Frames verstehen mit Wireshark
Lernziele und Kompetenzen
- Wireshark fachgerecht einsetzen (Filter, Spalten, Capture‑Filter, Stream‑Analyse).
- Felder eines Ethernet‑II‑Frames identifizieren und interpretieren (Source MAC, Destination MAC, EtherType, Länge).
- MAC‑Adressen von PC und Gateway aus realen Netzwerkpaketen bestimmen.
- Zusammenhang zwischen Ethernet, IP, ARP, HTTP und HTTPS verstehen.
- Unicast, Broadcast und Multicast unterscheiden.
Voraussetzungen
- Wireshark installiert: Wireshark • Go Deep
Aufgabenbeschreibung
Untersuchen der Header-Felder in einem Ethernet II-Frame mittels Wireshark.
Teil 1: MAC Adresse und Gateway identifizieren
Wie lautet die MAC Adresse des sendenden PCs und des Default Gateways?
Teil 2: Ethernet Paket analysieren
Analysiere mittels Wireshark die Felder eines Ethernet Paketes das entsteht wenn z.B. eine Webseite im Browser aufgerufen wird.
- Welche MAC‑Adresse hat dein PC beim Webseitenaufruf verwendet? (Hinweis: Source MAC im Ethernet‑Header)
- Welche MAC‑Adresse war die Zieladresse beim ersten Hop? Direkt der Webserver? Oder das Default‑Gateway?
- Welchen EtherType hat das Frame? Typische Werte: 0x0800 → IPv4, 0x86DD → IPv6, 0x0806 → ARP.
- Wie groß ist das analysierte Ethernet‑Frame? → Vergleiche "Frame length on wire" vs. "Captured length".
- Wie unterscheidet sich das Ethernet‑Frame eines HTTP‑Requests von einem HTTPS‑Requests (TLS)?
- Warum sieht man den FCS-Wert in Wireshark standardmäßig nicht?
Teil 3: Spezielle Frames
Broadcast- und Unicast‑Frames unterscheiden
- Filter nach Broadcast:
eth.dst == ff:ff:ff:ff:ff:ff - Filtern nach Unicast:
eth.dst != ff:ff:ff:ff:ff:ff - Welche Arten von Broadcast‑Frames gibt es im Netzwerk? (z. B. ARP, DHCP)
- Warum kann ein Webseitenaufruf sowohl Broadcast‑ als auch Unicast‑Frames erzeugen?
Teil 4: HTTP
Analyse des gesamten Weges eines HTTP‑Pakets
- Rechtsklick auf ein Paket → Follow TCP Stream.
- Beobachte die Kommunikation zwischen Client und Webserver.
- Wie viele Ethernet‑Frames entstehen für ein einzelnes HTTP‑GET‑Paket?
- Welche Rolle spielt TCP beim Transport der HTTP‑Daten?
- Warum kann man im TCP‑Stream keine MAC‑Adressen mehr sehen?
Tipps:
- Verwende einen Capture Filter (nicht Display):
ether host <eigene MAC> or ether host FF-FF-FF-FF-FF-FF - Verwende eine Webseite die kein SSL verwendet z. B. http://httpforever.com/
- Lösche den DNS Cache bevor du den Capture startest:
ipconfig /flushdns - Lösche den ARP Cache nachdem du den Capture gestartet hast:
arp -dmit Admin Rechten => Terminal (Administrator) - Aktiviere die Namensauflösung im Menü Ansicht - Namensauflösung
- Ergänze die MAC Adresse als Spalte über Bearbeiten - Einstellungen - Darstellung - Spalten - + - Hardware src addr und Hardware dst addr
Abgabe
siehe allgemeine Abgaberegeln
Ergänzung:
Screenshot‑Nachweise
Für jeden Teil der Aufgabe müssen eigene Wireshark‑Screenshots eingefügt werden:
- Sichtbare Source- und Destination‑MAC (Teil 1 & 2)
- sichtbarer Ethernet‑Header
- Filteransichten für Broadcast und Unicast (Teil 3)
- Ausschnitt aus „Follow TCP Stream“ (Teil 4)
Screenshots müssen lesbar, nicht verpixelt und nicht zugeschnitten auf nur ein einziges Feld sein → der Frame muss erkennbar bleiben.
- Kurze Erklärung, was du gemacht hast.
- Wireshark‑Screenshots der relevanten Frames.
- Fachliche Erklärungen und Begründungen zu den Aufgaben
- Zusammenfassung (Was habe ich gelernt? Was ist mir aufgefallen?)
Kurze schriftliche Antworten
Zu jeder Frage muss eine kurze, präzise Antwort stehen. Die Antworten sollen jeweils 1–3 Sätze umfassen (keine Romane, aber verständlich).
Tabellarische Zusammenfassung (Teil 2)
Für Teil 2 müssen folgende Felder in einer kleinen Tabelle aufgelistet werden:
| Feld | Wert |
|---|---|
| Source MAC | … |
| Destination MAC | … |
| EtherType | … |
| Frame Length (on wire) | … |
| Captured Length | … |
| HTTP vs. HTTPS Unterschied | … |
Broadcast/Unicast‑Analyse
Die Abgabe muss enthalten:
- welche Broadcast‑Pakete gefunden wurden (z. B. ARP, DHCP)
- 1 Screenshot pro Filter
- Erklärung in ein bis zwei Sätzen, warum beides beim Webseitenaufruf vorkommt
HTTP‑Analyse (Teil 4)
Abzugeben sind:
- Anzahl der Frames für ein HTTP‑GET‑Paket
- kurzer Hinweis, wie TCP die Daten transportiert
- Screenshot aus „Follow TCP Stream“
- Antwort auf die Frage, warum im Stream keine MAC‑Adressen sichtbar sind
Bewertung
Gruppengröße: 1 Person
Maximale Punktezahl: 1
Maximale Punkteanzahl bei verspäteter Abgabe < 24h: 0,5
Maximale Punkteanzahl bei verspäteter Abgabe > 24h: 0
Quellen
- Fachwissen Netzwerktechnik Modelle - Geräte - Protokolle - letzter Abruf 30.3.2026
Pre-Read Material
| Datei | Typ | Größe | Geändert |
|---|---|---|---|
| 📕 PreRead Material - Data Link.pdf | 1.7 MB | 2026-05-05 06:42 | |
| 📕 PreRead Material - Switching.pdf | 895.74 KB | 2026-05-05 06:42 |
Attachments
| Datei | Typ | Größe | Geändert |
|---|---|---|---|
| 📕 Template zu CSMACD.pdf | 253.09 KB | 2026-05-05 06:42 | |
| 📕 cisco-sb-cbs110-24t-switch-data-sheet-1.pdf | 493.73 KB | 2026-05-05 06:42 |
b9bf93b May 05, 2026 08:41:16 by Berndt Sevcik