
Wer sich mit IT Security befasst, kommt an den OWASP Top 10 nicht vorbei. Die Non-Profit-Organisation Open Web Application Security
Wireshark ist ein 2006 entwickelter Open Source Netzwerksniffer welcher hauptsächlich zur Protokollanalyse, Netzwerküberwachung und Fehlersuche eingesetzt wird.
Zur Netzwerkanalyse greift Wireshark z.B. auf die sogenannte „pcap“ (packet capture) API zurück, um Pakete direkt am Netzwerkinterface abzugreifen. Die pcap-API unterstützt außerdem auch die Auflistung aller verfügbaren Netzwerkschnittstellen und die Möglichkeit, „mitgehörte“ Pakete in eine Datei zu speichern. Diese Dateien werden mit der Endung „.pcap“ versehen und ermöglichen das sämtliche gesammelte Daten anschließend mit Wireshark ausgewertet werden können.
Neben Wireshark benutzen auch viele andere Packetsniffer die pcap-Schnittstelle wie Beispielsweise tcpdump, tshark oder Snort und Suricata.
Wireshark wird von Systemadministratoren verwendet, um Netzwerkprobleme zu verstehen und zu beheben. Da Wireshark die Möglichkeit bietet, allen über das Medium empfangenen Netzwerkverkehr zu überprüfen und alle in diesen Verbindungen ausgetauschten Netzwerkpakete zu analysieren – sofern der Datenverkehr nicht verschlüsselt ist – ist es sehr einfach, die Ursache von Problemen zu finden.
Wireshark wird auch von Penetration-Tester & Hacker verwendet, um die Ergebnisse von Man-in-the-Middle-Angriffen auszuwerten. Ziel ist es hierbei an verschiedenste sensible Informationen zu kommen, zum Beispiel von VoIP-Calls, LLDP, STP, HSRP und VRRP, oder auch Basic Authentications.
Die Wireshark Benutzerfläche ist grundsätzlich in mehrere Abschnitte unterteilt. Wenn man die Applikation startet dann landet man als erstes in der Netzwerk Interfaces / Netzwerkschnittstellen Auswahl.
Hierbei kann man auswählen auf welchem der Datenverkehr mitgeschnitten werden soll. Hier lassen sich ebenfalls die Capture Filter setzen, um zu limitieren welche Packet Typen gefangen werden sollen. Sobald man einen Doppelklick auf eine dieser Schnittstellen tätigt gelangt man anschließend in die Detailansicht.
Als erstes sticht in der Detailansicht die Live Packet Ansicht heraus wo sämtliche Netzwerkpakete welche Wireshark aktuell empfängt dargestellt werden.
Hier findet sich unter anderem die Source & Destination IP des Pakets als auch das verwendete Protokoll. Sämtliche Pakete die hier angezeigt werden können durch den Display gefiltert werden.
Sobald man ein Paket anklickt sieht man nun den Protokoll Header sowie der gesamte Payload welcher auch zusammengefasst in der „Info“ Sektion der Live Packet Ansicht sich wiederfindet. Unter dem Protokoll Header & Payload befindet sich das gesamte Netzwerkpaket nochmals im Hexadezimal & ASCII Format.
Hier ist festzuhalten, dass die Darstellung mittels ASCII-Zeichen nur erfolgt, sofern es sich über diesen Zeichensatz darstellen lässt.
Hierbei wird zwei Arten von Filtern unterschieden: Capture Filter und Display Filter.
Capture Filter werden bereits vor dem Start einer Paketerfassung festgelegt und können während der Erfassung nicht geändert werden. Hierbei werden Pakete, welche nicht dem Filter entsprechen, einfach nicht erst mitgeschnitten.
Filter | Anwendungszweck |
&& | UND-Parameter. Wird verwendet um mehrere Filter miteinander zu verketten. |
host 192.168.13.37 | Nur Pakete mitschneiden, die192.168.13.37 als Sender oder Empfänger haben. |
net 192.168.13.0/24 | Nur Pakete einer IP Range mitschneiden. |
src net 192.168.13.0/24 | Nur Pakete mitschneiden welche aus einer IP Range gesendet werden. |
dst net 192.168.13.0/24 | Nur Pakete mitschneiden welche zu einer IP Range gesendet werden. |
port 80 | Pakete mitschneiden welche Port 80 verwenden. |
!(arp or icmp) | Alle Pakete außer ARP oder ICMP Erfassen. Sehr nützlich um uninteressanten Traffic zu beseitigen. |
Bei einem Display Filter hingegen gibt es diese Einschränkung nicht und gibt ihnen die Möglichkeit im laufenden Mitschnitt über Parameter nach bestimmten Inhalten zu suchen.
Filter | Anwendungszweck |
&& | UND-Parameter. Wird verwendet um mehrere Filter miteinander zu verketten. |
ip.addr == 192.168.13.37 | Nur Pakete anzeigen welche 192.168.13.37 als Sender oder Empfänger haben. |
ip.src == 192.168.13.37 | Nur Pakete anzeigen welche 192.168.13.37 als Sender haben. |
tcp.dst == 192.168.13.37 | Nur TCP-Pakete anzeigen, die 192.168.13.37 als Empfänger haben. |
tcp.port == 80 | Pakete anzeigen welche TCP Port 80 verwenden. |
udp.port == 5353 | Pakete anzeigen welche UDP Port 5353 verwenden. |
!(arp or icmp) | Alle Pakete außer ARP oder ICMP anzeigen. Sehr nützlich um uninteressanten Traffic zu beseitigen. |
Wer sich mit IT Security befasst, kommt an den OWASP Top 10 nicht vorbei. Die Non-Profit-Organisation Open Web Application Security
Burp Suite von Portswigger und OWASP ZAP sind beides Programme mit einem Proxy-Server, welche auf deinem lokalen Gerät laufen. Mit
Unser Mitgründer Immanuel war zu Gast bei Radio Bonn/ Rhein-Sieg und hat dem Moderatoren-Team Nico Jansen und Jasmin Lenz und