Lehrveranstaltungen
Datenkommunikation
Praktika
Praktikum 1 - Pakete inspizieren mit Wireshark
Aufgabe 2 - Live Mitschnitt

Aufgabe 2 - Live Mitschnitt

HTTP lässt sich heutzutage nicht mehr so einfach aufzeichnen. Warum und wie man es dann doch wieder schafft lernen Sie jetzt. Auch schauen wir uns ein Browser-Feature an, dass Web-Developer häufig einsetzen.

Beginnen Sie Pakete von Ihrer Hauptnetzwerkschnittstelle aufzuzeichnen. Besuchen Sie mit dem Chrome Browser die Webseite der Hochschule (www.hs-augsburg.de). Wenn Sie fertig sind, stoppen Sie die Aufzeichnung mit Wireshark und versuchen Sie Anfragen an den Spiegel zu finden. Wundern Sie sich nicht, wenn sie nicht fündig werden! (Hinweis: wenn sie etwas finden, dann sollte das maximal eine Weiterleitung sein)

Der Grund warum Sie nichts gefunden haben ist, dass viele Webseiten Ihre Daten mittlerweile verschlüsseln. Heißt das, Wireshark kann nicht mehr genutzt werden? Nicht ganz. Man muss Wireshark nur mitteilen, wo die Sitzungsschlüssel liegen. Die großen Browser (Firefox und Chrome) z.B. können diese loggen und Wireshark kann diese dann lesen. Auch Python Developer z.B. können dieses Feature nutzen, um den Netzwerkverkehr ihrer Anwendungen zu debuggen. Dazu muss man die Umgebungsvariable SSLKEYLOGFILE setzen und Firefox neu starten. Dabei geht man wie folgt vor:

  1. Schließen Sie alle Fenster von Firefox!!! (wirklich alle, sonst funktioniert es nicht)
  2. Öffnen Sie eine Shell und setzen Sie die Umgebungsvariable mit:
export SSLKEYLOGFILE=/home/student/keylog.log
  1. Öffnen Sie Firefox in der gleichen Shell mit:
firefox &
  1. In Wireshark, geben Sie den Pfad zum Logfile unter Bearbeiten/Einstellungen/Protocols/TLS (in älteren Versionen von Wireshark könnte letzteres auch noch SSL heißen) in der Eingabemaske unter (Pre)-Master-Secret Log filename ein.
  2. Jetzt browsen Sie doch bitte in Firefox zu www.hs-augsburg.de, Sie sollten wie gewohnt HTTP und/oder HTTP2 in Wireshark sehen.

Vielleicht haben Sie schon mal gesehen, dass Brower Private Windows oder Incognito Windows anbieten. Aber was passiert eigentlich, wenn solche Fenster benutzt werden? Das können Sie ja jetzt einfach herausfinden.

  1. Jetzt, wo sie entschlüsseln können, gehen Sie doch nochmal zu www.spiegel.de. Besuchen Sie bitte einen Artikel beim Spiegel, um sicher zu gehen, dass auch ein Cookie gesetzt wird, sollte noch keiner vorhanden sein. Exportieren Sie den ersten HTTP-Request mit Cookie an den Spiegel als pcapng-Datei auf die Festplatte, aber nur diesen. (Klicken Sie auf das zu exportierende Paket. Dann unter File/Export Specified Packets, dort selected packets only wählen und abspeichern)
  2. Öffnen Sie ein Private Window in Firefox (in der Instanz, in der Sie entschlüsseln können) und starten sie das Aufzeichnen mit Wireshark erneut. Besuchen Sie die Webseite des Spiegels nochmal, diesmal aber im Private Window. Finden Sie die erste Anfrage an den Spiegel und speichern Sie diesen. Schliessen Sie die Aufzeichung, öffnen Sie eine Datei und dann über das Menü File/Merge die andere Datei in die Paketaufzeichnung einfügen. Wie unterscheiden Sie die beiden Anfragen?


Zurück
Übersicht
Weiter

Aufgabe 1 - FingerübungenAufgabe 3 - HTTP händisch