Warum es wichtig ist
Wireshark ist das essentielle Tool zum Verstehen von Netzwerkkommunikation auf Paketebene. Wenn Sicherheitsvorfälle auftreten, zeigen Logs, was passiert ist – aber Paketerfassungen zeigen genau, wie. Diese Granularität ist unschätzbar für forensische Analyse, Malware-Untersuchung und Verständnis von Angriffstechniken.
Netzwerk-Troubleshooting profitiert gleichermaßen von der Paketanalyse. Wenn Anwendungen sich unerwartet verhalten, offenbaren Pakete, ob das Problem beim Netzwerk, Server oder Client liegt. Das Verständnis von TCP-Handshakes, Protokollverhalten und Timing hilft, Probleme zu diagnostizieren, die höherstufige Überwachung übersieht.
Für Sicherheitsexperten ist Wireshark-Kompetenz fundamental. Penetrationstester analysieren erfasste Zugangsdaten und Aufklärungsverkehr. Incident Responder untersuchen Command-and-Control-Kommunikation. Netzwerksicherheitsingenieure troubleshooten und validieren Sicherheitstools.
Das Erlernen von Wireshark vertieft das Verständnis von Netzwerk-Grundlagen. Das Beobachten von Paketflüssen offenbart, wie Protokolle tatsächlich funktionieren, jenseits von Lehrbuchbeschreibungen.
Erste Schritte mit Wireshark
Interface-Übersicht
Verkehr erfassen
# Wireshark auf spezifischem Interface starten
wireshark -i eth0
# Kommandozeilen-Erfassung mit tshark
tshark -i eth0 -w capture.pcap
# Erfassung mit Filter (nur HTTP)
tshark -i eth0 -f "port 80" -w http_traffic.pcap
# Erfassung für bestimmte Dauer
timeout 60 tshark -i eth0 -w eine_minute.pcap
Capture-Filter vs. Display-Filter
Capture-Filter (BPF-Syntax) - Während Erfassung angewendet:
host 192.168.1.100
port 443
tcp and port 80
not broadcast
Display-Filter (Wireshark-Syntax) - Auf erfasste Daten angewendet:
ip.addr == 192.168.1.100
tcp.port == 443
http.request.method == "GET"
dns.flags.response == 0
Essentielle Display-Filter
Protokoll-Filter
Grundlegende Protokoll-Filter:
# Nach Protokoll filtern
http
dns
tcp
udp
icmp
tls
ssh
# HTTP-spezifisch
http.request
http.response
http.request.method == "POST"
http.response.code == 200
http.host contains "example.com"
# DNS-spezifisch
dns
dns.flags.response == 0 # Nur Abfragen
dns.flags.response == 1 # Nur Antworten
dns.qry.name contains "verdaechtig"
# TLS/SSL
tls.handshake
tls.handshake.type == 1 # Client Hello
tls.handshake.extensions_server_name
IP- und Port-Filter
IP-Adress-Filter:
ip.addr == 192.168.1.100 # Quelle oder Ziel
ip.src == 192.168.1.100 # Nur Quelle
ip.dst == 192.168.1.100 # Nur Ziel
ip.addr == 192.168.1.0/24 # Subnetz
Port-Filter:
tcp.port == 443 # Quelle oder Ziel
tcp.dstport == 80 # Nur Ziel
tcp.srcport == 53 # Nur Quelle
udp.port == 53
Kombinierte Filter:
ip.addr == 192.168.1.100 && tcp.port == 443
http && ip.src == 10.0.0.5
(dns || http) && ip.addr == 192.168.1.100
Sicherheitsfokussierte Filter
Sicherheitsanalyse-Filter:
# Fehlgeschlagene TCP-Verbindungen (RST-Flags)
tcp.flags.reset == 1
# SYN ohne ACK (potenzieller Scan)
tcp.flags.syn == 1 && tcp.flags.ack == 0
# Verdächtiges DNS (lange Hostnamen, ungewöhnliche TLDs)
dns && dns.qry.name contains ".xyz"
# HTTP mit potenziellem SQLi
http.request.uri contains "UNION"
http.request.uri contains "SELECT"
# Klartext-Zugangsdaten
http.authorization
ftp.request.command == "PASS"
# Große Datenübertragungen
tcp.len > 10000
Analysetechniken
Streams verfolgen
Rechtsklick auf ein Paket und "Follow > TCP Stream" wählen, um vollständige Konversationen zu rekonstruieren.
Stream-Verfolgung:
- TCP Stream: Vollständige TCP-Konversation
- UDP Stream: Verwandte UDP-Pakete
- TLS Stream: Entschlüsseltes TLS (erfordert Schlüssel)
- HTTP Stream: HTTP Request/Response-Paare
Anwendungsfälle:
- Heruntergeladene Dateien rekonstruieren
- Vollständige HTTP-Konversationen anzeigen
- Command-and-Control-Verkehr analysieren
- Zugangsdaten aus Klartext-Protokollen extrahieren
Statistiken und Analyse
Nützliche Statistik-Features:
Statistics > Conversations
- Alle IP/TCP/UDP-Konversationen sehen
- Top-Talker identifizieren
- Nach übertragenen Bytes sortieren
Statistics > Protocol Hierarchy
- Aufschlüsselung der Protokolle in der Erfassung
- Unerwartete Protokolle identifizieren
Statistics > Endpoints
- Alle kommunizierenden Hosts
- Verkehrsvolumen pro Host
Statistics > HTTP > Requests
- Alle HTTP-Anfragen in der Erfassung
- Schnelle URL-Übersicht
Analyze > Expert Information
- Warnungen und Fehler
- Retransmissionen, Resets
- Protokollverletzungen
Daten extrahieren
Export Objects (File > Export Objects):
- HTTP: Heruntergeladene Dateien, Bilder, Dokumente
- SMB: Windows-Dateifreigaben
- IMF: E-Mail-Nachrichten
- TFTP: Übertragene Dateien
Manuelle Extraktion:
- Follow stream > Save as raw
- File > Export Packet Bytes
- tshark für automatisierte Extraktion verwenden
Sicherheits-Anwendungsfälle
Vorfallsuntersuchung
Vorfallsuntersuchungs-Workflow:
1. Zeitrahmen eingrenzen
- Auf relevantes Zeitfenster filtern
- Beteiligte Hosts identifizieren
2. C2-Verkehr identifizieren
- Nach Beaconing-Mustern suchen
- DNS auf Tunneling prüfen
- Ungewöhnliche Ports/Protokolle untersuchen
3. Laterale Bewegung verfolgen
- SMB/RDP-Verbindungen
- Authentifizierungsverkehr
- Remote-Ausführung (WMI, PSExec)
4. Datenexfiltration finden
- Große ausgehende Übertragungen
- Verschlüsselte Tunnel
- Cloud-Speicher-Uploads
5. IOCs extrahieren
- Ziel-IPs/Domains
- User Agents
- Datei-Hashes aus Übertragungen
Malware-Analyse
Malware-Verkehrsanalyse:
Initiale Callbacks:
- DNS-Lookups für C2-Domains
- HTTP/HTTPS zu unbekannten Hosts
- Nicht-Standard-Port-Nutzung
C2-Kommunikationsmuster:
- Regelmäßige Beacon-Intervalle
- Kodierte/verschlüsselte Payloads
- User-Agent-Anomalien
Datenexfiltration:
- Große POST-Anfragen
- DNS-Tunneling (lange Subdomains)
- FTP/SFTP-Übertragungen
Kommandozeile mit tshark
# Grundlegende Erfassung in Datei
tshark -i eth0 -w capture.pcap
# Pcap lesen und filtern
tshark -r capture.pcap -Y "http.request"
# Spezifische Felder extrahieren
tshark -r capture.pcap -Y "http.request" -T fields -e ip.src -e http.host -e http.request.uri
# Statistiken
tshark -r capture.pcap -q -z conv,tcp
# DNS-Abfragen
tshark -r capture.pcap -Y "dns.flags.response == 0" -T fields -e dns.qry.name | sort | uniq -c | sort -rn
Karriererelevanz
Paketanalyse-Fähigkeiten zeichnen fähige Sicherheitsexperten aus. Während GUI-Tools gängige Aufgaben vereinfachen, ermöglicht das Verständnis von Netzwerkverkehr auf Paketebene tiefere Analyse und Fehlerbehebung.
Rollen mit Paketanalyse (US-Markt)
| Role | Entry Level | Mid Level | Senior |
|---|---|---|---|
| Network Security Analyst | 65 $ | 90 $ | 120 $ |
| Incident Responder | 75 $ | 100 $ | 135 $ |
| Penetration Tester | 80 $ | 110 $ | 145 $ |
| Forensic Analyst | 75 $ | 100 $ | 135 $ |
Source: CyberSeek
Lage 2026
Aktuelle Zahlen aus den maßgeblichen Branchenberichten 2026:
- Wireshark bleibt der Netzwerkprotokoll-Analyzer Nr. 1 mit Millionen monatlicher Downloads und unterstützt seit Version 4.4 (Anfang 2026) über 3.000 Protokolle (Wireshark.org).
- 60% der SOC-Analysten nutzen Wireshark wöchentlich für Incident-Triage und Paketanalyse, nur SIEM-Dashboards werden häufiger verwendet (SANS 2025 SOC Survey).
- Das Tool ist in den Prüfungsinhalten von CompTIA Security+, CySA+, GCIH und OSCP verankert und damit das meistgeprüfte Defensiv-Analyse-Tool in Zertifizierungsprogrammen 2026 (CompTIA-Prüfungsziele).
Wie wir Wireshark unterrichten
In unserem Cybersecurity Bootcamp lernen Sie nicht nur Wireshark in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.
Behandelt in:
Modul 5: Sicherheits-Governance, Risiko und Compliance (GRC)
360+ Stunden Expertentraining • CompTIA Security+ inklusive