Wireshark Passwort auslesen | Tutorial Netzwerk Sniffer [2020]

Wireshark Tutorial Intro Pakete Steffen Lippke Hacking Series
Wireshark Tutorial Intro Pakete Steffen Lippke Hacking Series

Im Netzwerk spionieren? Passwörter im Netzwerk abfragen… das kannst Du mit diesem Wireshark Tutorial.

Wie kannst Du die 0en und 1en, die über das Netzwerk-Kabel huschen verstehen und aufzeichnen?

Das Hacking-Tool Wireshark übersetzt die Codierung in lesbare Bestandteile, die ich Dir näher bringen werde:

Passwörter mit Wireshark auslesen

Der Wireshark Netzwerk Sniffer ist ein Netzwerk-Analyse-Tool, mit dem der Netzwerk-Administrator einen tieferen Einblick in die Aktivität im Netzwerk erhält. Dieses Tutorial soll Dir stückweise erklären, was Du aus einen Ethernet-Frame (Dateipaket des Internets) herauslesen kannst.

Um das Tutorial anschaulicher zu gestalten, nutze ich als Beispiel die Netzwerk-Aktivität des WordPress-Editor-Refreshers.

Wordpress Refresh
WordPress Refresh

Was ist Wireshark?

Wireshark ist ein Sniffer.

Sniffen bedeutet so viel wie „Überwachen“, „Untersuchen“ oder „Spionieren“ im Deutschen. Wireshark zeichnet jedes Internet-Paket (egal welches Protokoll oder Größe auf), die an Dein Ethernetanschluss gelangt. Netzwerk-Protokolle sind z.B.

Steffen Lippke
  • ICMP – für E-Mail
  • UDP – Video und Streaming
  • NTP – Zeitsynchronisierung
  • usw.

Die Protokolle sind notwendig, sodass der Empfänger die Nutzdaten versteht und die Kommunikation einheitlich plattformunabhängig funktioniert.

Wireshark Grundlagen: ISO / OSI erklärt

Frame: Die Päckchen aus 0en und 1en

Wen Du Dir ein Ethernet-Frame in Wireshark ansiehst, siehst Du folgenden Text:

Eine Ethernet Frame
Eine Frame – Beginner Wireshark Tutorial

(Bild oben) Wir sehen uns in der Ebene 2 desOSI-Models an: Die Registerkarte Frame zeigt Informationen über das Datenpaket an, welches über die Leitung gelaufen ist. der Encapulation type ist die Art des „Pakets“, welches der PC empfangen hat.

Mit der Frame Nummer erkannt der Empfänger ein Frames wieder. Das Protokoll beinhaltet neben diesen Informationen auch die Größe des Pakets (Frame Length) und die erhaltene Größe (Capture Length)

Die Protokolle sind im Frame wie z. B. IP, TCP, HTTP und urlencoded-form enthalten. Der Type des Anwendungsschicht-Protokolls visualisiert Wireshark mit verschiedenen Farben: Grün bedeutet, dass ein HTTP-Protokoll vorliegt (HTTP Port 80).

Aus dem Screenshot kannst Du die physische MAC-Adresse erkennen, dass der Empfänger, sowie der Sender eine Asus Motherboard besitzen muss (genauer: BaseBoard Manufactur ASUSTeK COMPUTER INC.)

Steffen Lippke

Die ersten drei Oktetten der MAC-Adresse sind reserviert für den Hersteller (Organizationally Unique Identifier) und die letzten drei Oktetten sind für den Network Interface Controller reserviert.

IP – Die Hausnummer Deines PCs

Dieses Frame verwendet die veraltete Version 4 des Internets-Protokolls:

IP Protokoll
IP Protokoll – Beginner Wireshark Tutorial

Die Version 4 kämpft mit dem beschränkten Adressraum (4,2 Mrd. Adressen). Die Version 6 nutzt stattdessen die längeren 128-Bit-Adressen, welche einen größeren Adressraum ermöglichen.

Die Zahl für Time To Live gibt die Anzahl der Router (Hops oder in Sekunden) die ein IP-Paket durchlaufen darf. Wenn die Time To Live bei 0 angekommen ist, löscht sich das Paket. Die Header Checksum ist eine Prüfsumme, mit der die Netzwerkkarte die korrekte Übertragung des IP-Kopf verifizieren kann.

Die Quell- und Ziel-IP-Adresse sind in Source und Destination angegeben.

TCP – achtet auf Vollständigkeit, Reihenfolge und Richtigkeit

Das TCP enthält Funktionen, die zur …

… der Übertragung dienen. Das TCP beginnt mit den Port-Nummern (vgl. mit einem Haus mit mehreren Haustüren) und die Sequenznummern des TCP-Pakets.

TCP Protokoll
TCP Protokoll – Beginner Wireshark Tutorial

Ein Frame splittete der Sender in viele Abschnitte (Sequenzen).

Um diese richtig zuzuordnen, muss der Empfänger die TCP-Pakete nach der Reihenfolge der Sequenznummer zusammensetzen. Das TCP-Paket bestätigt den Empfang eines Pakets mit dem Piggy-Backing  (Acknowledgement Number) von Empfänger.

Um zu überprüfen, ob der Empfänger das Frame korrekt erhalten hat, prüft eine Checksum das Paket (ähnlich eines Hash-Werts) auf Richtigkeit.

HTTP – Oh! Der Nutzer sieht was

Das HTTP-Protokoll ist Teil der Anwendungsschicht des ISO / OSI-Models.

Diese Anfrage zeigt einen POST-Request. Wie im unteren Bild sichtbar sendet die Browser Formulardaten zum Server. Die admin-ajax.php verarbeitet die Daten auf dem Server

HTTP Protokoll
HTTP Protokoll – Beginner Wireshark Tutorial

Unter Host findest Du den aufgerufen DNS-Servers. Die Ziele mit dem User-Agent enthält wesentliche Informationen über den verwendeten Browser, der die Daten sendet.

Die Übermittlung des Browsers ist wichtig, weil z. B. der Server bei einem alten Internet Explorer eine Version der Webseiten ohne JavaScript übertragen sollte. Bei älteren Versionen von Internet Explorer unterdrückte Microsoft die Ausführung der Client-Skript-Sprache.

Der Content-Type kündigt dem Server an, wie er die Nutzerdaten zu encodieren bzw. zu verstehen hat. Wenn diese Zeile fehlt, kann es schnell zu CORS-Probleme kommen.

UTF-8 stellt den Zeichensatz für dieses Dokument dar. UTF-8 enthält vier-Byte-große Binärcodierungen von Zeichen wie a,+,&,ö,p, welcher heute ein weitverbreiteter Standard ist.

Nutzerdaten – Der goldene Kern jedes Pakets

Dieser Abschnitt zeigt die Daten eines Formulars an.

X-www-form-urlencoded ist ein MIME-Type.  Multi-Internet-Mail-Extensions sind Erweiterungen der klassischen Mail. Der Sender kann MIME Videos, Bilder und weitere Anhänge an die E-Mail anhängen.

Sichtbare Nuztdaten
Sichtbare Nutzdaten – Beginner Wireshark Tutorial

Dieser MIME sind Daten die ein Webformular via POST-Methode gesendet hat. Diese codiert der PC in einer URL konformen Codierung.

Du hast erkannt, dass dieses Datennetz vom eine WordPress-Refresher für das Post-Schreiben stammt.

Hack IT: Passwörter sniffen

Die gezeigten Analysemöglichkeiten lassen Hackern einen Raum zum Hacken.

Beispielsweise können Hacker Passwörter und Benutzername über HTTP auslesen. Die Passwort-Strings sind nur als mit Base64 maskiert. Jeder Browser kann diese Strings umwandeln.

Steffen Lippke

Der Hacker erfährt eine Menge über die verwendeten Technologien und kann eine bekannte Sicherheitslücke dieser Systeme testen. Der Sniffer erfährt auch viel über den Internetnutzer: Dieser ist eine

  • Mozilla User
  • mit Windows 10
  • mit eine Asus-Motherboard hat
  • ruft gerne Seite X, Y, Z gerne auf
  • usw.

Sicherung: Sniffern keine Chance geben

Jeder aufmerksamer Nutzer auf verschlüsselte Verbindungen achten. Diese dienen als eine gute Sicherung gegen neugierige Sniffer. Diese können nur noch einen Stapel von Zeichen sehen, der nicht schnell dechiffrierbar ist.

Verschlüsselungen sind die Rettung

Nutze VPN!

Steffen Lippke

Nutze TSL (früher SSL)!

Vermeide die Nutzung einer Banking-App über dein Handy und verwende stattdessen deinen Desktop-PC mit einer eignen Internet-Anbindung, sowie eine Sandbox eines Virenschutzprogramms.

Credits

Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY  – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY –Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY

Quellenangabe Bilder: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, frei verfügbar nach EULA

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.