspie-ler von InDesign & Co. In unserem Handbucherfahren Sie alles, was Sie für den erfolgrei-chen Einstieg wissen müssen. Auf über 450Seiten lernen Sie nahezu jede Programmfunk-tion kennen. Praxisbezogene Beispiele zei-gen, wie Sie mit Scribus schnell ans Zielgelangen.

Umfang: 465 Seiten plus DVDISBN: 978-3-939316-91-6Preis: 29,80 EUR

Page 55: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

170 Weitere Brain-Media.de-Bücher

www.brain-media.de

X-Plane 10 kompakt

Der Klassiker unter den Flugsimulatoren gehtin die zehnte Runde. Viele neue Funktionenund verbessertes Handling warten auf dieAnwender. Kein Wunder also, dass die Fan-gemeinde wächst und wächst. Unser Hand-buch beschreibt alles, was Sie für das Fliegenmit X-Plane wissen sollten.

Umfang: 430 SeitenISBN: 978-3-939316-96-1Preis: 24,80 EUR

Audacity 2.0 kompakt

Audacity ist zweifelsohne das beliebteste freieAudioprogramm. Vom anfänglichen Geheim-tipp hat sich der Editor zum Standard für dieAufzeichnung und Bearbeitung von Audioda-ten gemausert. Das Vorwort steuert der ehe-malige Core-Entwickler Markus Meyer bei.

Umfang: 306 SeitenISBN: 978-3-95444-027-6Preis: 24,80 EUR

Dreambox 7020 HD kompakt

Der Klassiker im neuen Gewand: Die Dream-box 7020 HD besticht durch das OLED-Display an der Front sowie ihr flexibles Tuner-Konzept. In diesem Handbuch lernen Sie dievielfältigen Einsatzmöglichkeiten der Boxkennen. Mit einem Vorwort des Dream Multi-media-Geschäftsführers Karasu.

Umfang: 430 SeitenISBN: 978-3-939316-99-2Preis: 24,80 EUR

Page 56: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

Weitere Brain-Media.de-Bücher 171

Wireshark kompakt

Evernote kompakt

Bei der alltäglichen Informationsflut wird esimmer schwieriger, Wichtiges von Unwichti-gem zu trennen, Termine und Kontakte zuverwalten. Mit Evernote können Sie diese Flutbändigen und Ihren Alltag optimieren. "Ever-note kompakt" vermittelt das notwendigeKnow-how für den Einsatz von Evernote aufIhrem Desktop, Smartphone und online.

Umfang: 320 SeitenISBN: 978-3-95444-098-6Preis: 22,80 EUR

Fire TV kompakt

Mit Fire TV hat Amazon eine tolle kleine Boxfür das Online-Entertainment auf den Marktgebracht, die für wenig Geld die gesamtePalette der Internet-basierten Unterhaltungabdeckt. In diesem Handbuch erfahren Sie,was Sie alles mit der kleinen Box anstellenkönnen.

Umfang: 182 SeitenISBN: 978-3-95444-172-3Preis: 16,80 EUR

Magento SEO kompakt

Magento ist die Standardumgebung für denAufbau eines Online-Shops. Doch damit Siemit Ihren Shop-Angebot auch im Internetwahrgenommen werden, müssen Sie einwenig die Werbetrommel rühren und denShop für Google & Co. optimieren. Mit weni-gen Handgriffen machen Sie Ihren Online-Shop SEO-fest und maximieren Ihre Verkäu-fe.

Umfang: 100 SeitenISBN: 978-3-95444-098-6Preis: 14,80 EUR

Page 57: BRAIN- Holger Reibold Wireshark kompaktreibold.de/Leseproben/Wireshark-Leseprobe.pdf · 2017-07-18 · 2 Wireshark kompakt Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche

172

www.brain-media.de

Weitere Titel in VorbereitungWir bauen unser Programm kontinuierlich aus. Aktuell befinden sich folgendeTitel in Vorbereitung:

Android Forensik

Android Security

Papierloses Büro

Alfresco kompakt

Plus+Plus+ − unser neues Angebot für Sie ... alle E -Books im Abo. Sie können 1 Jahrlang alle Brain-Media-Bücher als E-Book herunterladen und diese auf Ihrem PC,Tablet, iPad und Kindle verwenden − und das ohne irgendwelche Einschränkun-gen. Das Beste: Plus+ schließt auch alle jene Bücher ein, die in diesem Jahr nocherscheinen.

Und das zum Sonderpreis von 29 Euro! Ein unschlagbares Angebot!

Auf unserer Website steht ein detaillierter Überblick aller Titel im PDF-Formatzum Download bereit (ca. 6,2 MB), der bereits zu Plus+ gehörende Titel aufführtund die in naher Zukunft hinzukommen.