Netzwerk-Analyse mit Wireshark: Datenströme verfolgen mit Verbindungsfiltern

    , 07.06.2019
    Tags: , ,

    TCP-Stream folgen in WiresharkMit Wireshark kann man auch kom­plette Kommu­nikations­ströme nach­ver­folgen, also alle Pakete filtern, die eine spezi­fische Inter­aktion zwischen zwei Sys­temen dar­stellen. Dazu muss man erst ein Paket finden, das zur Inter­aktion zwischen den beiden End­punkten gehört und darauf einen Ver­bindungs­filter an­wenden.

    Wir gehen im ersten Beispiel von einem bestehenden ungefilterten Mitschnitt einer FTP-Sitzung aus, bei der wir auf eine Ver­schlüsselung verzichtet haben. Zuerst suchen wir ein Paket aus, von dem wir wissen, dass es zu einem ganz bestimmten Kommuni­kations­strom gehört und klicken dann im Kontextmenü auf Verbindungsfilter.

    Hier besteht die Möglichkeit, auf  MAC-Ebene ("Ethernet" = Layer 2), IPv4-Ebene (Layer 3) oder TCP-Ebene (Layer 4) zu filtern. In diesem Beispiel testen wir mit TCP, weil Layer 4 meist die exakteste Form der Filterung erlaubt.

    TCP-Verbindungsfilter erzeugen für eine FTP-Kommunikation

    In Abhängigkeit von dieser Auswahl erstellt Wireshark jetzt in der Kopfzeile automatisch den passenden Filter, in diesem Fall

    (ip.addr eq 192.168.1.124 and ip.addr eq 192.168.1.200) and (tcp.port eq 21 and tcp.port eq 58733)

    Der Verbindungsfilter macht die Pakete der FTP-Kommunikation sichtbar.

    In einem weiteren Beispiel können wir bei einem Paket, das erkennbar zu einer DNS-Kommunikation gehört, den Verbindungs­filter auf UDP einstellen. Der generierte Ausdruck sieht dann so aus:

    (ip.addr eq 192.168.1.200 and ip.addr eq 192.168.0.12) and (udp.port eq 63119 and udp.port eq 53)

    DNS-Kommunikation aus dem Mitschnitt filtern

    Diese Vorgehens­weise ist zwar ganz nett, Wireshark bietet aber auch noch bessere Methoden.

    Im nächsten Beispiel haben wir die HTTPS-Kommunikation von Client 192.168.1.200 mit der URL eines VMware vCenter Web-Clients unter der IP 192.168.0.10 aufgezeichnet und uns mit dem SSO-Account

    Administrator@vsphere.local

    authentifiziert.

    Nun markieren wir im ungefilterten Mitschnitt ein Paket, das offensichtlich zu diesem Kommunikations-Stream gehört (hier Paket Nr. 23), und wählen im Kontextmenü den Eintrag Folgen => TCP Stream.

    TCP-Stream für eine HTTPS-Kommunikation folgen

    Wir erhalten dann folgende Ausgabe:

    Aus einer verschlüsselten Verbindung lassen sich erwartungsgemäß keine verwertbaren Informationen entnehmen.

    Da die Verbindung zum vCenter-Server SSL-verschlüsselt ist, sieht man, wie erwartet, nicht viel. Im folgenden Screenshot hingegen folgen wir einem HTTP-Stream beim Anzeigen der Website www.vmword.com.

    Um ein erstes zu dieser HTTP-Kommunikation passendes Paket überhaupt zu finden, verwenden wir erst den Filter

    tcp contains "vmword.com"

    und markieren dann eines der gefundenen HTTP-Pakete. Danach wählen wir im Kontextmenü Folgen => HTTP Stream, was den Filter

    tcp.stream eq 9

    erzeugt. Das Ergebnis sieht nun so aus:

    Die Analyse einer HTTP-Verbindung zeigt den HTTP-Header und die Nutzdaten.

    Auf diese Weise erhält man den kompletten HTTP-Header und findet unter anderem sehr schnell heraus, welcher Browser verwendet wurde, welche Sprache der Agent akzeptiert und dass auf dem Server Wordpress läuft.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links