Beinahe enzyklopädisch behandelt unser Schwerpunkt-Artikel über IPSEC verschlüsselte Verbindungen zwischen Linux, Windows, BSD, Solaris, Cisco- sowie ... (mehr)

Anatomie

Mit den sogenannten Protocol Dissectors setzt sich Wireshark vom Rest des Sniffer-Feldes ab. Es enthält eine ganze Reihe dieser Module, die spezifische Abfragen für ein bestimmtes Netzwerkprotokoll erlauben. Für alle wichtigen Netzwerkprotokolle wie SSH, Telnet, NTP (Abbildung 1) und so weiter kann Wireshark die mitgeschnittenen Daten nicht nur übersichtlich aufbereiten, sondern erlaubt auch protokollspezifische Filter. Damit sind nicht nur Filter möglich, die den Datenverkehr auf beispielsweise Webtraffic beschränken,

Abbildung 1: Ein eingefangenes NTP-Paket unter der Wireshark-Lupe: unten die Rohdaten, oben das entschlüsselte Protokoll.
tcp.dstport == 80 or tcp.dstport == 443

sondern auch die Suche nach Elementen innerhalb eines Protokolls, wie dem Response-Code einer HTTP-Anfrage. Das folgende Beispiel zeigt nur alle Daten mit einem 404-Error-Code:

http.response.code == 404

Oder Sie lassen sich alle Daten anzeigen, in denen ein HTTP-Cookie mit dem String »sessionid« gesetzt wird:

http.cookie contains "sessionid"

Bei der letzten Zählung hatte Wireshark etwa 1000 Protokoll-Dissektoren, auch wenn nicht alle so vollständig sind wie der für HTTP. Leider stellen sie mit über 80 Sicherheitslücken [5] auch ein signifikantes Sicherheitsrisiko dar, das vom einfachen Denial-of-Service bis zu Buffer Overflows mit Code-Ausführung reicht.

Wiresharp unterstützt auch GeoIP und verwendet dazu Bibliotheken, die auf die GeoIP-Datenbanken von Maxmind zurückgreifen. Neben der kommerziellen, kostenpflichtigen Datenbank bietet Maxmind auch eine freie Version mit etwas weniger Genauigkeit an. Damit steht Abfragen wie der folgenden nichts mehr im Weg:

ip and ip.geoip.country == "China"

So können Sie in Wireshark den Traffic beispielsweise nach einem bestimmten Land filtern.

Aufnahme

Wenn Sie Wireshark nicht rund um die Uhr laufen lassen, müssen Sie beim Auftreten von Netzwerkproblemen versuchen, das Problem zu reproduzieren, was sich normalerweise als ziemlich schwierig entpuppt. Die gute Nachricht ist, dass Festplatten mittlerweile so billig sind, dass Sie den Traffic wirklich 24 Stunden am Tag mitschneiden können. Festplatten mit einer Kapazität von 1 Terabyte gibt es schon für unter 100 Euro, und wenn Sie 30 GByte am Tag mitschneiden, können Sie das mit einer solchen Platte 30 Tage lang tun.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019