Wireshark Passwort auslesen | Netzwerk Sniffer [2024]

Wireshark Tutorial Intro Pakete Steffen Lippke Hacking Series

Du brauchst ein Wireshark Tutorial?

Was bedeuten die Datenpakete im Netzwerk?

Das Hacking-Tool Wireshark übersetzt die Codierung in lesbare Bestandteile, die Dir dieses Tutorial näher bringt.

Passwörter mit Wireshark auslesen

Der Wireshark Netzwerk Sniffer ist ein Netzwerk-Analyse-Tool, mit dem der Netzwerk-Administrator einen tiefen Einblick in die Aktivität im Netzwerk erhält. Dieses Tutorial soll Dir stückweise erklären, was Du aus einen Ethernet-Frame (Dateipaket des Internets) herauslesen kannst.

Um das Tutorial anschaulicher zu gestalten, nutze ich als Beispiel die Netzwerk-Aktivität des WordPress-Editor-Refreshers.

Wordpress Refresh
WordPress Refresh

Was ist Wireshark?

Wireshark ist ein Netzwerk-Sniffer.

Sniffen bedeutet so viel wie „Überwachen“, „Untersuchen“ oder „Spionieren“. Wireshark zeichnet jedes Internet-Paket (egal welches Protokoll oder Größe auf), die an Dein Ethernetanschluss gelangt. Netzwerk-Protokolle sind z. B.

  • ICMP – Fehlermeldungen im Netzwerk austauschen
  • UDP – Schnelle Pakete für Video und Audio(Streaming)
  • TCP – HTML-Webseiten
  • RDP – Remote Desktop Protokoll für die Übertragung von Bildschirmen
  • ARP – Address Resolution Protokoll für die Auflösung der MAC am Router
  • NTP – Zeitsynchronisierung
  • usw.

Die Protokolle sind notwendig, sodass der Empfänger die Nutzdaten versteht und die Kommunikation einheitlich und plattformunabhängig funktioniert.

Wireshark Grundlagen: ISO / OSI erklärt

Frame: Die Päckchen aus 0en und 1en

Wenn Du Dir ein Ethernet-Frame in Wireshark ansiehst, siehst Du den folgenden Text:

Eine Ethernet Frame
Eine Frame

(Bild oben) Wir sehen uns die Ebene 2 des OSI-Models an: Die Registerkarte Frame zeigt Informationen über das Datenpaket an, welches über die Leitung gelaufen ist. Der Encapulation Type ist die Art des „Pakets“, welches der PC empfangen hat.

Der Empfänger erkennt mit der Frame Nummer das Frame wieder. Das Protokoll beinhaltet neben diesen Informationen auch die Größe des Pakets (Frame Length) und die beinhaltende Größe (Capture Length)

Die Protokolle sind im Frames wie z. B. IP, TCP, HTTP und urlencoded-form enthalten. Die Typen des Anwendungsschicht-Protokolls visualisiert Wireshark mit verschiedenen Farben: Grün bedeutet, dass ein HTTP-Protokoll vorliegt (HTTP Port 80).

Die physische MAC-Adresse aus dem Screenshot weist darauf hin, dass der Empfänger und der Sender ein Asus Motherboard besitzen muss (genauer: BaseBoard Manufactur ASUSTeK COMPUTER INC.)

Steffen Lippke

Die ersten drei Oktetten der MAC-Adresse sind reserviert für den Hersteller (Organizationally Unique Identifier) und die letzten drei Oktetten sind für den Network Interface Controller reserviert.

IP – Die Etagennummer Deines PCs

Dieses Frame verwendet die veraltete Version 4 des Internets-Protokolls (IP):

IP Protokoll
IP Protokoll

Die Version 4 ist an ihrem Limit der verfügbaren Adressen angekommen (4,2 Mrd. Adressen). Zu Beginn der IP-Vergabe haben einige Organisationen riesige Adressräume erhalten, die damit „verschwendet“ wurden. Die Version 6 nutzt stattdessen die längeren 128-Bit-Adressen, welche einen größeren Adressraum ermöglichen.

Die Zahl für Time To Live gibt die Anzahl der Router (Hops oder in Sekunden), die ein IP-Paket durchlaufen darf. Wenn die Time To Live bei 0 angekommen ist, löscht sich das Paket. Die Header Checksum ist eine Prüfsumme, mit der die Netzwerkkarte die korrekte Übertragung des IP-Kopfs verifizieren kann.

Die Quell- und Ziel-IP-Adresse (der Empfänger und Sender) sind in dem Feld Source und Destination angegeben.

TCP – achtet auf Vollständigkeit, Reihenfolge und Richtigkeit

Das TCP enthält Funktionen, die zur …

… der Übertragung dienen. Das TCP beginnt mit den Port-Nummern (vgl. mit einem Haus mit mehreren Haustüren) und die Sequenznummern des TCP-Pakets.

TCP Protokoll
TCP Protokoll

Der Sender splitte ein Frame in viele Stücke (Sequenzen).

Um diese richtig zuzuordnen, muss der Empfänger die TCP-Pakete nach der Reihenfolge der Sequenznummer zusammensetzen. Das TCP-Paket bestätigt den Empfang eines Pakets mit dem Piggy-Backing (Acknowledgement Number) von dem Empfänger.

Um zu überprüfen, ob der Empfänger das Frame korrekt erhalten hat, überprüft eine Checksum das Paket (ähnlich eines Hash-Werts) auf die Richtigkeit.

HTTP – Oh! Der Nutzer sieht was

Das HTTP-Protokoll ist Teil der Anwendungsschicht des ISO / OSI-Models.

Diese Anfrage zeigt einen POST-Request. Der Browser sendet Formulardaten zum Server. Die admin-ajax.php verarbeitet die Daten auf dem Server.

HTTP Protokoll
HTTP Protokoll

Unter Host findest Du den aufgerufenen DNS-Server. Das User-Agent-Feld beinhaltet die wesentlichen Informationen über den verwendeten Browser, der die Anfrage gestellt hat.

Die Übermittlung des Browsers ist wichtig, damit der Server bei einem alten Internet Explorer eine Webseite ohne JavaScript übertragen sollte. Microsoft unterdrückt bei älteren Versionen von Internet Explorer die Ausführung der Client-Skript-Sprache.

Der Content-Type kündigt dem Server an, wie er die Nutzerdaten zu encodieren bzw. zu verstehen hat. Wenn diese Zeile fehlt, kann es schnell zu einem CORS-Problem kommen.

UTF-8 stellt den Zeichensatz für dieses Dokument dar. Der weitverbreitete Zeichensatz UTF-8 besteht aus bis zu vier-Byte-große Codes mit z. B. den Zeichen wie a,+,&,ö,p.

Nutzerdaten – Der goldene Kern jedes Pakets

Dieser Abschnitt zeigt die Daten eines Formulars an.

X-www-form-urlencoded ist ein MIME-Typ. Die Multi-Internet-Mail-Extensions (MIME) sind die Erweiterungen der klassischen Mail. Der Sender kann Texte, Formulare, Videos, Bilder und weitere Anhänge an eine E-Mail anhängen.

Sichtbare Nuztdaten
Sichtbare Nutzdaten

Hack IT: Passwörter sniffen

Die gezeigten Analysemöglichkeiten lassen Hackern einen Raum zum Angreifen.

Beispielsweise können Hacker Passwörter und Benutzername über HTTP auslesen. Die Passwort-Strings sind nur mit Base64 maskiert. Jeder Browser kann diese Strings umwandeln.

Steffen Lippke

Der Hacker erfährt eine Menge über die verwendeten Technologien und kann eine bekannte Sicherheitslücke an dem Opfer austesten. Der Sniffer erfährt folgendes über den Internetnutzer:

  • Der Nutzer nutzt Mozilla als Firefox , …
  • welches auf Windows 10 läuft
  • und ein Asus-Motherboard besitzt
  • ruft gerne Seite X, Y, Z gerne auf
  • usw.

Sicherung: Sniffern keine Chance geben

Jeder Nutzer sollte auf eine verschlüsselte Verbindung achten. Diese ist als eine gute Sicherung gegen neugierige Sniffer. Diese können nur noch einen Salat von Zeichen erkennen, der nicht in Klartext umwandelbar ist.

Verschlüsselungen sind die Rettung

Nutze VPN!

Steffen Lippke

Nutze TSL (früher SSL)!

Vermeide die Nutzung einer Banking-App über Dein Handy und verwende stattdessen Deinen Laptop / Desktop-PC mit einer eignen Internet-Anbindung, sowie eine Sandbox eines Virenschutzprogramms.

Credits

Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY  – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY –Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


Jeden Monat teile ich mit Mitgliedern
4 neue praxisnahe Tutorials (je 1000+ Wörter).


Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!

Die Webseite nutzt nur technisch notwendige Cookies.