Wireshark Praxis – einfach erklärt [Eth, IP, TCP, HTTP]

Wireshark Intro Pakete Steffen Lippke Hacking Series

Es ist bekannt, das der PC arbeitet mit 0 und 1.

Wie kann ich aber z. B. den Netzwerkstrom aus 0 und 1 verstehen?

Wireshark übersetzt die Codierung in lesbare Bestandteile, die wir heute untersuchen wollen

Aufgabe: (Internet-)Pakete öffnen

Um was geht’s? – Thema

Wireshark ist eine Netzwerk-Analyse Tool, mit dem der Systemadministrator einen tiefen Einblick in die Aktivität im Netzwerk erhält. Dieses Tutorial soll Dir stückweise erklären, was Du aus einen Frame herauslesen kannst und was nicht:

Als Beispiel nehme ich einen Frame vom WordPress-Editor-Refresher.

Knappe Einordnung

Heute geht es um Sniffer.

In erster Linie ist das Ziel dieses Tutorials zu verstehen, wie die „Kapseln“ um die Nutzdaten aufgebaut sind. Die Kapseln sind Netzwerk-Protokolle wie z. B. Ethernet, IP, TCP, UDP und ähnliches.

Die Protokolle sind notwendig, sodass der Empfänger die Nutzdaten versteht und eine einheitliche Kommunikation zu ermöglichen.

Grundlagen: ISO / OSI mal anders

Frame: Wir packen Päckchen!?

Ebene 2: Die Registerkarte Frame zeigt Informationen über das Datenpaket an, welches über die Leitung gelaufen ist. Encapulation type ist die Art der „Pakets“, welches der PC empfangen hat.
Die Frame Nummer erkennte der Empfänger ein Frames wieder.

Eine Ethernet Frame
Eine Frame

Das Weitern beinhaltet das Protokoll eine Größe des Pakets (Frame Length) und die erhaltene Größe (Capture Length)

Weitere Protokolle sind im Frame wie z. B. IP, TCP, HTTP und urlencoded-form enthalten. Der Type des Anwendungsschicht-Protokoll visualisiert Wireshark mit Farben: Grün bedeutet, dass eine HTTP-Protokoll vorliegt (HTTP Standard Port 80).

Ethernet: So findet das Paket seinen Empfänger

Diese Protokolle-Schicht definiert den Ethernet-Ebene. Erkennbar durch die MAC-Adressen ist, dass der Empfänger, sowie der Sender eine Asus Motherboad besitzen muss (mein PC: BaseBoard Manufactur ASUSTeK COMPUTER INC.)

Die ersten drei Oktetten der MAC-Adressesind reserviert für den Hersteller (Organizationally Uniqure Identifier) und die letzten drei Oktetten sind für den Network Inteface Controller reserviert.

IP – Die Hausnummer Deines PCs

Dieses Frame verwendet die veraltete Version von IP-Protokoll:

11 Kostenlose Exklusive App Dev Tipps

Deine Mail für Zugang zu praxisnahe App Entwicklung Tipps zu erhalten

IP Protokoll
IP Protokoll

Version 4 kämpft zurzeit mit dem beschränkten Adressraum. IPv6 nutzt 128 Bit Adressen, welche einen größeren Adressraum ermöglichen.

Time To Live gibt die Anzahl der Router (Hops oder auch in Sekunden) die ein IP-Paket durchlaufen darf. Wenn Time To Live bei 0 angekommen ist, löscht sich das Paket. Die Header Checksum ist ein Prüfsumme, mit der die Netzwerkkarte die korrekte Übertragung des IP-Kopf verifizieren kann.

Die Quell- und Ziel-IP-Adresse sind in Source und Destination angegeben.

TCP – achtet auf Vollständigkeit, Reihenfolge und Richtigkeit

Das TCP enthält einige Funktionen, die zur Sicherheit, Integrität und Verlässlichkeit der Übertragung dienen. Das TCP beginnt mit den Port-Nummern (vgl. mit einem Haus mit mehreren Haustüren) und die Sequenznummern des TCP-Pakets.

TCP Protokoll
TCP Protokoll

Ein Frame splittete der Sender in viele Abschnitte (Sequenzen). Um diese richtig zuzuordnen, muss der Empfänger die TCP Pakete nach der Reihenfolge der Sequenznummer zusammensetzen. Das TCP Paket bestätigt den Empfang  des eines Pakets via Piggy-Backing  (Acknowledgement Number) von Empfänger. Um zu überprüfen, ob der Empfänger das Frame korrekt erhalten hat, prüft eine Checksum das Paket (ähnlich eines Hash-Werts) auf Richtigkeit.

HTTP – Oh! Der Nutzer sieht was

Das HTTP-Protokoll ist Teil der Anwendungsschicht des ISO / OSI-Models. Diese Anfrage zeigt einen POST-Request. Wie im unteren Bild sichtbar, sendet der Browser Formulardaten zum Server. Diese verarbeite auf dem Server die admin-ajax.php.

HTTP Protokoll
HTTP Protokoll

Unter Host findest Du den aufgerufen DNS des Servers. Die Ziele mit dem User-Agent enthält wesentliche Informationen über den verwendeten Browser, der die Daten sendet. Die Übermittlung des Browsers ist wichtig, da z. B. der Server bei einem alten Internet Explorer eine Version der Webseiten ohne JavaScript übertragen sollte. Bei älteren Versionen von IE unterdrückte Microsoft die Ausführung der Client-Skript-Sprache.

Der Content-Type kündigt dem Server an, wie er die Nutzerdaten zu encodieren bzw. zu verstehen hat. Wenn diese Zeile fehlt kann es schnell zu CORS Probleme kommen. UTF-8 stellt den Zeichensatz für dieses Dokument dar. UTF-8 enthält vier-byte-große Binärcodierungen von Zeichen wie a,+,&,ö,p, welcher heute ein weitverbreiteter Standard ist.

Nutzerdaten – Der goldene Kern jedes Pakets

Dieser Abschnitt zeigt die Daten eins Formulars an. X-www-form-urlencoded ist ein MIME-Type.  Multi-Internet-Mail-Extensions sind Erweiterungen der klassischen Mail. Der Sender kann MIME Videos, Bilder und weitere Anhänge an die E-Mail anhängen.

Sichtbare Nuztdaten
Sichtbare Nuztdaten

Dieser MIME sind Daten die ein Webformular via POST Methode gesendet hat. Diese codiert der PC in einer URL konformen Codierung.

Vielleicht hast Du erkannt, dass dieses Datennetz vom eine WordPress-Refresher für das Post-Schreiben stammt.

Hack IT: Passwörter sniffen

Spurensuche – Wireshark nutzen

Die gezeigten Analysemöglichkeiten lassen Hackern einen Raum zum Hacken. Beispielsweise können Hacker Passwörter und Benutzername über HTTP auslesen. Die Strings sind nur als mit Base64 maskiert. Diese kann jeder Browser schnell ohne großen Aufwand umwandeln.

Der Hacker erfährt eine Menge über die verwendeten Technologien und kann dem entsprechend eine bekannte Sicherheitslücke dieser Systeme testen. Der Sniffer erfährt auch viel über den Internetnutzer: Dieser ist eine Mozilla User mit Windows 10, der eine Asus-Motherboard hat. Außerdem ruft dieser Seite X, Y, Z gerne auf.

Sicherung: Sniffern keine Chance geben

Jeder aufmerksamer Nuzter auf verschlüsselte Verbindungen achten. Diese dienen als eine gute Sicherung gegen neugierige Sniffer. Diese können nur noch einen Stapel von Zeichen sehen, der nicht so schnell dechiffierbar ist.

Verschlüsselungen sind Dein Ass

Nutzer VPNs, nutze TLS, nutze gesicherte Verbindungen. Vermeide Banking um jeden Preis über dein Handy und verwende stattdessen deinen Desktop-PC mit einer eignen Internet-Anbindung, sowie eine Sandbox eines Virenschutzprogramms.

Das ist sinnvoll.

 

Credits

11 Kostenlose Exklusive App Dev Tipps

Deine Mail für Zugang zu praxisnahe App Entwicklung Tipps zu erhalten

Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY  – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY –Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY

Sichere Dir den kompletten
Fundamental Ionic Course

Die kostenlosen Tutorials sind ein Ausschnitt
aus dem Fudamental Ionic Course by Steffen Lippke.

Schon 4832 erfolgreiche Absolventen

  • Code Downloads + umfangreiche Lösungen + Dateien für Grundlagen zum Coden
  • Visuelle Beschreibungen mit HD+ Screenshots und Hilfen
  • Steffen's Clean Code - Erweiterung - Verbesserungs - Tipps
 

100 h Kurslänge | 100 % Geld-Zurück-Garantie | Live-Support

 
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.