Mit Wireshark angefragte URLs und Hosts filtern

Wie?

Bei HTTP Anfragen, also unverschlüsselten Anfragen, stellt sich hier garkein Problem dar. Es ist möglich die eingetragenen URLs im Klartext mitzulesen.

Bei verschlüsselten Anfragen, also https, ist das schon etwas komplizierter!

Hier ist es nicht ohne weiteres möglich mit einem Sniffing-Tool jedlicher Art die besuchten Seiten einzusehen. Um dennoch Informationen aus den tausenden mitgeschnittenen Paketen darüber zu erhalten, welche Websiten aufgerufen wurden werden wir hier auf den angefragten Host filtern. Meistens kann aus dem DNS-Namen des Webservers geschlossen werden, welche Seite besucht wurde.

Das Filtern für HTTPS

1.) Sobald die Pakete gesnifft sind kann oben in Wireshark in der Filterliste einer der folgenden Filter eingegeben werden. Der Unterschied ziwschen den beiden Filtern ist ledigtlich das angegebene Protocol. Beide Filter bewirken das gleiche. TLS ist lediglich eine andere Bezeichnung für  SSL.

tls.handshake.extensions_server_name
ssl.handshake.extensions_server_name

2.) Nun kann man sich eins der gefilterten Pakete aussuchen und wie im Bild zu sehen folgenden Pfad des Pakets öffnen:

Transport Layer Secure/TLSvX/Handshake Protocol/Extension: server_name/Server Name: Indication Extension

3.) Im angegebenen Pfad des Pakets angekommen sollte „Server Name: Hostname“ zu sehen sein. Durch einen Rechtsklick auf den gefundenen Servernamen und klicken auf“Als Spalte Verwenden“ oder die Tastenkombination „STRG + Shift + i“ wird auf der Hauptseite dieser Pfad nun als Spalte hinzugefügt. Hierdurch wird nun bei jedem Paket der angesprochene Servername angezeigt.

Das Filtern für HTTP

Bei HTTP ist die Sache ein wenig einfacher, da der Datenverkehr unverschlüsselt ist und man daher die reinen request daten einsehen kann.Zu Beachten ist, dass es hier, jeh nach Datenmenge, schnell unübersichtlich werden kann, da beim Aufrufen eines Dienstes oder einer Webseite meistens weitere, benötigte Daten von anderen Seiten geladen, die dann natürlich auch in Wireshark gelistet werden.

 

1.) Um nun die aufgerufenen URLs einsichtig zu machen einfach unter „Statistiken“-> „HTTP“ -> „Anfragen“ gehen und schon öffnet sich ein Fenster, in dem man die aufgerufenen URLs sehen kann (s. Bild)

guest
0 Comments
Inline Feedbacks
View all comments