Wireshark Passwort auslesen | Netzwerk Sniffer Tutorial [2021]

Wireshark Tutorial Intro Pakete Steffen Lippke Hacking Series
Wireshark Tutorial Intro Pakete Steffen Lippke Hacking Series

Du brauchst ein Wireshark Tutorial?

Was bedeuten die Datenpakete im Netzwerk?

Das Hacking-Tool Wireshark übersetzt die Codierung in lesbare Bestandteile, die Dir dieses Tutorial näher bringt.

Passwörter mit Wireshark auslesen

Der Wireshark Netzwerk Sniffer ist ein Netzwerk-Analyse-Tool, mit dem der Netzwerk-Administrator einen tiefen Einblick in die Aktivität im Netzwerk erhält. Dieses Tutorial soll Dir stückweise erklären, was Du aus einen Ethernet-Frame (Dateipaket des Internets) herauslesen kannst.

Um das Tutorial anschaulicher zu gestalten, nutze ich als Beispiel die Netzwerk-Aktivität des WordPress-Editor-Refreshers.

Wordpress Refresh
WordPress Refresh

Was ist Wireshark?

Wireshark ist ein Netzwerk-Sniffer.

Sniffen bedeutet so viel wie „Überwachen“, „Untersuchen“ oder „Spionieren“. Wireshark zeichnet jedes Internet-Paket (egal welches Protokoll oder Größe auf), die an Dein Ethernetanschluss gelangt. Netzwerk-Protokolle sind z. B.

  • ICMP – Fehlermeldungen im Netzwerk austauschen
  • UDP – Schnelle Pakete für Video und Audio(Streaming)
  • TCP – HTML-Webseiten
  • RDP – Remote Desktop Protokoll für die Übertragung von Bildschirmen
  • ARP – Address Resolution Protokoll für die Auflösung der MAC am Router
  • NTP – Zeitsynchronisierung
  • usw.

Die Protokolle sind notwendig, sodass der Empfänger die Nutzdaten versteht und die Kommunikation einheitlich und plattformunabhängig funktioniert.

Wireshark Grundlagen: ISO / OSI erklärt

Frame: Die Päckchen aus 0en und 1en

Wenn Du Dir ein Ethernet-Frame in Wireshark ansiehst, siehst Du den folgenden Text:

Eine Ethernet Frame
Eine Frame – Beginner Wireshark Tutorial

(Bild oben) Wir sehen uns die Ebene 2 des OSI-Models an: Die Registerkarte Frame zeigt Informationen über das Datenpaket an, welches über die Leitung gelaufen ist. Der Encapulation type ist die Art des „Pakets“, welches der PC empfangen hat.

Der Empfänger erkennt mit der Frame Nummer das Frame wieder. Das Protokoll beinhaltet neben diesen Informationen auch die Größe des Pakets (Frame Length) und die beinhaltende Größe (Capture Length)

Die Protokolle sind im Frames wie z. B. IP, TCP, HTTP und urlencoded-form enthalten. Die Typen des Anwendungsschicht-Protokolls visualisiert Wireshark mit verschiedenen Farben: Grün bedeutet, dass ein HTTP-Protokoll vorliegt (HTTP Port 80).

Die physische MAC-Adresse aus dem Screenshot weist darauf hin, dass der Empfänger und der Sender ein Asus Motherboard besitzen muss (genauer: BaseBoard Manufactur ASUSTeK COMPUTER INC.)

Steffen Lippke

Die ersten drei Oktetten der MAC-Adresse sind reserviert für den Hersteller (Organizationally Unique Identifier) und die letzten drei Oktetten sind für den Network Interface Controller reserviert.

IP – Die Hausnummer Deines PCs

Dieses Frame verwendet die veraltete Version 4 des Internets-Protokolls (IP):

IP Protokoll
IP Protokoll – Beginner Wireshark Tutorial

Die Version 4 ist an ihrem Limit der verfügbaren Adressen angekommen (4,2 Mrd. Adressen). Zu Beginn der IP-Vergabe haben einige Organisationen riesige Adressräume erhalten, die damit „verschwendet“ wurden. Die Version 6 nutzt stattdessen die längeren 128-Bit-Adressen, welche einen größeren Adressraum ermöglichen.

Die Zahl für Time To Live gibt die Anzahl der Router (Hops oder in Sekunden) die ein IP-Paket durchlaufen darf. Wenn die Time To Live bei 0 angekommen ist, löscht sich das Paket. Die Header Checksum ist eine Prüfsumme, mit der die Netzwerkkarte die korrekte Übertragung des IP-Kopfs verifizieren kann.

Die Quell- und Ziel-IP-Adresse (der Empfänger und Sender) sind in dem Feld Source und Destination angegeben.

TCP – achtet auf Vollständigkeit, Reihenfolge und Richtigkeit

Das TCP enthält Funktionen, die zur …

… der Übertragung dienen. Das TCP beginnt mit den Port-Nummern (vgl. mit einem Haus mit mehreren Haustüren) und die Sequenznummern des TCP-Pakets.

TCP Protokoll
TCP Protokoll – Beginner Wireshark Tutorial

Der Sender splitte ein Frame in viele Stücke (Sequenzen).

Um diese richtig zuzuordnen, muss der Empfänger die TCP-Pakete nach der Reihenfolge der Sequenznummer zusammensetzen. Das TCP-Paket bestätigt den Empfang eines Pakets mit dem Piggy-Backing (Acknowledgement Number) von dem Empfänger.

Um zu überprüfen, ob der Empfänger das Frame korrekt erhalten hat, überprüft eine Checksum das Paket (ähnlich eines Hash-Werts) auf die Richtigkeit.

HTTP – Oh! Der Nutzer sieht was

Das HTTP-Protokoll ist Teil der Anwendungsschicht des ISO / OSI-Models.

Diese Anfrage zeigt einen POST-Request. Der Browser sendet Formulardaten zum Server. Die admin-ajax.php verarbeitet die Daten auf dem Server.

HTTP Protokoll
HTTP Protokoll – Beginner Wireshark Tutorial

Unter Host findest Du den aufgerufenen DNS-Server. Das User-Agent-Feld beinhaltet die wesentlichen Informationen über den verwendeten Browser, der die Anfrage gestellt hat.

Die Übermittlung des Browsers ist wichtig, damit der Server bei einem alten Internet Explorer eine Webseite ohne JavaScript übertragen sollte. Microsoft unterdrückt bei älteren Versionen von Internet Explorer die Ausführung der Client-Skript-Sprache.

Der Content-Type kündigt dem Server an, wie er die Nutzerdaten zu encodieren bzw. zu verstehen hat. Wenn diese Zeile fehlt, kann es schnell zu einem CORS-Problem kommen.

UTF-8 stellt den Zeichensatz für dieses Dokument dar. Der weitverbreitete Zeichensatz UTF-8 besteht aus bis zu vier-Byte-große Codes mit z. B. den Zeichen wie a,+,&,ö,p.

Nutzerdaten – Der goldene Kern jedes Pakets

Dieser Abschnitt zeigt die Daten eines Formulars an.

X-www-form-urlencoded ist ein MIME-Typ. Die Multi-Internet-Mail-Extensions (MIME) sind die Erweiterungen der klassischen Mail. Der Sender kann MIME Videos, Bilder und weitere Anhänge an eine E-Mail anhängen.

Sichtbare Nuztdaten
Sichtbare Nutzdaten – Beginner Wireshark Tutorial

Hack IT: Passwörter sniffen

Die gezeigten Analysemöglichkeiten lassen Hackern einen Raum zum Angreifen.

Beispielsweise können Hacker Passwörter und Benutzername über HTTP auslesen. Die Passwort-Strings sind nur mit Base64 maskiert. Jeder Browser kann diese Strings umwandeln.

Steffen Lippke

Der Hacker erfährt eine Menge über die verwendeten Technologien und kann eine bekannte Sicherheitslücke an dem Opfer austesten. Der Sniffer erfährt folgendes über den Internetnutzer:

  • Der Nutzer nutzt Mozilla als Firefox ,…
  • welches auf Windows 10 läuft
  • und eine Asus-Motherboard besitzt
  • ruft gerne Seite X, Y, Z gerne auf
  • usw.

Sicherung: Sniffern keine Chance geben

Jeder Nutzer sollte auf eine verschlüsselte Verbindung achten. Diese ist als eine gute Sicherung gegen neugierige Sniffer. Diese können nur noch einen Salat von Zeichen erkennen, der nicht in Klartext umwandelbar ist.

Verschlüsselungen sind die Rettung

Nutze VPN!

Steffen Lippke

Nutze TSL (früher SSL)!

Vermeide die Nutzung einer Banking-App über dein Handy und verwende stattdessen deinen Laptop / Desktop-PC mit einer eignen Internet-Anbindung, sowie eine Sandbox eines Virenschutzprogramms.

Credits

Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY  – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY –Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY


Danke fürs Lesen! Erhalte weitere Tutorials in meinem kostenlosen Newsletter.
Jeden Monat teile ich mit Dir 4 neue praxisnahe Tutorials.
Trage Deine Mail zum kostenlosen Empfang des Newsletters* ein.




Quellenangabe Bilder: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, frei verfügbar nach EULA
*) Mit dem Abonnement des Newsletters erklären Sie sich mit der Analyse des Newsletters durch individuelle Messung, Speicherung und Analyse von Öffnungsraten und der Klickraten in Profilen zu Zwecken der Gestaltung künftig besserer Newsletter einverstanden. Sie können die Einwilligung in den Empfang des Newsletters und die Messung mit Wirkung für die Zukunft widerrufen. Mehr in der Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


Jeden Monat teile ich mit den Mitgliedern
4 neue praxisnahe ausführliche Tutorials (je 1000+ Wörter).


Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!

Die Website nutzt nur technisch notwendige Cookies.