AB 05 — Netzwerküberwachungs-Protokolle (Header)

Mein Fortschritt0/1 (0 %)

Stunde gelesen

Einführung in Wireshark

Wireshark ist das Open Source Tool, dass dir hilft, dein Netzwerk besser zu verstehen und damit die IT-Sicherheit zu steigern. Wireshark ist dabei das weltweit meistverbreitete Netzwerkanalyse-Werkzeug und mittlerweile Standard in vielen Unternehmen und Einrichtungen. Wir geben dir in unseren Wireshark Schulungen eine Einführung in die Netzwerk- und Protokollanalyse und lassen dich die Funktionen von Wireshark Schritt für Schritt anwenden und nachvollziehen. Ob du ein bestimmtes Programm in Verdacht hast, unerwünscht Pakete ins Netzwerk zu senden, ob du Perfomance Problemen auf die Spur kommen willst, oder Schadsoftware aufspüren willst: Nach deinem Besuch in einer unserer Schulungen bist du in der Lage, Netzwerk- und Sicherheitsprobleme mit Hilfe von Wireshark zu erkennen und zu lösen.

Zwecke

Hier sind einige Gründe, warum Menschen Wireshark verwenden:

Netzwerkadministratoren verwenden es zur Behebung von Netzwerkproblemen
Netzwerksicherheitsingenieure nutzen es, um Sicherheitsprobleme zu untersuchen
QA-Ingenieure verwenden es zur Überprüfung von Netzwerkanwendungen
Entwickler verwenden es zum Debuggen von Protokollimplementierungen
Menschen verwenden es, um die Interna des Netzwerkprotokolls zu erlernen

Merkmale

Im Folgenden sind einige der vielen Funktionen aufgeführt, die Wireshark bietet:

Verfügbar für UNIX und Windows.
Erfassen Sie Live-Paketdaten von einer Netzwerkschnittstelle.
Öffnen Sie Dateien mit Paketdaten, die mit tcpdump/WinDump, Wireshark und vielen anderen erfasst wurden
andere Paketerfassungsprogramme.
Importieren Sie Pakete aus Textdateien, die Hex-Dumps von Paketdaten enthalten.
Pakete mit sehr detaillierten Protokollinformationen anzeigen.
Speichern Sie die erfassten Paketdaten.
Exportieren Sie einige oder alle Pakete in verschiedene Capture-Dateiformate.
Filtern Sie Pakete nach vielen Kriterien.
Suchen Sie nach Paketen nach vielen Kriterien.
Färben Sie die Paketanzeige basierend auf Filtern.
Erstellen Sie verschiedene Statistiken.
…und vieles mehr!

Wie funktioniert ein Sniffer?

Daten werden in Netzwerken als Datenpakete (Packets) versendet. Jedes dieser Pakete erhält zu Beginn seiner „Reise“ eine Kennung, wie zum Beispiel die Adressen von Absender- und Zielrechner, und hat eine bestimmte maximale Länge, also eine maximale Anzahl von Bytes. Eine Netzwerkkarte empfängt zwar grundsätzlich alle Datenpakete, die an ihrem Anschluss ankommen, filtert im Normalfall aber dann jene heraus, die für diesen Anschluss bestimmt sind. Alle anderen verwirft sie. Damit Wireshark grundsätzlich Alle Pakete, die im Netzwerk unterwegs sind, aufzeichnet, versetzt man die Karte in den sogenannten Promiscuous Mode. So registriert sie nicht nur Pakete, die explizit an ihre eigene MAC-Adresse adressiert sind, sondern auch Multicasts. Multicasts sind Gruppenadressen, z. B. alle Router, eine bestimmte Auswahl von Rechnern etc. oder Broadcasts, also Sendungen, die für alle Karten eines Netzes bestimmt sind. Wireshark nimmt diese Daten auf und gibt sie anschließend an das Betriebssystem weiter. Die empfangenen Pakete lassen sich nun abspeichern und untersuchen.

Wireshark - Hauptfenster

Schauen wir uns die Benutzeroberfläche von Wireshark an. Im Hauptfenster wird Wireshark wie gewohnt angezeigt.

Sehen Sie es, nachdem einige Pakete erfasst oder geladen wurden (wie das geht, wird später beschrieben).

Das Hauptfenster von Wireshark besteht aus Teilen, die man von vielen anderen GUIs kennt:

Das Menü dient zum Starten von Aktionen.
Die Hauptsymbolleiste bietet schnellen Zugriff auf häufig verwendete Elemente von dem Menü.
Mit der Filtersymbolleiste können Benutzer Anzeigefilter festlegen, um zu filtern, welche Pakete werden angezeigt.
Im Paketlistenbereich wird eine Zusammenfassung aller erfassten Pakete angezeigt.
Im Bereich „Paketdetails“ wird das im Paket ausgewählte Paket angezeigt Listenbereich detaillierter.
Im Bereich „Paketbytes“ werden die Daten des ausgewählten Pakets angezeigt
Der Bereich „Paketliste“ wird angezeigt und das im Bereich „Paketdetails“ ausgewählte Feld wird hervorgehoben.
Im Paketdiagrammbereich wird das im Paket ausgewählte Paket angezeigt Paketliste als Diagramm im Lehrbuchstil.
Die Statusleiste zeigt einige detaillierte Informationen zum aktuellen Programm Zustand und die erfassten Daten.

Arbeitsumgebung

Alle Aufgaben dieses Kurses werden wir in virtuellen Maschinen in VMware oder VirtualBox durchführen. Aus diesem Grund erstellen wir zunächst unsere Arbeitsumgebung für Windows oder Linux.

Aufgaben

Stellen Sie sicher, dass Ihre VM mit dem Netzwerk verbunden ist, um Pakete empfangen/senden zu können.
Installieren Sie Wireshark, falls es noch nicht installiert ist, und führen Sie grundlegende Erfassungen auf Ihrer VM-Schnittstelle durch. Führen Sie eine einfache Erfassung durch und stoppen Sie die aktuell laufende Erfassung.
ARP

Führen Sie eine Wireshark-Erfassung durch und suchen Sie nach Frames, die das ARP-Protokoll verwenden.
Wofür steht ARP?
Was ist sein Zweck?
Welchen Filter haben Sie verwendet?

ICMP

Führen Sie eine Wireshark-Erfassung durch und suchen Sie nach Frames, die das ICMP-Protokoll verwenden.
Welches Protokoll wird von ICMP verwendet?
Welchen Filter haben Sie verwendet?

Erklären Sie die Rolle von DNS anhand einer Erfassung einer Verbindung zu www.ltam.lu.
Wie lautet die IP-Adresse des LAM-Servers?
Welchen Filter haben Sie verwendet?

Jede Webseite

Erfassen Sie die Verbindung zu einer Webseite Ihrer Wahl.
Filtern Sie alle Frames, die als Quelle oder Ziel die IP-Adresse dieses Servers haben.
Suchen Sie in diesem gefilterten Ergebnis die ersten drei Frames des TCP-Protokolls. Wie Sie wissen, handelt es sich dabei um den 3-Way-Handshake, mit dem die Verbindung zwischen Client und Server hergestellt wird. Zeigen Sie das Flussdiagramm (Statistik -> Flussdiagramm) des Handshakes an.

Erstelle für die obenstehende Fragen ein Word und PDF-Dokument. Überprüfen sie jeweils ob ihre Konfigurationen immer richtig funktioniert haben.

Abbildung