Netzwerk-Analyse mit Wireshark: Datenströme verfolgen mit Verbindungsfiltern


    Tags: , ,

    TCP-Stream folgen in WiresharkMit Wireshark kann man auch kom­plette Kommu­nikations­ströme nach­ver­folgen, also alle Pakete filtern, die eine spezi­fische Inter­aktion zwischen zwei Sys­temen dar­stellen. Dazu muss man erst ein Paket finden, das zur Inter­aktion zwischen den beiden End­punkten gehört und darauf einen Ver­bindungs­filter an­wenden.

    Wir gehen im ersten Beispiel von einem bestehenden ungefilterten Mitschnitt einer FTP-Sitzung aus, bei der wir auf eine Ver­schlüsselung verzichtet haben. Zuerst suchen wir ein Paket aus, von dem wir wissen, dass es zu einem ganz bestimmten Kommuni­kations­strom gehört und klicken dann im Kontextmenü auf Verbindungsfilter.

    Hier besteht die Möglichkeit, auf  MAC-Ebene ("Ethernet" = Layer 2), IPv4-Ebene (Layer 3) oder TCP-Ebene (Layer 4) zu filtern. In diesem Beispiel testen wir mit TCP, weil Layer 4 meist die exakteste Form der Filterung erlaubt.

    TCP-Verbindungsfilter erzeugen für eine FTP-Kommunikation

    In Abhängigkeit von dieser Auswahl erstellt Wireshark jetzt in der Kopfzeile automatisch den passenden Filter, in diesem Fall

    (ip.addr eq 192.168.1.124 and ip.addr eq 192.168.1.200) and (tcp.port eq 21 and tcp.port eq 58733)

    Der Verbindungsfilter macht die Pakete der FTP-Kommunikation sichtbar.

    In einem weiteren Beispiel können wir bei einem Paket, das erkennbar zu einer DNS-Kommunikation gehört, den Verbindungs­filter auf UDP einstellen. Der generierte Ausdruck sieht dann so aus:

    (ip.addr eq 192.168.1.200 and ip.addr eq 192.168.0.12) and (udp.port eq 63119 and udp.port eq 53)

    DNS-Kommunikation aus dem Mitschnitt filtern

    Diese Vorgehens­weise ist zwar ganz nett, Wireshark bietet aber auch noch bessere Methoden.

    Im nächsten Beispiel haben wir die HTTPS-Kommunikation von Client 192.168.1.200 mit der URL eines VMware vCenter Web-Clients unter der IP 192.168.0.10 aufgezeichnet und uns mit dem SSO-Account

    Administrator@vsphere.local

    authentifiziert.

    Nun markieren wir im ungefilterten Mitschnitt ein Paket, das offensichtlich zu diesem Kommunikations-Stream gehört (hier Paket Nr. 23), und wählen im Kontextmenü den Eintrag Folgen => TCP Stream.

    TCP-Stream für eine HTTPS-Kommunikation folgen

    Wir erhalten dann folgende Ausgabe:

    Aus einer verschlüsselten Verbindung lassen sich erwartungsgemäß keine verwertbaren Informationen entnehmen.

    Da die Verbindung zum vCenter-Server SSL-verschlüsselt ist, sieht man, wie erwartet, nicht viel. Im folgenden Screenshot hingegen folgen wir einem HTTP-Stream beim Anzeigen der Website www.vmword.com.

    Um ein erstes zu dieser HTTP-Kommunikation passendes Paket überhaupt zu finden, verwenden wir erst den Filter

    tcp contains "vmword.com"

    und markieren dann eines der gefundenen HTTP-Pakete. Danach wählen wir im Kontextmenü Folgen => HTTP Stream, was den Filter

    tcp.stream eq 9

    erzeugt. Das Ergebnis sieht nun so aus:

    Die Analyse einer HTTP-Verbindung zeigt den HTTP-Header und die Nutzdaten.

    Auf diese Weise erhält man den kompletten HTTP-Header und findet unter anderem sehr schnell heraus, welcher Browser verwendet wurde, welche Sprache der Agent akzeptiert und dass auf dem Server Wordpress läuft.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links