![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-10.png\")
<\/p>\nHin und wieder steht man vor dem Problem, dass man gerne in den Netzwerk-Verkehr des eigenen PCs oder Netzwerks blicken m\u00f6chte. Sei es, um omin\u00f6se Verbindungen endlich zu verstehen, um eine vermeintliche Attacke zu analysieren oder herauszufinden, was genau der Grund f\u00fcr die unspezifische Meldung \u201cVerbindungsabbruch\u201d im Mail-Client ist.<\/p>\n
F\u00fcr diese Zwecke gibt es ein sehr m\u00e4chtiges Programm Wireshark<\/b> (ehemals Ethereal genannt). Es ist Open Source und wird von vielen Informatikern als eines der wichtigsten Programme aller Zeiten \u00fcberhaupt angesehen.<\/p>\n
Zum Verst\u00e4ndnis ist ein gewisse R\u00fcstzeug \u00fcber die verwendeten Protokolle des OSI- resp. TCP\/IP Referenmodells n\u00f6tig. Dies soll hier aber nicht das Thema sein. Die grundlegenden Informationen sind auf Wikipedia sehr gut dargestellt.<\/p>\n
<\/p>\n
Die Software ist auf Windows http:\/\/www.wireshark.org zu finden, die Installation ist nicht weiter schwierig. Als erstes muss der Treiber f\u00fcrs Mitschneiden installiert werden (WinPCap). Die Installation erledigt alle Schritte. Ein Tutorial zur Bedienung findet man an vielen Stellen, zum Beispiel hier: http:\/\/www.nwlab.net\/tutorials\/wireshark<\/p>\n
Wireshark kann nun gestartet werden.<\/p>\n
![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-11.png\")
![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-12.png\")
<\/p>\n
Als erstes m\u00fcssen wir festlegen, auf welcher Schnittstelle Wireshark den Netzwerkverkehr mitschneiden soll. Mit dem Icon oben ganz links w\u00e4hlen wir die richtige LAN-Netzwerkkarte und starten mit Start den Mitschnitt. Ein Statistikfenster erscheint.<\/p>\n
Wichtig ist zu verstehen, dass eine einem modernen geswitchten Netzwerk die Pakete nicht an einer beliebigen Stelle abgegriffen werden k\u00f6nnen (nur die Pakete, die physikalisch an die gew\u00e4hlte Netzwerkschnittstelle gelangen).<\/p>\n
![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-13.png\")
<\/p>\n
Als einfachen Test versuchen wir www.google.ch mit ping zu erreichen: ping www.google.ch<\/a><\/b><\/p>\n Dies sieht in Wireshark ungef\u00e4hr so aus:<\/p>\n Die Ansicht ist dreigeteilt: Oben sehen wir eine Liste der verschiedenen Pakete, wobei die verschiedenen Farben f\u00fcr unterschiedliche Protokolle stehen. In der Mitte sieht man die einzelnen Layer (Schichten) des ausgew\u00e4hlten Pakets. Diese lassen sich in einer Baumstruktur \u00f6ffnen, so dass man alle Layer sowie dessen Inhalte betrachten kann.<\/p>\n Unten sehen wir die Raw-Daten, also das Paket in Hexadezimal- und ASCII-Ausgabe, wobei der jeweils ausgew\u00e4hlte Layer automatisch markiert wird. Ein nettes Feature, denn so lernt man leicht die Beschaffenheit von Paketen und erkennt auch schnell, an welcher Stelle im Paket welche Informationen zu finden sind.<\/p>\n Wir stellen fest, dass<\/p>\n Die Spalten der Ausgabe sind wie folgt: Im folgenden Mitschnitt ist ein Auszug dargestellt, wenn Outlook Express mit einem Mailkonto abgeglichen wird. Man sieht IMAP-Pakete (es ist ein IMAP-Mailkonto). Mit Rechtsclick auf eine Zeile mit einem IMAP Paket k\u00f6nnen wir den gesamten Dialog mit Follow TCP stream<\/b> verfolgen, d.h. alle dazu geh\u00f6renden Pakete decodiert anzeigen lassen. Danach wird automatisch ein Filter gesetzt, sodass nur der gew\u00e4hlte Dialog gezeigt wird. Mit Clear k\u00f6nnen wir den Filter wieder l\u00f6schen, sodass wir wieder alle Pakete sehen.<\/p>\n <\/p>\n <\/p>\n Nur als Beispiel der vielf\u00e4ltigen M\u00f6glichkeiten von Wireshark lassen wir uns mit dem Menu Statistik mit dem Punkt Flow Graph<\/b> eine Grafik der Verbindungen erstellen:<\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n <\/p>\n Wir sehen\u00a0hier als senkrechte Spalten die verschiedenen Kommunikationspartner auf dem <\/span>Netzwerk; vertikal ist von oben nach unten die Zeit. Wir sehen also auf einen Blick, wie die verschiedenen Kommunikationspartner zeitlich verwoben miteinander reden.<\/span><\/p>\n <\/p>\n Der folgende Mitschnitt stammt aus der Analyse des Einw\u00e4hlens mit einem Pactor Modem (Internetzugang via Kurzwellenfunk). In der folgenden Tabelle ist der Loginvorgang bis zum erfolgreichen Versand eines E-Mails (mit SMTP) aufgezeichnet. Man beachte die Spalte „Time“. Sie gibt die Zeit in Sekunden seit Start der Aufzeichnung an.<\/p>\n Einleitung Hin und wieder steht man vor dem Problem, dass man gerne in den Netzwerk-Verkehr des eigenen PCs oder Netzwerks blicken m\u00f6chte. Sei es, um omin\u00f6se Verbindungen endlich zu verstehen, um eine vermeintliche Attacke zu analysieren oder herauszufinden, was genau der Grund f\u00fcr die unspezifische Meldung \u201cVerbindungsabbruch\u201d im Mail-Client ist. F\u00fcr diese Zwecke gibt es […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[3],"tags":[87],"yoast_head":"\n![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-14.png\")
<\/p>\n![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-15.png\")
<\/p>\n\n
\nNo<\/b> = Nummer des Pakets
\nTime <\/b>= Zeitstempel, Zeit seit Beginn der Aufzeichnung
\nSource<\/b> und Destination<\/b> = IP Adressen vom Frager (Source) und Ziel (Destination)
\nProtocoll <\/b>= Name des Protocolls gem. RFC\/IETF Standard, zum Beispiel UDP, TCP, ICMP <\/b>f\u00fcr Ping, SMB f\u00fcr Dateizugriffe (Dateifreigaben), SMTP etc.
\nPort<\/b> = Portnummer f\u00fcr UDP und TCP Protokoll<\/p>\n![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-17.png\")
<\/p>\nAuswerten<\/b><\/h4>\n
![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-18.png\")
![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-19.png\")
<\/p>\n![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-20.png\")
<\/a>![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-21.png\")
<\/a><\/p>\n![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-22.png\")
<\/p>\nPraxisbeispiel<\/h4>\n
\n– Loginvorgang<\/b> (grau): Pakete 2 bis 25, dauert insgesamt 11 Sekunden.
\n– Diverse Namensaufl\u00f6sungen<\/b> (blau, gelb) im lokalen Netzwerk und gegen das Internet
\n– DHCP (braun, Zeilen 34, 36): Zuteilung einer IP Adresse<\/b> durch das Modem
\n– SMTP (gr\u00fcn, ab Zeile 47): mit Follow TCP stream <\/b>werden die SMTP-Pakete dekodiert zu: 220 smtp05.web.de ESMTP WEB.DE V4.109#226<\/b> etc. Dies ist die Begr\u00fcssungsmeldung von meinem Mailprovider.<\/p>\n![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-26.png\")
<\/p>\n![\"image.png\"](\"http:\/\/wp.andreas.bieri.name\/wp-content\/uploads\/2016\/04\/image-24.png\")
<\/p>\n","protected":false},"excerpt":{"rendered":"