Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Verwendung von Wireshark: Umfassendes Tutorial + Tipps | Varonis

Geschrieben von Michael Buckbee | May 12, 2021 4:00:00 AM

Wenn Sie bei der Fehlersuche im Netzwerk auf Probleme stoßen und einzelne Pakete inspizieren müssen, müssen Sie Wireshark verwenden. Wireshark ist in der Praxis die gängigste Anwendung zur Erfassung und Untersuchung des Netzwerkverkehrs, mit der Sie unbedingt umgehen können sollten. Da Wireshark das Allround-Tool für solche Aufgaben ist, werfen wir nun einen Blick auf die Grundlagen – z. B. wo Sie es herunterladen können, wie Sie Netzwerkpakete abfangen, wie Sie die Wireshark-Filter verwenden und vieles mehr.

Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

Was ist Wireshark?

Wireshark ist eine Open-Source-Software zur Analyse von Netzwerkprotokollen, die 1998 von Gerald Combs entwickelt wurde. Eine globale Organisation von Netzwerkspezialisten und Softwareentwicklern unterstützt Wireshark und nimmt fortlaufend Aktualisierungen für neue Netzwerktechnologien und Verschlüsselungsmethoden vor. Die Verwendung von Wireshark ist absolut sicher. Regierungsbehörden, Unternehmen, gemeinnützige Organisationen sowie Bildungseinrichtungen nutzen Wireshark zur Fehlerbehebung und zu Lehrzwecken. Es gibt kaum eine bessere Möglichkeit, etwas über Netzwerke zu lernen, als den Verkehr darin durch das Wireshark-Mikroskop zu betrachten. Die Legalität von Wireshark wird oft infrage gestellt, da es ein leistungsfähiger Packet Sniffer ist. Die helle Seite der Macht besagt, dass man Wireshark nur in Netzwerken verwenden sollte, in denen man die Erlaubnis hat, Netzwerkpakete zu untersuchen. Die Verwendung von Wireshark zum unerlaubten Lesen von Paketen ist der Weg zur dunklen Seite. 

Wie funktioniert Wireshark?

Wireshark ist ein Packet Sniffer und ein Analysewerkzeug. Es erfasst den Netzwerkverkehr im lokalen Netzwerk und speichert diese Daten zur Offline-Analyse. Die Anwendung erfasst den Netzwerkverkehr über Ethernet, Bluetooth, Wireless (IEEE.802.11), Token Ring, Frame-Relay-Verbindungen und mehr. Anm. der Redaktion: Ein „Paket“ ist eine einzelne Nachricht aus einem beliebigen Netzwerkprotokoll (d. h. TCP, DNS usw.) Anm. der Redaktion 2: LAN-Verkehr ist im Broadcast-Modus, d. h. ein einzelner Computer mit Wireshark kann den Verkehr zwischen zwei anderen Computern sehen. Wenn Sie den Verkehr zu einer externen Site sehen möchten, müssen Sie die Pakete auf dem lokalen Computer abfangen. Mit Wireshark können Sie das Protokoll entweder vor Beginn des Abfangprozesses oder während der Analyse filtern. So können Sie das, wonach Sie im Netzwerk-Trace suchen, eingrenzen und ausfindig machen. Sie können zum Beispiel einen Filter benutzen, um den TCP-Verkehr zwischen zwei IP-Adressen zu sehen. Sie können ihn so einstellen, dass er Ihnen nur die von einem einzigen Computer gesendeten Pakete anzeigt. Die Filter in Wireshark sind einer der Hauptgründe dafür, dass es zum Standardwerkzeug für die Paketanalyse avanciert ist.

Wo kann man Wireshark herunterladen

Wireshark lässt sich einfach herunterladen und installieren. Zuerst müssen Sie auf der offiziellen Wireshark-Download-Seite den Download für Ihr jeweiliges Beriebssystem finden. Die Basisversion von Wireshark ist kostenlos.

Wireshark für Windows

Wireshark ist in zwei Varianten für Windows erhältlich, 32 Bit und 64 Bit. Wählen Sie die richtige Version für Ihr Betriebssystem. Das aktuelle Release ist 3.0.3 zum Zeitpunkt der Veröffentlichung. Die Installation ist einfach und sollte keine Probleme verursachen.

Wireshark für Mac

Wireshark ist für Mac als Homebrew-Installation verfügbar. Um Homebrew zu installieren, müssen Sie diesen Befehl im Terminal ausführen: /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)” Sobald Sie das Homebrew-System eingerichtet haben, können Sie auf mehrere Open-Source-Projekte für Ihren Mac zugreifen. Um Wireshark zu installieren, führen Sie diesen Befehl im Terminal aus: brew install wireshark Homebrew wird Wireshark und alle zugehörigen Dateien herunterladen und installieren, damit es korrekt ausgeführt werden kann.

Wireshark für Linux

Die Installation von Wireshark unter Linux unterscheidet sich je nach Linux-Distribution. Wenn Sie nicht eine der folgenden Distributionen verwenden, überprüfen Sie bitte die Befehle nochmals. Ubuntu: Führen Sie diese Befehle im Terminal aus:

  1. sudo apt-get install wireshark
  2. sudo dpkg-reconfigure wireshark-common
  3. sudo adduser $USER wireshark

Diese Befehle laden das Paket herunter, aktualisieren das Paket und fügen Benutzerrechte zur Ausführung von Wireshark hinzu. Red Hat Fedora: Führen Sie diese Befehle im Terminal aus:

  1. sudo dnf install wireshark-qt
  2. sudo usermod -a -G wireshark username

Der erste Befehl installiert die GUI- und CLI-Version von Wireshark, und der zweite Befehl fügt Berechtigungen zur Verwendung von Wireshark hinzu. Kali Linux: Wireshark ist wahrscheinlich bereits installiert! Es ist Teil des Basispakets. Überprüfen Sie das durch einen Blick auf Ihr Menü. Es befindet sich unter dem Menüpunkt „Sniffing und Spoofing“.

Datenpakete in Wireshark

Nun, da wir Wireshark installiert haben, lassen Sie uns besprechen, wie wir den Wireshark-Packet-Sniffer aktivieren und dann den Netzwerkverkehr analysieren können.

Abfangen von Datenpaketen mit Wireshark

Wenn Sie Wireshark öffnen, sehen Sie einen Bildschirm, der Ihnen eine Liste aller Netzwerkverbindungen anzeigt, die Sie überwachen können. Sie haben auch ein Filterfeld für die Abfangung, so dass Sie nur den Netzwerkverkehr abfangen, den Sie sehen möchten.  Sie können eine oder mehrere der Netzwerkschnittstellen mit „Umschalt + Linksklick“ auswählen. Sobald Sie die Netzwerkschnittstelle ausgewählt haben, können Sie mit dem Abfangen beginnen. Dafür gibt es mehrere Möglichkeiten. Klicken Sie auf die erste Schaltfläche in der Symbolleiste mit dem Titel „Start Capturing Packets“.  Sie können den Menüpunkt „Capture -> Start“ wählen.  Oder Sie können die Tastenkombination „Strg + E“ verwenden. Während des Abfangens zeigt Wireshark Ihnen die abgefangenen Pakete in Echtzeit an.  Sobald Sie alle benötigten Pakete abgefangen haben, verwenden Sie dieselben Schaltflächen oder Menüoptionen, um das Abfangen zu stoppen. Es hat sich bewährt, die Erfassung von Wireshark-Paketen zu stoppen, bevor man eine Analyse durchführt.

Analysieren von Datenpaketen in Wireshark

Wireshark zeigt Ihnen drei verschiedene Bereiche zur Inspektion von Paketdaten. Die „Packet List“, der obere Bereich, ist eine Liste aller Pakete, die abgefangen wurden. Wenn Sie auf ein Paket klicken, zeigen die anderen beiden Bereiche Ihnen die Details zu dem ausgewählten Paket an. Sie können auch sehen, ob das Paket Teil einer Konversation ist. Hier finden Sie einige Details zu jeder Spalte im oberen Fensterbereich:

  • No. : Dies ist die Nummer (in der Reihenfolge) des Pakets, das abgefangen wurde. Die Klammer zeigt an, dass dieses Paket Teil einer Konversation ist.
  • Time: Diese Spalte zeigt Ihnen an, wie lange nach Beginn des Prozesses dieses Paketes abgefangen wurde. Sie können diesen Wert im Menü „Settings“ ändern, wenn Sie etwas anderes angezeigt haben möchten.
  • Source: Dies ist die Adresse des Systems, das das Paket verschickt hat.
  • Destination: Dies ist die Adresse des Ziels dieses Pakets.
  • Protocol: Dies ist die Art des Pakets, zum Beispiel TCP, DNS, DHCPv6 oder ARP.
  • Length: Diese Spalte zeigt Ihnen die Länge des Pakets in Bytes an.
  • Info: In dieser Spalte finden Sie weitere Informationen über den Paketinhalt, die je nach Art des Pakets variieren.
  •  

„Packet Details“, der mittlere Bereich, zeigt Ihnen so viele lesbare Informationen wie möglich über das Paket, je nachdem, um welche Art von Paket es sich handelt. Sie können mit der rechten Maustaste klicken und Filter basierend auf dem markierten Text in diesem Feld erstellen. Der untere Bereich, „Packet Bytes“, zeigt das Paket hexadezimal an – genau so, wie es erfasst wurde. Wenn Sie sich ein Paket ansehen, das Teil einer Konversation ist, können Sie mit der rechten Maustaste auf das Paket klicken und „Follow“ auswählen, um nur die Pakete zu sehen, die Teil dieser Konversation sind.

Wireshark-Filter

Eine der besten Funktionen von Wireshark sind die Wireshark-Abfangfilter und die Wireshark-Anzeigefilter. Mit Hilfe von Filtern können Sie die abgefangenen Pakete so anzeigen, wie Sie es brauchen, um die anstehenden Probleme zu beheben. Hier finden Sie verschiedene Filter, die Ihnen den Einstieg erleichtern.

Wireshark-Abfangfilter

Abfangfilter begrenzen die durch den Filter abgefangenen Pakete. Das heißt, wenn die Pakete nicht mit dem Filter übereinstimmen, werden sie von Wireshark nicht gespeichert. Hier sind einige Beispiele für Abfangfilter: host IP-address: Dieser Filter beschränkt das Abfangen auf den Datenverkehr zu und von der IP-Adresse. net 192.168.0.0/24: Dieser Filter erfasst den gesamten Datenverkehr im Subnetz. dst host IP-address : Es werden die Pakete abgefangen, die an den angegebenen Host gesendet werden. port 53: Abfangen des Verkehrs nur auf Port 53. port not 53 and not arp: Erfassung des gesamten Datenverkehrs außer DNS- und ARP-Verkehr

Wireshark-Anzeigefilter

Wireshark-Anzeigefilter ändern die Anzeige der Abfangung während der Analyse. Nachdem Sie das Abfangen der Pakete gestoppt haben, verwenden Sie Anzeigefilter, um die Pakete in der Paketliste einzugrenzen, damit Sie Ihr Problem beheben können. Der (meiner Erfahrung nach) nützlichste Anzeigefilter ist: ip.src==IP-address and ip.dst==IP-address Dieser Filter zeigt Ihnen Pakete von einem Computer (ip.src) zu einem anderen (ip.dst) an. Sie können auch ip.addr verwenden, um sich Pakete zu und von dieser IP anzeigen zu lassen. Hier sind einige andere: tcp.port eq 25: Dieser Filter zeigt Ihnen den gesamten Verkehr auf Port 25 an, in der Regel SMTP-Verkehr. icmp: Dieser Filter zeigt Ihnen nur den abgefangenen ICMP-Verkehr an, höchstwahrscheinlich Pings. ip.addr != IP_address: Dieser Filter zeigt Ihnen den gesamten Verkehr mit Ausnahme des Verkehrs zu oder von dem angegebenen Computer an. Analysten erstellen sogar Filter, um bestimmte Angriffe zu erkennen, beispielsweise diesen Filter zur Erkennung des Sasser-Wurms: ls_ads.opnum==0x09

Zusätzliche Funktionen von Wireshark

Abgesehen vom Erfassen und Filtern gibt es in Wireshark verschiedene andere Funktionen, die Ihnen das Leben leichter machen.

Farboptionen in Wireshark

Sie können Wireshark so einrichten, dass es Ihre Pakete in der Paketliste entsprechend dem Anzeigefilter einfärbt. So können Sie bestimmte Pakete gezielt hervorheben. Schauen Sie sich hier einige Beispiele an.

Der „Promiscuous“-Modus von Wireshark

Standardmäßig erfasst Wireshark nur Pakete, die zu und von dem Computer gesendet werden, auf dem es läuft. Durch Aktivieren des Kontrollkästchens für den „Promiscuous“-Modus in den Abfangeinstellungen können Sie den Großteil des Datenverkehrs im LAN erfassen.

Wireshark-Befehlszeile

Wireshark bietet eine Befehlszeile (Command Line Interface, CLI), wenn Sie ein System ohne grafische Benutzeroberfläche benutzen. Es hat sich bewährt, die Befehlszeile zum Abfangen und Speichern eines Logs zu verwenden, um den Log dann in der grafischen Benutzeroberfläche zu überprüfen.

Wireshark-Befehle

  • wireshark : Wireshark im grafischen Benutzeroberflächenmodus ausführen
  • wireshark –h : verfügbare Befehlszeilenparameter für Wireshark anzeigen
  • wireshark –a duration:300 –i eth1 –w wireshark. : den Datenverkehr auf der Ethernet-Schnittstelle 1 für 5 Minuten abfangen. –a bedeutet, dass das Abfangen automatisch gestoppt wird, –i gibt an, welche Schnittstelle abgefangen werden soll

Metriken und Statistiken

Unter dem Menüpunkt „Statistics“ finden Sie eine Fülle von Optionen, um Details zu Ihrem Abfangprozess anzuzeigen.  Abfang-Dateieigenschaften:  Wireshark-I/O-Diagramm: 

Zusätzliche Wireshark-Ressourcen und -Tutorials

Es gibt zahlreiche Tutorials und Videos im Netz, die Ihnen zeigen, wie Sie Wireshark für bestimmte Zwecke einsetzen können. Sie sollten auf der offiziellen Website von Wireshark anfangen und sich von dort aus voranarbeiten. Die offizielle Dokumentation und das Wiki befinden sich auf dieser Website. Wireshark ist ein hervorragendes Tool zum Sniffen und Analysieren von Netzwerken – meiner Meinung nach ist es jedoch am besten, wenn man bereits weiß, wonach man sucht. Wireshark ist nicht das Mittel der Wahl, um ein neues Problem zu finden. Dafür ist das Netzwerk zu verrauscht. Sie brauchen ein Tool wie Varonis mit Edge, um Ihre Gesamtsituation zu verstehen und Hinweise auf Bedrohungen zu erhalten, die untersucht werden müssen. Anschließend können Sie mit Wireshark tiefer gehen, um genau zu verstehen, was in den gefährlichen Paketen enthalten ist. Als die Sicherheitsforscher von Varonis zum Beispiel den Norman-Cryptominer entdeckten, erhielten sie von Varonis einen Alarm, der auf verdächtige Netzwerk- und Dateiaktivitäten von mehreren Rechnern hinwies. Während der Analyse des Cryptominers verwendeten die Varonis-Forscher Wireshark, um die Netzwerkaktivitäten für bestimmte Geräte zu untersuchen, die verdächtige Aktivitäten aufwiesen. In Wireshark konnte das Team sehen, dass ein neuer Cyptominer – Norman – über DuckDNS aktiv mit Command-and-Control-Servern (C&C) kommunizierte. Das Varonis-Team konnte so alle IP-Adressen der C&C-Server sehen, die die Angreifer nutzten. Dadurch konnte das Unternehmen die Kommunikation unterbrechen und den Angriff stoppen. Um das Varonis-Team in Aktion zu sehen, melden Sie sich für eine Live-Demo zu Cyberangriffen an. Wählen sie einen Termin aus, der am besten für sie passt!