Wireshark & Basisprotokolle TCP/IP

Einführung

Wireshark ist ein leistungsstarkes Tool zur Netzwerkanalyse, das dir detaillierte Einblicke in den Datenverkehr deines Netzwerks gibt. Wenn es um ICMP (Internet Control Message Protocol) geht, ist Wireshark besonders nützlich, um zu verstehen, wie Pings funktionieren,

Ziele

• Verständnis für die Rolle und das Zusammenspiel von HTTP, DNS, ICMP, ARP und TCP/IP im Netzwerkverkehr
• Anwendung von Wireshark zur Analyse und Interpretation von Netzwerkpaketen
• Erkennen typischer Kommunikationsmuster und Protokollabläufe

Kompetenzzuordnung

NWTK Schichtenmodelle

• den Begriff der Datenkapselung erklären und an einem Beispiel veranschaulichen

Voraussetzungen

• Wireshark installiert
• Prinzip der Datenkapselung aus dem 1. Jahrgang wiederholt

Detaillierte Aufgabenbeschreibung

Anhand von realem Datenverkehr soll das Zusammenspiel von DNS, ICMP, ARP und TCP/IP praxisnah vermittelt werden. Die Übung ist modular nach Protokoll aufgebaut. Zum Abschluss werden die einzelnen Protokolle in einem E2E Szenario kombiniert.

Empfohlene Einstellungen:

• Use external network name resolver: DISABLE (default: ENABLE) Hostnamen werden nicht mehr per DNS aufgelöst; vermindert Traffic im Netz
• Resolve transport names: ENABLE (default: DISABLE) Protokollnamen werden anhand der Ports aufgelöst.
• Optional: GeoIP database directories: Datenbank einbinden DB unter http://dev.maxmind.com/geoip/geolite runterladen und auspacken. In wireshark einbinden Zeigt den Standort der IP an.

Hinweise vor einem Capture:

• DNS Cache leeren ipconfig / flushdns
• ARP Cache löschen arp -d
• Browser Cache leeren

Allgemeine Reflexion (übergreifend)

• Warum ist es sinnvoll, vor einem Capture DNS‑, ARP‑ und Browser‑Caches zu leeren?
• Welche Vorteile bietet Wireshark gegenüber reinem Kommandozeilen‑Debugging (z. B. ping, tracert)?
• Welche Informationen lassen sich nur durch Mitschneiden des Netzwerkverkehrs gewinnen?
• Welche Grenzen hat Wireshark bei der Analyse moderner Netzwerke (z. B. HTTPS)?
• In welchem OSI‑ bzw. TCP/IP‑Layer arbeitet Wireshark hauptsächlich – und warum?

Aufgabe Grundkompetenz:

Basisprotokolle / Übungen zum Umgang mit Wireshark

Teil 1: traceroute

Führe einen traceroute zu einer entfernten Adresse aus.

Reflexion:

• Warum erreicht ein ICMP‑Paket bei traceroute nicht sofort das Zielsystem?
• Weshalb antworten Router mit ICMP Time Exceeded und nicht mit Echo Reply?
• Warum kann traceroute für dasselbe Ziel unterschiedliche Routen anzeigen?
• Weshalb können manche Hops fehlen oder mit * * * angezeigt werden?
• Welche Rückschlüsse lassen sich aus der Laufzeit (RTT) der einzelnen Hops ziehen?

Teil 2: ARP – Adressauflösung im lokalen Netzwerk

Ping von einem Client über einen Router hin zu einem Server.

Filter nach arp

Führe auf der Kommandozeile ping <IP-Adresse eines anderen Rechners im LAN> aus.

Beobachte die ARP-Request- und ARP-Reply-Pakete.

Reflexion:

• Warum ist ARP ausschließlich im lokalen Netzwerksegment notwendig?
• Weshalb wird bei einem Ping über einen Router nicht die MAC‑Adresse des Zielhosts aufgelöst?
• Warum ändert sich die MAC‑Adresse, nicht aber die IP‑Adresse, entlang des Übertragungswegs?
• Welche Sicherheitsprobleme können durch ARP entstehen (Stichwort: ARP Spoofing)?
• Wie würde sich das Capture verändern, wenn der ARP‑Cache bereits gefüllt ist?

Teil 3: ICMP – Netzwerkdiagnose mit Ping

Filter in Wireshark: icmp

Führe ping www.google.com aus.

Beobachte die ICMP-Pakete und deren Sequenznummern.

Reflexion:

• Welche Bedeutung haben Sequenznummern bei ICMP Echo Requests?
• Warum kann ein Host auf einen Ping nicht antworten, obwohl er erreichbar ist?
• Welche Netzwerkprobleme lassen sich mit ICMP erkennen – und welche nicht?

Teil 4: DNS – Namensauflösung verstehen

Filter in Wireshark: dns

Führe nslookup www.microsoft.com oder ping www.microsoft.com aus.

Beobachte die DNS-Query und die Antwort.

Reflexion:

• Welche DNS-Server werden verwendet?
• Welche IP-Adresse wird für den Hostnamen zurückgegeben?
• Warum ist DNS fast immer der erste Schritt bei der Kommunikation mit Webdiensten?
• Warum kann ein DNS‑Server mehrere IP‑Adressen für einen Hostnamen liefern?
• Welche Auswirkungen hat DNS‑Caching auf Performance und Analyse?
• Welche Sicherheitsrisiken bestehen im Zusammenhang mit DNS (z. B. Spoofing, Hijacking)?

Teil 5: TCP/IP – Verbindungsaufbau und Datenübertragung

Filter in Wireshark: tcp.port == 80 oder tcp

Öffne einen Browser und rufe http://example.com auf.

Beobachte den TCP-Handshake (SYN, SYN-ACK, ACK) und die HTTP-GET-Anfrage.

Reflexion:

• Warum ist der 3‑Way‑Handshake für TCP notwendig?
• Welche Probleme würde es geben, wenn TCP verbindungslos wäre?
• Warum werden HTTP‑Verbindungen über TCP und nicht über UDP aufgebaut?
• Woran erkennt man im Capture, dass die Verbindung korrekt aufgebaut wurde?

Teil 6: Protokollkette

Eine scheinbar einfache Aktion (z. B. das Aufrufen einer Webseite) erfordert das Zusammenspiel mehrerer Protokolle auf verschiedenen Schichten.

Entwickeln Sie ein eigenes, realitätsnahes Szenario, bei dem mehrere TCP/IP‑Basisprotokolle in einem einzigen Wireshark‑Capture sichtbar sind.

Der Fokus liegt auf:

• Datenkapselung
• zeitlicher Abfolge der Protokolle
• Abhängigkeiten zwischen den Protokollen

Beispiel: Aufruf einer bisher nicht verwendeten Seite (Caches leeren)

Durchführung

1. Capture starten (ohne Capture‑Filter)
2. Ausgewähltes Szenario durchführen
3. Capture beenden und auswerten

Erwartete Protokolle (je nach Szenario)

Im Capture sollen – sofern technisch erforderlich – folgende Protokolle identifizierbar sein:

Protokoll	Aufgabe im Ablauf
DNS	Namensauflösung
ARP	Auflösung IP → MAC im lokalen Netz
TCP	Verbindungsaufbau
HTTP	Übertragung der Anwendungsdaten
ICMP	Diagnose oder indirekte Kommunikation (optional)

Nicht jedes Szenario muss alle Protokolle enthalten, die Abfolge muss jedoch logisch korrekt sein.

Reflexion:

• Kurze Beschreibung des gewählten Szenarios
• Warum wurde dieses Szenario gewählt?
• In welcher Reihenfolge treten die verwendeten Protokolle auf – und warum genau so?
• Warum ist ARP zwingend notwendig, obwohl IP‑Adressen bereits bekannt sind?
• Welche Rolle spielt TCP zwischen Namensauflösung und HTTP‑Übertragung?
• Wie würde sich der Ablauf ändern, wenn statt HTTP ein anderes Anwendungsprotokoll verwendet würde?

Aufgabe Erweiterte Kompetenz:

Teil 7: Überblick verschaffen

Welche Maschinen befinden sich im lokalen Netz?

• Wie viele Maschinen befinden sich im lokalen Netz?
• Welche MAC- und welche IP-Adressen haben diese?
• Welche Aufgabe haben die einzelnen Maschinen vermutlich?
• Welche Protokolle kommen zum Einsatz?
• Woran erkennt man im Capture unterschiedliche Gerätetypen (Client, Gateway, Server)?

Tipp: Conversations-Dialog

Teil 8: Cookies

Cookies werden heutzutage von fast jeder Web-Seite verwendet, um Nutzer wiederzu erkennen. Der Verwendung von Cookies muss daher sinnvollerweise durch den Nutzer zugestimmt werden. Aber was passiert eigentlich mit den Cookies, wenn man auf weitere Seiten surft?

Protokolliere mittels Wireshark die nächsten Schritte mit. Rufe jeweils einen einzelnen Artikel auf den folgenden Seite ab: Spiegel Online, Zeit, Stern, WAZ, Berliner Zeitung, Conrad.

Versuchen dir ein Bild davon zu machen, wohin zusätzlich zu Ihren eigenen Anfragen, Zugriffe erfolgt sind.

Verfolge welche Cookies wohin versendet werden. Gibt es Änderungen bei Zugriff auf andere Seiten?

Reflexion:

• Welche Cookies wurden in deinem Browser gespeichert, beim surfen auf Online-Shops, …?
• Warum müssen TLS‑Verbindungen entschlüsselt werden, um Cookies zu sehen?
• Welche Informationen enthalten Cookies typischerweise?
• Warum werden beim Aufruf einer Webseite oft Drittanbieter kontaktiert?

Filter für Cookies in Wireshark

http.cookie

http.cookie contains <cookiename>

TLS entschlüsseln:

Da fast alle Webseiten HTTPS verwenden, musst du TLS entschlüsseln, um Cookies lesen zu können.

Browser wie Chrome und Firefox können ihren aktuellen Session-Key in eine Datei schreiben:

1. Linux: Setze diese Umgebungsvariable vor dem Browserstart: export SSLKEYLOGFILE=/home/user/sslkeys.log
2. Windows: Per PowerShell: setx SSLKEYLOGFILE "C:\sslkeys\sslkeys.log"
3. Starte den Browser neu. Dann überprüfe die Datei keylog.log → Wenn sie wächst und Einträge enthält wie: CLIENT_RANDOM 3ab4e1a9... 7dcaf123... → Alles funktioniert.
4. Öffne Wireshark → Edit → Preferences → Protocols → TLS → (Pre)-Master-Secret log filename → sslkeys.log auswählen.

Jetzt kann Wireshark HTTPS entschlüsseln.

So findest du Cookies in einem HTTP-Request:

1. Paket auswählen
2. „Hypertext Transfer Protocol“ aufklappen
3. Dort findest du:
4. Cookie: → vom Browser gesendete Cookies
5. Set-Cookie: → vom Server gesetzte Cookies

Beispiel:

Cookie: sessionid=abc123; theme=dark
Set-Cookie: sessionid=abc123; Path=/; HttpOnly; Secure

Fragestellungen

Im Rahmen dieser Übung beantworte folgende Fragestellungen:

• Was ist der Unterschied zwischen einem Capture-Filter und einem Display-Filter in Wireshark?
• Welche Risiken bestehen beim Einsatz von Wireshark in produktiven Netzwerken, und wie kann man diese minimieren?
• Was zeigt dir das Feld „Time“ in der Paketliste an, und wie kannst du es interpretieren?
• Wie kannst du in Wireshark den Datenfluss zwischen zwei Hosts grafisch darstellen?
• Wie kannst du in Wireshark gezielt den Netzwerkverkehr eines bestimmten Prozesses oder Programms analysieren?

Abgabe

siehe allgemeine Abgaberegeln

Ergänzung:

Pro Teilaufgabe:

Beschreibung der Durchführung

• verwendeter Befehl (z. B. ping, tracert, nslookup)

• gesetzter Wireshark‑Filter

Mindestens ein aussagekräftiger Screenshot

• Paketliste und
• Detailansicht des relevanten Protokolls

Kurze Interpretation und Reflexion

• Was ist im Paket zu sehen?
• Welche Rolle spielt das jeweilige Protokoll?

Besonders bei Teil 6:

• nachvollziehbare zeitliche Analyse
• korrektes Verständnis der Protokollabhängigkeiten
• Bezug zur Datenkapselung
• saubere Screenshots & Erklärungen
• eigenständige, logisch aufgebaute Argumentation

Bewertung

• Gruppengröße: 1 Person
• Maximale Punktezahl Grundkompetenz: 2
• Zusätzliche Punkte erweiterte Kompetenz (vollständige GK ist Voraussetzung): 1
• Maximale Punkteanzahl bei verspäteter Abgabe (<= 1 Woche): 1
• Maximale Punkteanzahl bei verspäteter Abgabe (> 1 Woche): 0,5

Quellen

• https://www.wireshark.org/ - letzter Abruf 15.07.2025
• Home - Wireshark Wiki - letzter Abruf 15.07.2025
• Wireshark User’s Guide: Version 4.5.0 - letzter Abruf 15.07.2025
• Praktikum 1 - Pakete inspizieren mit Wireshark – THA_net - letzter Abruf 15.07.2025

Pre-Read Material

Datei	Typ	Größe	Geändert
📕 PreRead Material - Packet Sniffing.pdf	.pdf	2.91 MB	2026-05-05 06:42

Attachments

Ordner nicht gefunden: 2nd year/Packet Sniffing/Attachments

---

b9bf93b May 05, 2026 08:41:16 by Berndt Sevcik