Picture of Nico Reiser

Nico Reiser

CISO RDU Security Center
Senior Cybersecurity Expert
Data Protection Engineer

experience in security since 1996

Wireshark installieren und zu nutzen ist eine der Grundhandwerkszeuge zur Analyse von Datenpaketen und Datenverkehr. Falls Sie die Vorteile von Wireshark nutzen möchten ist Ihnen der technische Support von Reiser & Partner gern behilflich.

Unter Linux Ubuntu
  1. Öffnen Sie das Terminal.
  2. Aktualisieren Sie die Paketquellen:
   sudo apt update
  1. Installieren Sie Wireshark:
   sudo apt install wireshark -y
  1. Fügen Sie Ihren Benutzer zur Wireshark-Gruppe hinzu (um als Nicht-Root-Paketmitschnitte zu erstellen):
   sudo usermod -aG wireshark $USER
  1. Starten Sie Ihr System neu oder melden Sie sich ab und wieder an.
Unter Windows
  1. Laden Sie die aktuellste Version von Wireshark von https://www.wireshark.org/download.html herunter.
  2. Führen Sie die Installationsdatei aus und folgen Sie den Anweisungen. Akzeptieren Sie alle Standardoptionen.
  3. Installieren Sie zusätzlich die Option „Npcap“, die für das Abfangen von Netzwerkverkehr erforderlich ist.
Unter macOS
  1. Installieren Sie Homebrew (falls nicht vorhanden):
   /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
  1. Installieren Sie Wireshark:
   brew install --cask wireshark
  1. Starten Sie Wireshark aus dem Anwendungsordner.


Wireshark starten:

  • Öffnen Sie Wireshark und wählen Sie ein Netzwerkinterface (z. B. Ethernet oder WLAN) aus.
  • Drücken Sie auf den grünen Start-Button, um den Netzwerkverkehr mitzuschneiden.

2. Filtern des Netzwerkverkehrs:

    • Nutzen Sie den Filter oben im Fenster, um die Daten einzugrenzen.
    • Beispiel: tcp.port == 443 filtert alle TCP-Pakete über Port 443 (HTTPS).

    2. Spezifische Pakete untersuchen:

    • Klicken Sie auf ein Paket, um Details im unteren Bereich des Fensters zu sehen.
    • Hier können Sie Header-Informationen und Nutzdaten analysieren.

    1. Speichern der Mitschnitte:
    • Gehen Sie zu File → Save As, um Mitschnitte in der Datei „.pcap“ zu speichern.


    OperatorBeschreibungBeispiel
    ==Vergleich: Gleicht die Werte der Pakete ab.ip.src == 192.168.1.1
    !=Negation: Wählt alle Pakete, die nicht mit dem Wert übereinstimmen.ip.dst != 8.8.8.8
    andLogisches UND: Filtert Pakete, die beiden Bedingungen entsprechen.tcp and ip.src == 192.168.1.1
    orLogisches ODER: Filtert Pakete, die mindestens einer Bedingung entsprechen.tcp or udp
    containsSucht nach Paketen, die einen bestimmten String enthalten.http contains "password"
    > / < / >= / <=Vergleiche von numerischen Werten.tcp.port > 1024
    matchesRegex-Muster für komplexe Filtrationen.frame matches "GET.*HTTP"
    ip.srcFiltert Pakete basierend auf der Quell-IP-Adresse.ip.src == 10.0.0.1
    ip.dstFiltert Pakete basierend auf der Ziel-IP-Adresse.ip.dst == 8.8.8.8
    tcp.port / udp.portFiltert Pakete basierend auf Portnummern.tcp.port == 443
    dnsSpezielle Protokollfilter.dns and ip.src == 192.168.1.1


    4. Sinnvolle Sicherheitsüberprüfung nach ISO 27001

    Wireshark kann zur Analyse der Netzwerkkommunikation und Identifikation potenzieller Sicherheitsrisiken genutzt werden. Eine typische Sicherheitsüberprüfung umfasst folgende Schritte:

    1. Vorbereitung
    • Stellen Sie sicher, dass die Verwendung von Wireshark im Unternehmensnetzwerk autorisiert ist.
    • Planen Sie die Analysezeitpunkte, um die regulären Betriebsabläufe nicht zu stören.
    2. Durchführung der Analyse

    Mitschnitt kritischer Bereiche:

      • Wählen Sie spezifische Netzwerksegmente (z. B. Datenbank-Server oder kritische Applikationen).
      • Starten Sie die Aufzeichnung während kritischer Prozesse.

      1. Filterung sensitiver Daten:
      • Filtern Sie z. B. alle unverschlüsselten Passwörter:
        bash http contains "password"
      • Identifizieren Sie Protokolle ohne TLS-Verschlüsselung (tcp.port == 80).

      Erkennung ungewöhnlicher Verbindungen:

        • Suchen Sie nach Paketen, die ungewöhnliche IP-Adressen oder Ports verwenden:
          bash ip.dst == 192.0.2.1

        Überwachung von Protokollen:

        • Verifizieren Sie die ordnungsgemäße Nutzung von SSL/TLS durch Filterung von tcp.port == 443.

        3. Dokumentation

        • Speichern Sie die Ergebnisse und dokumentieren Sie folgende Punkte:
        • Detektierte Schwachstellen (z. B. unverschlüsselte Verbindungen).
        • Zu analysierende Bereiche (z. B. Webserver, interne Datenbank).
        • Maßnahmen zur Behebung.
        4. Maßnahmenplanung

        Leiten Sie Verbesserungsmaßnahmen ab, wie:

        • Umstellung auf verschlüsselte Protokolle.
        • Implementierung von Firewalls oder Netzwerksegmentierung.

        Integration mit ISO 27001

        Die Ergebnisse der Wireshark-Analyse können in den ISO-27001-Prozess eingebunden werden:

        1. Risikoanalyse: Dokumentieren Sie gefundene Sicherheitsrisiken in der Risikoanalyse.
        2. Maßnahmenplanung: Definieren Sie technische und organisatorische Maßnahmen (z. B. Netzwerküberwachung, Verschlüsselung).
        3. Überwachung: Führen Sie regelmäßige Netzwerküberprüfungen durch und integrieren Sie die Ergebnisse in das ISMS.


        Für weiterführende Analysen können Sie auch Skripte (z. B. mit tshark, der Kommandozeilenversion von Wireshark) verwenden, um Prozesse zu automatisieren.

        Gerne hilft Ihnen unserer SOC von Reiser & Partner weiter, wenn Sie automatisierte Anforderungen mit tshark oder wireshark umsetzen möchten.