Netzwerkanalyse mit Wireshark Teil 8 - Datenströme verfolgen mit Verbindungsfiltern

Mit Wireshark kann man auch kom­plette Kommu­nikations­ströme nach­ver­folgen, also alle Pakete filtern, die eine spezi­fische Inter­aktion zwischen zwei Sys­temen dar­stellen. Dazu muss man erst ein Paket finden, das zur Inter­aktion zwischen den beiden End­punkten gehört und darauf einen Ver­bindungs­filter an­wenden.

Wir gehen im ersten Beispiel von einem bestehenden ungefilterten Mitschnitt einer FTP-Sitzung aus, bei der wir auf eine Ver­schlüsselung verzichtet haben. Zuerst suchen wir ein Paket aus, von dem wir wissen, dass es zu einem ganz bestimmten Kommuni­kations­strom gehört und klicken dann im Kontextmenü auf Verbindungsfilter.

Hier besteht die Möglichkeit, auf  MAC-Ebene („Ethernet“ = Layer 2), IPv4-Ebene (Layer 3) oder TCP-Ebene (Layer 4) zu filtern. In diesem Beispiel testen wir mit TCP, weil Layer 4 meist die exakteste Form der Filterung erlaubt.

Auswählen eines Verbindungsfilters.

In Abhängigkeit von dieser Auswahl erstellt Wireshark jetzt in der Kopfzeile automatisch den passenden Filter, in diesem Fall

(ip.addr eq 192.168.1.124 and ip.addr eq 192.168.1.200) and (tcp.port eq 21 and tcp.port eq 58733)

Dieser Verbindungsfilter macht die zu einer FTP-Sitzung gehörigen Pakete sichtbar.

In einem weiteren Beispiel können wir bei einem Paket, das erkennbar zu einer DNS-Kommunikation gehört, den Verbindungs­filter auf UDP einstellen. Der generierte Ausdruck sieht dann so aus:

(ip.addr eq 192.168.1.200 and ip.addr eq 192.168.0.12) and (udp.port eq 63119 and udp.port eq 53)

Hier weiterlesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.