Zum Inhalt springen

Nächste Bootcamp-Ausgabe
4. Mai 2026

Tools

Wireshark

Der weltweit am häufigsten verwendete Netzwerkprotokollanalysator, Wireshark erfasst und analysiert Netzwerkverkehr interaktiv in Echtzeit und ermöglicht Sicherheitsexperten, Netzwerke zu troubleshooten, Protokolle zu analysieren und Sicherheitsvorfälle zu untersuchen.

Autor
Unihackers Team
Lesezeit
2 Min. Lesezeit
Zuletzt aktualisiert

Warum es wichtig ist

Wireshark ist das essentielle Tool zum Verstehen von Netzwerkkommunikation auf Paketebene. Wenn Sicherheitsvorfälle auftreten, zeigen Logs, was passiert ist – aber Paketerfassungen zeigen genau, wie. Diese Granularität ist unschätzbar für forensische Analyse, Malware-Untersuchung und Verständnis von Angriffstechniken.

Netzwerk-Troubleshooting profitiert gleichermaßen von der Paketanalyse. Wenn Anwendungen sich unerwartet verhalten, offenbaren Pakete, ob das Problem beim Netzwerk, Server oder Client liegt. Das Verständnis von TCP-Handshakes, Protokollverhalten und Timing hilft, Probleme zu diagnostizieren, die höherstufige Überwachung übersieht.

Für Sicherheitsexperten ist Wireshark-Kompetenz fundamental. Penetrationstester analysieren erfasste Zugangsdaten und Aufklärungsverkehr. Incident Responder untersuchen Command-and-Control-Kommunikation. Netzwerksicherheitsingenieure troubleshooten und validieren Sicherheitstools.

Das Erlernen von Wireshark vertieft das Verständnis von Netzwerk-Grundlagen. Das Beobachten von Paketflüssen offenbart, wie Protokolle tatsächlich funktionieren, jenseits von Lehrbuchbeschreibungen.

Erste Schritte mit Wireshark

Interface-Übersicht

Verkehr erfassen

erfassung-grundlagen.sh
Bash

# Wireshark auf spezifischem Interface starten
wireshark -i eth0

# Kommandozeilen-Erfassung mit tshark
tshark -i eth0 -w capture.pcap

# Erfassung mit Filter (nur HTTP)
tshark -i eth0 -f "port 80" -w http_traffic.pcap

# Erfassung für bestimmte Dauer
timeout 60 tshark -i eth0 -w eine_minute.pcap

Capture-Filter vs. Display-Filter

filter-typen.txt
Text

Capture-Filter (BPF-Syntax) - Während Erfassung angewendet:
host 192.168.1.100
port 443
tcp and port 80
not broadcast

Display-Filter (Wireshark-Syntax) - Auf erfasste Daten angewendet:
ip.addr == 192.168.1.100
tcp.port == 443
http.request.method == "GET"
dns.flags.response == 0

Essentielle Display-Filter

Protokoll-Filter

protokoll-filter.txt
Text

Grundlegende Protokoll-Filter:

# Nach Protokoll filtern
http
dns
tcp
udp
icmp
tls
ssh

# HTTP-spezifisch
http.request
http.response
http.request.method == "POST"
http.response.code == 200
http.host contains "example.com"

# DNS-spezifisch
dns
dns.flags.response == 0  # Nur Abfragen
dns.flags.response == 1  # Nur Antworten
dns.qry.name contains "verdaechtig"

# TLS/SSL
tls.handshake
tls.handshake.type == 1  # Client Hello
tls.handshake.extensions_server_name

IP- und Port-Filter

ip-port-filter.txt
Text

IP-Adress-Filter:
ip.addr == 192.168.1.100        # Quelle oder Ziel
ip.src == 192.168.1.100         # Nur Quelle
ip.dst == 192.168.1.100         # Nur Ziel
ip.addr == 192.168.1.0/24       # Subnetz

Port-Filter:
tcp.port == 443                 # Quelle oder Ziel
tcp.dstport == 80               # Nur Ziel
tcp.srcport == 53               # Nur Quelle
udp.port == 53

Kombinierte Filter:
ip.addr == 192.168.1.100 && tcp.port == 443
http && ip.src == 10.0.0.5
(dns || http) && ip.addr == 192.168.1.100

Sicherheitsfokussierte Filter

sicherheits-filter.txt
Text

Sicherheitsanalyse-Filter:

# Fehlgeschlagene TCP-Verbindungen (RST-Flags)
tcp.flags.reset == 1

# SYN ohne ACK (potenzieller Scan)
tcp.flags.syn == 1 && tcp.flags.ack == 0

# Verdächtiges DNS (lange Hostnamen, ungewöhnliche TLDs)
dns && dns.qry.name contains ".xyz"

# HTTP mit potenziellem SQLi
http.request.uri contains "UNION"
http.request.uri contains "SELECT"

# Klartext-Zugangsdaten
http.authorization
ftp.request.command == "PASS"

# Große Datenübertragungen
tcp.len > 10000

Analysetechniken

Streams verfolgen

Rechtsklick auf ein Paket und "Follow > TCP Stream" wählen, um vollständige Konversationen zu rekonstruieren.

stream-analyse.txt
Text

Stream-Verfolgung:
- TCP Stream: Vollständige TCP-Konversation
- UDP Stream: Verwandte UDP-Pakete
- TLS Stream: Entschlüsseltes TLS (erfordert Schlüssel)
- HTTP Stream: HTTP Request/Response-Paare

Anwendungsfälle:
- Heruntergeladene Dateien rekonstruieren
- Vollständige HTTP-Konversationen anzeigen
- Command-and-Control-Verkehr analysieren
- Zugangsdaten aus Klartext-Protokollen extrahieren

Statistiken und Analyse

statistik-features.txt
Text

Nützliche Statistik-Features:

Statistics > Conversations
- Alle IP/TCP/UDP-Konversationen sehen
- Top-Talker identifizieren
- Nach übertragenen Bytes sortieren

Statistics > Protocol Hierarchy
- Aufschlüsselung der Protokolle in der Erfassung
- Unerwartete Protokolle identifizieren

Statistics > Endpoints
- Alle kommunizierenden Hosts
- Verkehrsvolumen pro Host

Statistics > HTTP > Requests
- Alle HTTP-Anfragen in der Erfassung
- Schnelle URL-Übersicht

Analyze > Expert Information
- Warnungen und Fehler
- Retransmissionen, Resets
- Protokollverletzungen

Daten extrahieren

daten-extraktion.txt
Text

Export Objects (File > Export Objects):
- HTTP: Heruntergeladene Dateien, Bilder, Dokumente
- SMB: Windows-Dateifreigaben
- IMF: E-Mail-Nachrichten
- TFTP: Übertragene Dateien

Manuelle Extraktion:
- Follow stream > Save as raw
- File > Export Packet Bytes
- tshark für automatisierte Extraktion verwenden

Sicherheits-Anwendungsfälle

Vorfallsuntersuchung

vorfall-workflow.txt
Text

Vorfallsuntersuchungs-Workflow:

1. Zeitrahmen eingrenzen
 - Auf relevantes Zeitfenster filtern
 - Beteiligte Hosts identifizieren

2. C2-Verkehr identifizieren
 - Nach Beaconing-Mustern suchen
 - DNS auf Tunneling prüfen
 - Ungewöhnliche Ports/Protokolle untersuchen

3. Laterale Bewegung verfolgen
 - SMB/RDP-Verbindungen
 - Authentifizierungsverkehr
 - Remote-Ausführung (WMI, PSExec)

4. Datenexfiltration finden
 - Große ausgehende Übertragungen
 - Verschlüsselte Tunnel
 - Cloud-Speicher-Uploads

5. IOCs extrahieren
 - Ziel-IPs/Domains
 - User Agents
 - Datei-Hashes aus Übertragungen

Malware-Analyse

malware-analyse.txt
Text

Malware-Verkehrsanalyse:

Initiale Callbacks:
- DNS-Lookups für C2-Domains
- HTTP/HTTPS zu unbekannten Hosts
- Nicht-Standard-Port-Nutzung

C2-Kommunikationsmuster:
- Regelmäßige Beacon-Intervalle
- Kodierte/verschlüsselte Payloads
- User-Agent-Anomalien

Datenexfiltration:
- Große POST-Anfragen
- DNS-Tunneling (lange Subdomains)
- FTP/SFTP-Übertragungen

Kommandozeile mit tshark

tshark-beispiele.sh
Bash

# Grundlegende Erfassung in Datei
tshark -i eth0 -w capture.pcap

# Pcap lesen und filtern
tshark -r capture.pcap -Y "http.request"

# Spezifische Felder extrahieren
tshark -r capture.pcap -Y "http.request" -T fields -e ip.src -e http.host -e http.request.uri

# Statistiken
tshark -r capture.pcap -q -z conv,tcp

# DNS-Abfragen
tshark -r capture.pcap -Y "dns.flags.response == 0" -T fields -e dns.qry.name | sort | uniq -c | sort -rn

Karriererelevanz

Paketanalyse-Fähigkeiten zeichnen fähige Sicherheitsexperten aus. Während GUI-Tools gängige Aufgaben vereinfachen, ermöglicht das Verständnis von Netzwerkverkehr auf Paketebene tiefere Analyse und Fehlerbehebung.

Rollen mit Paketanalyse (US-Markt)

RoleEntry LevelMid LevelSenior
Network Security Analyst65 $90 $120 $
Incident Responder75 $100 $135 $
Penetration Tester80 $110 $145 $
Forensic Analyst75 $100 $135 $

Source: CyberSeek

Im Bootcamp

Wie wir Wireshark unterrichten

In unserem Cybersecurity-Bootcamp lernen Sie nicht nur Wireshark in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 5: Sicherheits-Governance, Risiko und Compliance (GRC)

Verwandte Themen, die Sie beherrschen werden:NIST CSFISO 27001DSGVO/NIS2Risikomanagement
Sehen Sie, wie wir das unterrichten

360+ Stunden von Experten geleitete Ausbildung • 94% Beschäftigungsquote