Wireshark

Aus Foxwiki
Subpages:

Wireshark - Analyse und grafischen Aufbereitung von Datenprotokollen

Beschreibung

Wireshark (Kabelhai) ist eine freie Software zur Analyse und grafischen Aufbereitung von Datenprotokollen (Sniffer), die 2006 als Fork des Programms Ethereal entstanden ist

  • Datenprotokolle verwenden Computer auf verschiedensten Kommunikationsmedien wie dem lokalen Netzwerk, Bluetooth oder USB
  • Wireshark kann Administratoren, Netzwerk-Experten und Sicherheits-Experten bei der Suche nach Netzwerkproblemen, der Ermittlung von Botnet-Verbindungen oder beim Netzwerk-Management behilflich sein
  • Wireshark zeigt bei einer Aufnahme sowohl den Protokoll-Kopf als auch den übertragenen Inhalt an
  • Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie pcap oder usbpcap, um den Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium mitzuschneiden
  • Datenprotokolle verwenden Computer auf verschiedensten Kommunikationsmedien wie dem lokalen Netzwerk, Bluetooth oder USB
  • Hilft bei der Suche nach Netzwerkproblemen, der Ermittlung von Botnet-Verbindungen oder beim Netzwerk-Management
  • Wireshark zeigt bei einer Aufnahme sowohl den Protokoll-Kopf als auch den übertragenen Inhalt an
  • Das Programm stützt sich bei der grafischen Aufbereitung auf die Ausgabe von kleinen Unterprogrammen wie pcap oder usbpcap
  • Der Inhalt der Kommunikation auf dem jeweiligen Übertragungsmedium wird mitgeschnitten
  • Hersteller: Wireshark-Community
  • Betriebssystem: Unix, Linux, Solaris, Mac, Windows und diversen BSD-Versionen
  • Programmiersprache: C
  • Lizenz: GPL (freie Software)
Leistungsmerkmale

Wireshark fügt bei verschiedenen Protokollen Metainformationen zu Paketen hinzu, die sich nur aus dem Kontext des Datenflusses ergeben

  • So wird zu SMB-Paketen, die aus Operationen in Windows-Dateifreigaben stammen, der Datei- bzw. Verzeichnisname hinzugefügt, wenn das Öffnen der Datei mit aufgezeichnet wurde
  • Diese speziellen Filter und Protokollmodule kann der Benutzer auch selber erstellen, um zum Beispiel selbst entworfene Übertragungsprotokolle mittels Wireshark effizient untersuchen zu können

Installation

# apt install wireshark

Wireshark ausführen

FÜHREN SIE IHN NICHT ALS ROOT AUS!

WIRESHARK ENTHÄLT ÜBER EINE MILLION ZEILEN QUELLCODE

  • Wireshark ist anfällig für manipulierten Datenverkehr
  • Aufgrund seiner Komplexität und der großen Anzahl an Protokoll-Dissektoren
    • Denial-of-Service
    • Ausführung von beliebigem Code

Zugriff auf Netzwerkschnittstellen

  • Mit User-Rechten hat Wireshark keinen Zugriff auf Netzwerkschnittstellen
  • Erfordert standardmäßig Root-Rechte

Aktivieren von Non-root Capture

Capabilities

Werden mit dem Dienstprogramm setcap zugewiesen
Relevant für Wireshark
Option Beschreibung
CAP_NET_ADMIN Erlaubt verschiedene netzwerkbezogene Operationen (z.B. Setzen von privilegierten Socket-Optionen, Aktivieren von Multicasting, Schnittstellenkonfiguration, Ändern von Routing-Tabellen)
  • CAP_NET_ADMIN ermöglicht es uns, eine Schnittstelle in den Promiscuous-Modus zu versetzen, und
CAP_NET_RAW Erlaubt die Verwendung von RAW- und PACKET-Sockets
  • CAP_NET_RAW erlaubt den Raw-Zugriff auf eine Schnittstelle, um direkt über die Leitung zu erfassen

Wireshark-Gruppe

Da die Anwendung, der wir erweiterte Fähigkeiten zugestehen, standardmäßig von allen Benutzern ausgeführt werden kann, möchten Sie vielleicht eine spezielle Gruppe für die Wireshark-Familie von Dienstprogrammen (und ähnliche Anwendungen) hinzufügen und ihre Ausführung auf Benutzer innerhalb dieser Gruppe beschränken 

# groupadd wireshark
# usermod -a -G wireshark user

Nachdem Sie sich selbst zur Gruppe hinzugefügt haben, muss sich Ihr normaler Benutzer möglicherweise ab- und wieder anmelden

  • Sie können auch newgrp ausführen, um die neue Gruppe zu erzwingen (Sie müssen Wireshark in Schritt 3 aus derselben Terminalumgebung starten):
$ newgrp wireshark

Wir weisen dieser Gruppe die ausführbare Datei dumpcap anstelle von Wireshark selbst zu, da dumpcap für die gesamte Low-Level-Erfassung zuständig ist

  • Durch Ändern des Modus auf 750 wird sichergestellt, dass nur Benutzer, die zu dieser Gruppe gehören, die Datei ausführen können
# chgrp wireshark /usr/bin/dumpcap
# chmod 750 /usr/bin/dumpcap

Zugriffsrechte

Gewähren von Fähigkeiten mit setcap
# setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
Änderung prüfen
# getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

Wireshark starten

Führen Sie nun Wireshark als den Benutzer aus, den oben zur Wireshark-Gruppe hinzugefügt haben 

$ wireshark &
Vollständige Liste der Adapter

Andernfalls

  • Prüfen, ob die Wireshark-Gruppe in der Ausgabe der Gruppen aufgeführt ist
  • Neu anmelden, damit die Gruppenzuweisung wirksam wird


Anhang

Siehe auch

Links

Projekt
  1. https://www.wireshark.org
Weblinks
  1. https://de.wikipedia.org/wiki/Wireshark


Abgerufen von „https://wiki.foxtom.de/index.php?title=Wireshark&oldid=91282