Wireshark verstehen - Netzwerk-Traffic lesen lernen

Netzwerkkommunikation besteht aus Paketen - kleinen Einheiten strukturierter Daten, die von Host zu Host gesendet werden. Ein Paketmitschnitt ist das Aufzeichnen dieser Pakete an einem bestimmten Punkt im Netz, zu einem bestimmten Zeitpunkt.

Wireshark kann zwei Modi:

• Live-Capture: Wireshark zeichnet direkt von einem Netzwerk-Interface auf - in Echtzeit, Paket für Paket
• Offline-Analyse: Eine gespeicherte PCAP-Datei wird geöffnet und analysiert - ohne laufendes Netz

Das PCAP-Format (und der modernere Nachfolger pcapng) ist ein offener Standard. Nahezu alle Sicherheitswerkzeuge können PCAP- Dateien lesen - von Snort über Zeek bis zu Splunk. Wer eine PCAP-Datei analysieren kann, hat eine Fähigkeit, die von SOC bis Incident Response überall gefragt ist.

Der Unterschied: Bei Live-Analyse entscheidet man gerade jetzt, was aufgezeichnet wird. Bei der Offline-Analyse hat man alle Zeit der Welt und kann Filter, Statistiken und Stream-Rekonstruktionen in Ruhe anwenden. Für Lernende sind Offline-Analysen mit vorgefertigten Sample-PCAPs oft der bessere Einstieg.

Das OSI-Modell beschreibt Netzwerkkommunikation in sieben logischen Schichten, von der physischen Bitübertragung (Schicht 1) bis zur Anwendungsebene (Schicht 7). Wireshark arbeitet schichtübergreifend und dekodiert Protokolle von unten nach oben - Ethernet-Frame, IP-Paket, TCP-Segment, HTTP-Nachricht.

Promiscuous Mode: Normalerweise verwirft eine Netzwerkkarte Pakete, die nicht an ihre MAC-Adresse adressiert sind. Im Promiscuous Mode empfängt sie alle Pakete, die am Interface ankommen - auch die für andere Empfänger. Wireshark aktiviert diesen Modus standardmäßig bei der Aufzeichnung.

In modernen geswitchten Netzen sieht ein Host aber ohnehin nur seinen eigenen Traffic und Broadcasts - kein Port-Mirroring, kein fremder Traffic. Das ist eine wichtige Einschränkung: Man sieht nicht automatisch alles im Netz, nur weil Wireshark offen ist.

Wer Wireshark zum ersten Mal öffnet, sieht drei Hauptbereiche plus Menüzeile. Das Verständnis der Oberfläche ist Voraussetzung für effiziente Analyse.

• Paketliste (oben): Alle aufgezeichneten Pakete mit Zeitstempel, Quelle, Ziel, Protokoll und Info - eine Zeile pro Paket
• Paketdetails (mitte): Baumstruktur der Protokollschichten eines ausgewählten Pakets - hier siehst du jeden Header-Wert
• Paket-Rohdaten (unten): Hex-Dump und ASCII-Darstellung des rohen Paket-Inhalts
• Capture Filter (vor der Aufzeichnung): BPF-Syntax, z. B. 'port 80' oder 'host 192.168.1.1' - filtert was gespeichert wird
• Display Filter (nach der Aufzeichnung): Wireshark-eigene Syntax, z. B. 'http', 'dns', 'tcp.port == 443' - blendet Pakete aus oder ein
• Statistik-Menüs: Conversations, Endpoints, Protocol Hierarchy, IO Graph - liefern Überblick über Traffic-Muster

Wichtig: Display Filter und Capture Filter haben unterschiedliche Syntaxen. Ein häufiger Anfängerfehler ist, Display-Filter-Syntax als Capture-Filter einzugeben und sich zu wundern, warum nichts gefiltert wird.

Sechs Protokolle decken den Grossteil dessen ab, was man im täglichen Lernbetrieb in Wireshark sieht. Wer diese sicher liest, hat ein solides Fundament.

TLS verschlüsselt den Inhalt einer Verbindung, aber nicht alle Metadaten. Das ist ein wichtiges Konzept für Security-Arbeit: "Verschlüsselt" bedeutet nicht "unsichtbar".

Was Wireshark bei TLS-Traffic zeigt:

• SNI (Server Name Indication): Der Hostname, den der Client im ClientHello mitsendet - klar lesbar, auch bei TLS 1.3
• Serverzertifikat: Aussteller, Gültigkeit, Subject-Alternative-Names - enthält oft den Domain-Namen
• TLS-Version: ob TLS 1.2 oder 1.3 (oder ältere, unsichere Versionen) ausgehandelt wird
• Cipher Suite: Welche Verschluesselungsalgorithmen verwendet werden - relevant für Compliance und Sicherheitsbewertung
• Traffic-Muster: Zeitpunkt, Größe, Frequenz der Pakete - kein Inhalt, aber genügt oft für Traffic-Fingerprinting

Was nicht sichtbar ist:

• HTTP-Methoden, Pfade, Header und Body - vollständig verschlüsselt
• Credentials, Tokens, Session-Cookies - nicht rekonstruierbar ohne Schlüsselmaterial
• API-Anfragen und Responses - vollständig im TLS-Record verborgen

Mit dem SSLKEYLOGFILE-Mechanismus können eigene TLS-Sessions entschlüsselt werden - das ist ein legitimes Lernmittel im eigenen Lab und wird von Wireshark direkt unterstützt. Fremde Sessions sind und bleiben unlesbar.

Wireshark wird oft als Angreiferwerkzeug wahrgenommen - das ist eine Halbwahrheit. Defenders nutzen es intensiv. Hier sind typische defensive Fragestellungen, die sich direkt in Wireshark beantworten lassen:

• Beacon-Erkennung: Ruft ein Host in regelmäßigen Intervallen eine externe IP an? Regelmässige Abstände bei Command-and-Control-Traffic sind ein klassisches IoC.
• DNS-Anomalien: Ungewöhnlich viele NXDomain-Antworten können auf DGA (Domain Generation Algorithms) von Malware hinweisen.
• Cleartext-Auth in Altsystemen: Läuft noch ein Dienst, der Credentials unverschluesselt überträgt? FTP, Telnet, Basic Auth über HTTP?
• Fehlende TLS-Versionen: Stellen Systeme noch TLS 1.0 oder 1.1 bereit? In der Protocol-Hierarchy sieht man das sofort.
• ARP-Flooding oder Spoofing: Viele ARP-Requests von einer Quelle können auf ARP-Scanning oder Man-in-the-Middle-Versuche hinweisen.
• Unerwartete ausgehende Verbindungen: Ein interner Host verbindet sich mit einer unbekannten externen IP - was ist das?
• Retransmissions und Timeouts: Häufige Retransmissions zeigen Netzwerkprobleme oder einen voll ausgelasteten Dienst.

Wireshark ist ein mächtiges Werkzeug - aber kein Allheilmittel. Wer seine Grenzen kennt, setzt es effizienter ein.

• Verschlüsselter Traffic: TLS-Inhalte bleiben verschlüsselt. Ohne Schlüsselmaterial sieht man nur Metadaten.
• Skalierung: Bei hochvolumigem Traffic (Multi-Gigabit-Verbindungen) stößt Wireshark an seine Grenzen. Für große Mengen gibt es spezialisierte Tools wie Zeek oder Arkime.
• Kein SIEM-Ersatz: Wireshark analysiert Traffic an einem Punkt zu einer Zeit. Ein SIEM korreliert Ereignisse über Zeit, Systeme und Quellen hinweg.
• Kein Alerting: Wireshark schlägt nicht automatisch Alarm. Dafür ist ein IDS/IPS wie Suricata oder Snort zuständig.
• Geswitchte Netze: In modernen Netzen sieht man ohne Port-Mirroring oder SPAN-Port nur den eigenen Traffic.

Wireshark braucht kein komplexes Lab-Setup. Schon der eigene Rechner bietet genügend Traffic zum Lernen. Drei konkrete Einstiegs- Übungen:

• Eigenen Browser-Traffic: Wireshark starten, Browser öffnen, eine HTTP-Seite aufrufen (z. B. http://example.com), DNS-Request und HTTP-GET im Mitschnitt finden
• TLS-Handshake beobachten: Eine HTTPS-Seite aufrufen, den TLS-Handshake suchen, ClientHello und SNI-Feld lesen, Serverzertifikat ausklappen
• Sample-PCAPs analysieren: Von wireshark.org oder malware-traffic-analysis.net eine PCAP-Datei laden und mit Protocol-Hierarchy und Conversations-Ansicht erkunden

Für fortgeschrittenere Übungen: Eine Metasploitable-VM im Lab starten, Nmap-Scan durchführen und dabei Wireshark auf der Quelle mitlaufen lassen. So sieht man direkt, wie SYN-Scans auf Paketebene aussehen - das beste Lernformat für beide Tools.

Starte Wireshark auf deinem Lab-Rechner, öffne einen Browser und rufe eine einfache HTTP-Seite auf. Suche den DNS-Query, den TCP-Handshake und den HTTP-GET-Request. Filtere danach mit 'dns' und 'http' gezielt. Lade anschließend eine Sample-PCAP von wireshark.org herunter und analysiere sie mit der Protocol-Hierarchy-Statistik - was lädt sich dort in Sekunden erschliessen?