Netzwerkanalyse mit Wireshark Teil 5 - TCP-Handshake beim Aufbau einer Sitzung untersuchen

0

Neben UDP ist TCP das meist­ver­wendete Proto­koll der TCP/IP-Familie auf der OSI-Schicht 4. Es arbeitet ver­bindungs­orientiert, wozu es eine Sitzung aufbaut. Dies passiert mit Hilfe eines 3-Wege-Hand­shakes. Die folgende An­leitung zeigt, wie man diesen Hand­shake für eine FTP-Kommu­nikation in Wireshark visualisiert.

Bei unserem Mitschnitt greifen wir mit einem FTP-Client auf einen im lokalen Netzwerk befind­lichen FTP-Server zu. Der Client hat die IP-Adresse 192.168.1.200, der Server auf Basis von Ubuntu 18.04 LTS ist unter 192.168.1.124 erreichbar.

Mitschnitt beginnen

Als Client nutzen wir Filezilla auf einer Windows-Maschine. Wir verwenden den Passiv-FTP-Mode. Dies und der Verzicht auf SFTP (FTP via TLS) muss auch am Client ent­sprechend konfi­guriert werden. Außer­dem ist darauf zu achten, dass keine Firewall-Regel auf dem Server oder Client den Verbindungs­aufbau verhindert.

Das Mitschneiden in Wireshark soll auf dem Client erfolgen. Wir starten daher dort die Windows-Version und definieren im Menü Aufzeichnen => Optionennach dem Markieren der gewünschten Netzwerk­schnittstelle unter dem Eingabe-Dialog in der Zeile Mitschnittfilter für die ausgewählte Schnittstelleeinen neuen Mitschnittfilter.

Mitschnittfilter auf Host-Basis

Diesmal wollen wir den Mitschnitt auf den gewünschten Ziel-Host beschränken. Das klappt mit dem Schlüsselwort host gefolgt von der Ziel-IP, also „host 192.160.0.124“.

Dann starten wir den Mitschnitt und initiieren anschließend einen FTP-Zugriff mit Filezilla und betätigen, dass wir unverschlüsseltes FTP auf Port 21 erlauben möchten.

Aufbau einer unverschlüsselten TCP-Session mit Filezilla.

Nach dem Verbindungs­aufbau zeigen wir zum Beispiel den Verzeichnis­inhalt des FTP-Users an und beenden die Aufzeichnung. 

Aufzeichnung auswerten

Werfen wir nun einen Blick auf den Mitschnitt.

Mitschnitt eines FTP-Verbindungsaufbaus.

Relevant für den TCP-Handshake sind hier die 3 Zeilen mit den Flags [SYN], [SYN] und [ACK]. Diese drei Pakete werden zu Beginn jeder TCP-Sitzung ausgetauscht, wie die Abbildung weiter unten illustriert.

Zeile 1 zeigt die Verbindungs­aufnahme vom Client (192.168.1.200) zum Server (192.168.1.124). FTP baut den Kontroll­kanal über einen vom FTP-Client frei gewählten High-Port (hier 23913) zu Ziel-Port 21 des Servers auf.

Bereits in der Zeilen­darstellung ist das SYN-Flag in eckigen Klammern zu erkennen, ebenso wie in der Detail­darstellung im mittleren Fenster, das heißt, es handelt sich um ein SYN-Paket (streng genommen „Segment“) im Rahmen des TCP-3-Wege-Handshakes.

Hier weiterlesen

Ähnliche Beiträge:

  1. Netzwerkanalyse mit Wireshark Teil 3 - TCP-IP-Grundlagen für die Netzwerk-Analyse
  2. Netzwerkanalyse mit Wireshark Teil 2 - Wireshark unter Linux und macOS installieren
  3. Netzwerkanalyse mit Wireshark Teil 4 - Netzwerk-Analyse am Beispiel von Ping
  4. Netzwerkanalyse mit Wireshark Teil 8 - Datenströme verfolgen mit Verbindungsfiltern

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.