Tags: Netzwerk, Monitoring, Sicherheit
Mit Wireshark kann man auch komplette Kommunikationsströme nachverfolgen, also alle Pakete filtern, die eine spezifische Interaktion zwischen zwei Systemen darstellen. Dazu muss man erst ein Paket finden, das zur Interaktion zwischen den beiden Endpunkten gehört und darauf einen Verbindungsfilter anwenden.
Wir gehen im ersten Beispiel von einem bestehenden ungefilterten Mitschnitt einer FTP-Sitzung aus, bei der wir auf eine Verschlüsselung verzichtet haben. Zuerst suchen wir ein Paket aus, von dem wir wissen, dass es zu einem ganz bestimmten Kommunikationsstrom gehört und klicken dann im Kontextmenü auf Verbindungsfilter.
Hier besteht die Möglichkeit, auf MAC-Ebene ("Ethernet" = Layer 2), IPv4-Ebene (Layer 3) oder TCP-Ebene (Layer 4) zu filtern. In diesem Beispiel testen wir mit TCP, weil Layer 4 meist die exakteste Form der Filterung erlaubt.
In Abhängigkeit von dieser Auswahl erstellt Wireshark jetzt in der Kopfzeile automatisch den passenden Filter, in diesem Fall
(ip.addr eq 192.168.1.124 and ip.addr eq 192.168.1.200) and (tcp.port eq 21 and tcp.port eq 58733)
In einem weiteren Beispiel können wir bei einem Paket, das erkennbar zu einer DNS-Kommunikation gehört, den Verbindungsfilter auf UDP einstellen. Der generierte Ausdruck sieht dann so aus:
(ip.addr eq 192.168.1.200 and ip.addr eq 192.168.0.12) and (udp.port eq 63119 and udp.port eq 53)
Diese Vorgehensweise ist zwar ganz nett, Wireshark bietet aber auch noch bessere Methoden.
Im nächsten Beispiel haben wir die HTTPS-Kommunikation von Client 192.168.1.200 mit der URL eines VMware vCenter Web-Clients unter der IP 192.168.0.10 aufgezeichnet und uns mit dem SSO-Account
Administrator@vsphere.local
authentifiziert.
Nun markieren wir im ungefilterten Mitschnitt ein Paket, das offensichtlich zu diesem Kommunikations-Stream gehört (hier Paket Nr. 23), und wählen im Kontextmenü den Eintrag Folgen => TCP Stream.
Wir erhalten dann folgende Ausgabe:
Da die Verbindung zum vCenter-Server SSL-verschlüsselt ist, sieht man, wie erwartet, nicht viel. Im folgenden Screenshot hingegen folgen wir einem HTTP-Stream beim Anzeigen der Website www.vmword.com.
Um ein erstes zu dieser HTTP-Kommunikation passendes Paket überhaupt zu finden, verwenden wir erst den Filter
tcp contains "vmword.com"
und markieren dann eines der gefundenen HTTP-Pakete. Danach wählen wir im Kontextmenü Folgen => HTTP Stream, was den Filter
tcp.stream eq 9
erzeugt. Das Ergebnis sieht nun so aus:
Auf diese Weise erhält man den kompletten HTTP-Header und findet unter anderem sehr schnell heraus, welcher Browser verwendet wurde, welche Sprache der Agent akzeptiert und dass auf dem Server Wordpress läuft.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- Fortgeschrittene Techniken mit Nmap: TCP-Window-, FIN-, NULL- und XMAS-Scans
- Nmap: Firewalls umgehen mit Ping- und TCP-ACK-Scans
- Portscanner Nmap: die wichtigsten Funktionen im Überblick
- Netzwerk-Analyse mit Wireshark: TCP-Handshake beim Aufbau einer Sitzung untersuchen
- Netzwerk-Analyse mit Wireshark am Beispiel von Ping
Weitere Links