Wireshark Tutorail Netzwerk Sniffer + TCP / IP erklärt

Wireshark Tutorial Intro Pakete Steffen Lippke Hacking Series
Wireshark Tutorial Intro Pakete Steffen Lippke Hacking Series

Eer PC arbeitet mit 0 und 1.

Wie kann ich eine gesnifften Netzwerkstrom aus 0 und 1 verstehen?

Wireshark übersetzt die Codierung in lesbare Bestandteile, die wir heute in diesem Wireshark Tutorial untersuchen wollen.

Aufgabe: (Internet-)Pakete öffnen

Um was geht’s? – Beginner Wireshark Tutorial

Wireshark ist eine Netzwerk-Analyse Tool, mit dem der Systemadministrator einen tiefen Einblick in die Aktivität im Netzwerk erhält. Dieses Tutorial soll Dir stückweise erklären, was Du aus einen Frame herauslesen kannst und was nicht:

Als Beispiel nehme ich einen Frame vom WordPress-Editor-Refresher.

Knappe Einordnung – Wireshark

Wireshark ist ein Sniffer

Du sollst in diesem Wireshark Tutorials verstehen, wie die Protokolle die e Nutzdaten kapseln. Die Kapseln sind Netzwerk-Protokolle wie z. B. Ethernet, IP, TCP, UDP und ähnliches.

Die Protokolle sind notwendig, sodass der Empfänger die Nutzdaten versteht und eine einheitliche Kommunikation zu ermöglichen.

Grundlagen: ISO / OSI lustig anders

Frame: Wir packen Päckchen!?

Ebene 2: Die Registerkarte Frame zeigt Informationen über das Datenpaket an, welches über die Leitung gelaufen ist. Encapulation type ist die Art der „Pakets“, welches der PC empfangen hat.
Die Frame Nummer erkennte der Empfänger ein Frames wieder.

Eine Ethernet Frame
Eine Frame – Beginner Wireshark Tutorial

Das Weitern beinhaltet das Protokoll eine Größe des Pakets (Frame Length) und die erhaltene Größe (Capture Length)

Protokolle sind im Frame wie z. B. IP, TCP, HTTP und urlencoded-form enthalten. Der Type des Anwendungsschicht-Protokoll visualisiert Wireshark mit Farben: Grün bedeutet, dass ein HTTP-Protokoll vorliegt (HTTP Standard Port 80).

Ethernet: Das Paket findet seinen Empfänger

Diese Protokolle-Schicht definiert den Ethernet-Ebene. Erkennbar durch die MAC-Adressen ist, dass der Empfänger, sowie der Sender eine Asus Motherboad besitzen muss (mein PC: BaseBoard Manufactur ASUSTeK COMPUTER INC.)

Die ersten drei Oktetten der MAC-Adressesind reserviert für den Hersteller (Organizationally Uniqure Identifier) und die letzten drei Oktetten sind für den Network Inteface Controller reserviert.

IP – Die Hausnummer Deines PCs

Dieses Frame verwendet die veraltete Version von IP-Protokoll:

IP Protokoll
IP Protokoll – Beginner Wireshark Tutorial

Version 4 kämpft zurzeit mit dem beschränkten Adressraum. IPv6 nutzt 128 Bit Adressen, welche einen größeren Adressraum ermöglichen.

Time To Live gibt die Anzahl der Router (Hops oder in Sekunden) die ein IP-Paket durchlaufen darf. Wenn Time To Live bei 0 angekommen ist, löscht sich das Paket. Die Header Checksum ist ein Prüfsumme, mit der die Netzwerkkarte die korrekte Übertragung des IP-Kopf verifizieren kann.

Die Quell- und Ziel-IP-Adresse sind in Source und Destination angegeben.

TCP – achtet auf Vollständigkeit, Reihenfolge und Richtigkeit

Das TCP enthält Funktionen, die zur Sicherheit, Integrität und Verlässlichkeit der Übertragung dienen. Das TCP beginnt mit den Port-Nummern (vgl. mit einem Haus mit mehreren Haustüren) und die Sequenznummern des TCP-Pakets.

TCP Protokoll
TCP Protokoll – Beginner Wireshark Tutorial

Ein Frame splittete der Sender in viele Abschnitte (Sequenzen). Um diese richtig zuzuordnen, muss der Empfänger die TCP-Pakete nach der Reihenfolge der Sequenznummer zusammensetzen. Das TCP Paket bestätigt den Empfang  des eines Pakets via Piggy-Backing  (Acknowledgement Number) von Empfänger. Um zu überprüfen, ob der Empfänger das Frame korrekt erhalten hat, prüft eine Checksum das Paket (ähnlich eines Hash-Werts) auf Richtigkeit.

HTTP – Oh! Der Nutzer sieht was

Das HTTP-Protokoll ist Teil der Anwendungsschicht des ISO / OSI-Models. Diese Anfrage zeigt einen POST-Request. Wie im unteren Bild sichtbar, sendet der Browser Formulardaten zum Server. Diese verarbeite auf dem Server die admin-ajax.php.

HTTP Protokoll
HTTP Protokoll – Beginner Wireshark Tutorial

Unter Host findest Du den aufgerufen DNS des Servers. Die Ziele mit dem User-Agent enthält wesentliche Informationen über den verwendeten Browser, der die Daten sendet. Die Übermittlung des Browsers ist wichtig, weil z. B. der Server bei einem alten Internet Explorer eine Version der Webseiten ohne JavaScript übertragen sollte. Bei älteren Versionen von IE unterdrückte Microsoft die Ausführung der Client-Skript-Sprache.

Der Content-Type kündigt dem Server an, wie er die Nutzerdaten zu encodieren bzw. zu verstehen hat. Wenn diese Zeile fehlt kann es schnell zu CORS Probleme kommen. UTF-8 stellt den Zeichensatz für dieses Dokument dar. UTF-8 enthält vier-byte-große Binärcodierungen von Zeichen wie a,+,&,ö,p, welcher heute ein weitverbreiteter Standard ist.

Nutzerdaten – Der goldene Kern jedes Pakets

Dieser Abschnitt zeigt die Daten eins Formulars an. X-www-form-urlencoded ist ein MIME-Type.  Multi-Internet-Mail-Extensions sind Erweiterungen der klassischen Mail. Der Sender kann MIME Videos, Bilder und weitere Anhänge an die E-Mail anhängen.

Sichtbare Nuztdaten
Sichtbare Nutzdaten – Beginner Wireshark Tutorial

Dieser MIME sind Daten die ein Webformular via POST Methode gesendet hat. Diese codiert der PC in einer URL konformen Codierung.

Du hast erkannt, dass dieses Datennetz vom eine WordPress-Refresher für das Post-Schreiben stammt.

Hack IT: Passwörter sniffen

Spurensuche – Wireshark Tutorial

Die gezeigten Analysemöglichkeiten lassen Hackern einen Raum zum Hacken. Beispielsweise können Hacker Passwörter und Benutzername über HTTP auslesen. Die Strings sind nur als mit Base64 maskiert. Diese kann jeder Browser schnell ohne großen Aufwand umwandeln.

Der Hacker erfährt eine Menge über die verwendeten Technologien und kann eine bekannte Sicherheitslücke dieser Systeme testen. Der Sniffer erfährt auch viel über den Internetnutzer: Dieser ist eine Mozilla User mit Windows 10, der eine Asus-Motherboard hat. Dieser ruft gerne Seute X, Y, Z gerne auf.

Sicherung: Sniffern keine Chance geben

Jeder aufmerksamer Nutzer auf verschlüsselte Verbindungen achten. Diese dienen als eine gute Sicherung gegen neugierige Sniffer. Diese können nur noch einen Stapel von Zeichen sehen, der nicht schnell dechiffrierbar ist.

Verschlüsselungen sind Dein Ass

Nutzer VPNs, nutze TLS, nutze gesicherte Verbindungen. Vermeide Banking um jeden Preis über dein Handy und verwende stattdessen deinen Desktop-PC mit einer eignen Internet-Anbindung, sowie eine Sandbox eines Virenschutzprogramms.

Das ist sinnvoll.

Credits

Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY  – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY –Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY

1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 4,67 out of 5)
Loading...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.