lager:lok_netze:wireshark_vertiefung
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
lager:lok_netze:wireshark_vertiefung [29.01.2017 15:30] – [Analyse des testdump] richard | lager:lok_netze:wireshark_vertiefung [11.02.2019 12:38] – [Vertiefung in Wireshark] richard | ||
---|---|---|---|
Zeile 25: | Zeile 25: | ||
Optional: '' | Optional: '' | ||
- | ???? | + | |
==== Profile ==== | ==== Profile ==== | ||
- | Hat man sich besondere Einstellungen oder Filter erarbeitet, so kann man diese in einem eigenen Profil abspeichern, | + | Hat man sich besondere Einstellungen oder Filter erarbeitet, so kann man diese in einem eigenen Profil abspeichern, |
+ | |||
+ | {{: | ||
+ | |||
+ | Rechtsklick am unteren rechten Rand des Programmfensters auf '' | ||
- | ???? | + | {{: |
===== Umgang mit Filtermöglichkeiten ===== | ===== Umgang mit Filtermöglichkeiten ===== | ||
- | Wireshark | + | '' |
- '' | - '' | ||
- '' | - '' | ||
Zeile 40: | Zeile 44: | ||
Bei den Filtern sollte darauf geachtet werden, wie viele Daten anfallen. Bei Langzeitmitschnitten sollte man mit Capture-Filtern Pakete verwerfen, die nicht von Interesse sind. | Bei den Filtern sollte darauf geachtet werden, wie viele Daten anfallen. Bei Langzeitmitschnitten sollte man mit Capture-Filtern Pakete verwerfen, die nicht von Interesse sind. | ||
- | Will man das Netz analysieren, | ||
- | Jedes Protokollfeld kann als Filter verwendet werden. Oft kennt man nicht den genauen Dissectornamen bzw. die Struktur in der Wireshark | + | Will man das Netz analysieren, |
- | **TIPP:** Mit einem Rechtsklick auf das betreffende Feld kann man dieses | + | **Jedes Protokollfeld |
- | ???? | + | **TIPP:** Mit einem **Rechtsklick** auf das betreffende Feld kann man dieses als Filter einfügen **'' |
- | Eine weitere Möglichkeit ist das Hinzufügen von Protokollfeldern als Anzeigespalte. Dies geschieht ebenfalls mittels | + | {{: |
- | Hierdurch | + | Eine weitere Möglichkeit |
- | '' | + | Hierdurch |
- | PCs mit hohem Paketaufkommen deuten auf Server hin usw. | + | |
- | **TIPP:** Auch in diesem Dialog funktioniert Rechtsklick und '' | + | **'' |
- | **TIPP:** Hat man im mittleren Packet Details-Bereich ein Protokollfeld ausgewählt, so wird der von Wireshark verwendete Feldname | + | |
- | ????BILD???? | + | **TIPP:** Auch in diesem Dialog funktioniert Rechtsklick und '' |
+ | |||
+ | **TIPP:** Hat man im mittleren Packet Details-Bereich ein Protokollfeld ausgewählt, | ||
+ | |||
+ | {{: | ||
Links neben diesem Feld befindet sich ein grün, gelb oder roter Kreis, der Auskunft über den Zustand des sogenannten Expertensystem gibt. Dieses kann ebenfalls zu Analysezwecken herangezogen werden. | Links neben diesem Feld befindet sich ein grün, gelb oder roter Kreis, der Auskunft über den Zustand des sogenannten Expertensystem gibt. Dieses kann ebenfalls zu Analysezwecken herangezogen werden. | ||
- | Wireshark | + | '' |
- | Eine weitere Informationsquelle ist die '' | + | Eine weitere Informationsquelle ist die **'' |
===== Speicherorte ===== | ===== Speicherorte ===== | ||
- | Wireshark | + | '' |
Will man globale Profile oder Konfigurationen vornehmen, so geschieht dies unter Linux im Ordner | Will man globale Profile oder Konfigurationen vornehmen, so geschieht dies unter Linux im Ordner | ||
Zeile 79: | Zeile 84: | ||
* '' | * '' | ||
* '' | * '' | ||
- | |||
- | |||
- | |||
Zeile 93: | Zeile 95: | ||
Einfache Übung zum Verständnis über den Zusammenhang zwischen MAC und IP-Adressen. Ping von einem Client über einen Router hin zu einem Server. | Einfache Übung zum Verständnis über den Zusammenhang zwischen MAC und IP-Adressen. Ping von einem Client über einen Router hin zu einem Server. | ||
+ | * Wie ändert sich die '' | ||
+ | * Wie ändert sich die IP-Adresse? | ||
===== Telnet Passwort mitschneiden ===== | ===== Telnet Passwort mitschneiden ===== | ||
- | Schneiden Sie das Passwort einer '' | + | Schneiden Sie das Passwort einer '' |
- | Filter: tcp.stream eq 0 && frame contains „login“ | + | Beispielhafter |
Beim Filter muss zunächst aus den '' | Beim Filter muss zunächst aus den '' | ||
Zeile 104: | Zeile 108: | ||
Alternativ: Rechtsklick auf entsprechende '' | Alternativ: Rechtsklick auf entsprechende '' | ||
- | Im '' | + | Im '' |
**Hinweis: | **Hinweis: | ||
- | |||
===== Dateien aus Streams speichern ===== | ===== Dateien aus Streams speichern ===== | ||
Zeile 113: | Zeile 116: | ||
Werden im Mitschnitt Dateien von einem Fileserver ('' | Werden im Mitschnitt Dateien von einem Fileserver ('' | ||
- | '' | + | '' |
- | '' | + | |
===== Firewall-Regeln aus einzelnen Paketen ===== | ===== Firewall-Regeln aus einzelnen Paketen ===== | ||
Unter '' | Unter '' | ||
- | Bei '' | + | Bei '' |
Beispiel: '' | Beispiel: '' | ||
- | ===== Amplification attack (gefährlich) | + | ====== Untersuchung von live-Mitschnitten ====== |
- | DNS-Angriff, bei dem der Absender gefälscht wird und das Opfer angegeben wird. Der Angreifer stellt eine DNS-Anfrage für sehr viele Domains und lässt die Antwort auf der Opfer „prasseln“. | + | ===== Cookies-Verfolgen ===== |
+ | Cookies werden heutzutage von fast jeder Web-Seite verwendet, um Nutzer wiederzu erkennen. Der Verwendung von Cookies muss daher sinnvollerweise durch den Nutzer zugestimmt werden. Aber was passiert eigentlich mit den Cookies, wenn man auf weitere Seiten surft? | ||
- | ====== Analyse des testdump ====== | + | * Welche Cookies wurden in Ihrem Browser gespeichert, |
+ | * Protokollieren Sie mittels '' | ||
+ | * Versuchen Sie sich ein Bild davon zu machen, wohin zusätzlich zu Ihren eigenen Anfragen, Zugriffe erfolgt sind. | ||
+ | * Verfolgen Sie welche Cookies wohin versendet werden. Gibt es Änderungen bei Zugriff auf andere Seiten? | ||
+ | * Wie verhält sich [[www.heise.de]]? | ||
+ | * Führen Sie den Text auf [[https:// | ||
- | Zunächst müssen Sie den testdump im wireshark öffnen. | + | **TIP**: Durch weitere Spalten mit geeigneten Filter lässt sich realisieren. |
- | http:// | + | |
+ | |||
+ | ====== Analyse des testdump / Daten-Forensik====== | ||
+ | |||
+ | Zunächst müssen Sie den testdump im '' | ||
+ | |||
+ | In dem Mitschnitt sind einige Kommunikationen enthalten, die im folgenden näher untersucht werden sollen. Ein sehr großer Teil des Mitschnitts stammt aus dem Domänenbeitritt eines Clients. | ||
===== Überblick verschaffen ===== | ===== Überblick verschaffen ===== | ||
- | Zunächst verschaffen wir uns einen Überblick darüber welche Maschinen sich im lokalen Netz befinden | + | Zunächst verschaffen wir uns einen Überblick darüber, welche Maschinen sich im lokalen Netz befinden |
* Wie viele Maschinen befinden sich im lokalen Netz? | * Wie viele Maschinen befinden sich im lokalen Netz? | ||
* Welche MAC- und welche IP-Adressen haben diese? | * Welche MAC- und welche IP-Adressen haben diese? | ||
* Welche Aufgabe haben die einzelnen Maschinen vermutlich? | * Welche Aufgabe haben die einzelnen Maschinen vermutlich? | ||
+ | |||
**TIP:** '' | **TIP:** '' | ||
- | |||
===== Protokolle überprüfen ===== | ===== Protokolle überprüfen ===== | ||
+ | |||
+ | Bei den verwendeten Protokollen lässt sich grob eingrenzen, ob es Unregelmäßigkeiten gibt. Beispiel in einer Umgebung, in der nur '' | ||
+ | |||
* Welche Protokolle kommen zum Einsatz? | * Welche Protokolle kommen zum Einsatz? | ||
* Gibt es auffällige Häufungen bei einzelnen Protokollen? | * Gibt es auffällige Häufungen bei einzelnen Protokollen? | ||
- | **TIP:** Protocol-Hierarchy | + | **TIP: |
+ | |||
+ | ===== Allgemeiner Überblick ===== | ||
+ | |||
+ | Wir wollen uns einen Überblick über das passierte machen. Dazu sollten zu erst allgemeine Informationen gesammelt werden. | ||
+ | |||
+ | * Welche '' | ||
+ | * Welchen '' | ||
+ | * Wie lautet der Inhalt der Datei '' | ||
+ | * Im Mitschnitt wird neben einer großen Anzahl von Active-Directory-Anfragen noch weitere Protokolle genutzt. Welche sind das? Wozu werden sie verwendet? | ||
+ | * Können Sie Ungereimtheiten bei den '' | ||
===== Ein Client betritt die Domain ===== | ===== Ein Client betritt die Domain ===== | ||
- | Es ist bekannt, dass ein Client während des Mitschnitts einer Domaine | + | Es ist bekannt, dass ein Client während des Mitschnitts einer Domäne |
- | * Wie lautet die Domaine? | + | * Wie lautet die Domäne? |
- | * Wie lautete der Hostname | + | * Wie lautete der '' |
- | * Wie lautet der Hostname | + | * Wie lautet der '' |
- | * Welche Maschinen waren dabei noch beteiligt? | + | * Welche Maschinen waren dabei noch beteiligt? Wie lauten die standardisierten Namen in einem Active Directory für den LDAP- bzw. den Kerberos-Server? |
- | **TIP:** Suchen Sie nach häufigen Ziel-IP-Adressen. Suchen Sie nach FQDN ((FQDN: Full qualified domain name; Rechnername inkl. Domain)) und identifizieren Sie, welche Rolle diese Rechner einnehmen. | + | **TIP:** Suchen Sie nach häufigen Ziel-IP-Adressen. Suchen Sie nach '' |
===== Vorbereitung eines Hacker-Angriffs ===== | ===== Vorbereitung eines Hacker-Angriffs ===== | ||
Zeile 165: | Zeile 193: | ||
* Woran kann man dies identifizieren? | * Woran kann man dies identifizieren? | ||
* Wie lautet die IP-Adresse des Angreifers? | * Wie lautet die IP-Adresse des Angreifers? | ||
+ | * Was wurde vom Hacker getan, um das Netz anzugreifen? | ||
* Was könnte er gefunden haben? | * Was könnte er gefunden haben? | ||
**TIP:** Suchen Sie nach Häufungen bei den Protokollen. Suchen Sie nach Häufungen bei den Sende-IP-Adressen. | **TIP:** Suchen Sie nach Häufungen bei den Protokollen. Suchen Sie nach Häufungen bei den Sende-IP-Adressen. | ||
+ | Man stelle sich vor, es gibt einen Virus, der permanent HTTP-Anfragen an die '' | ||
- | + | * Wurde in dem vorliegenden Mitschnitt ein solcher Angriff durchgeführt? | |
- | + | * Wenn ja, welche Clients sind eventuell von dem beschriebenen Virus befallen? |
lager/lok_netze/wireshark_vertiefung.txt · Zuletzt geändert: 30.04.2023 15:52 von richard