Autor schnell auf Spurensuche gehen.
Da sich die infizierten Systeme in der
konkreten Situation jedoch in einem
produktiven Netzwerk tummelten, blieb
ihm allerdings nur eine Live-Analyse als
Handlungsoption.
Sicherheitsarchitekturen
Viele Firmen erlauben ihren Mitarbeitern
ausgehende Zugriffe auf das Internet über
das Firmen-Gateway. In der Regel proto-
kollieren sie den erlaubten Verkehr an
der Firewall auch nicht mit. Dieses Vorge-
hen hat auch Nachteile: Wären die Logs
durch eine Log-Management-Lösung wie
ELK [3] oder Splunk [4] gelaufen, hätten
sich die Rechner sehr einfach eingrenzen
lassen, denn der Traffic über die Ports 23
oder 53 ist eher atypisch.
Läuft der Webzugriff zuerst über einen
firmeninternen Proxy, sind zumindest all
jene Rechner verdächtig, die nicht diesen
Proxy anlaufen, sondern eine direkte Ver-
bindung auf die Ports 80 oder 443 nach
außen suchen.
Blockiert zudem die Firewall ausgehende
Verbindungen, die nicht von Rechnern
mit bekannten Diensten (Proxy, DNS-
Server, Mailserver und so weiter) stam-
men, kann der Analyst auch einfach nach
verworfenen Paketen fahnden, die eine
Adresse außerhalb als Zielort verwenden.
In einer perfekten Welt sollte es kaum
solche Pakete geben.
Clients, die doch welche senden, sind
in diesem Fall entweder (abhängig von
Ziel und Port) falsch konfiguriert oder
müssten eben vom Admin näher in Au-
genschein genommen werden.
Wireshark: Freund der
Forensiker
Wireshark [2] ist das Standardtool der
Industrie, wenn es darum geht, aus mit-
geschnittenen Paketen auf das Netzwerk-
geschehen zu schließen. Im Gegensatz
zu Tcpdump erlaubt die große Anzahl an
Protokollmodulen für Anwendungsproto-
kolle wie HTTP oder SMTP eine viel tiefer
gehende Analyse.
Zugleich unterstützt Wireshark den
Admin massiv darin, die Nadel im Heu-
haufen zu finden. Die Software macht
es möglich, Filter auf jedes Protokoll-
feld zu setzen. Abbildung 1 zeigt einen
Wireshark-Displayfilter für alle HTTP-Pa-
kete, die die »POST«-Methode verwenden
und an den Zielhost »192.168.1.1« gehen.Über Bande
Grundsätzlich raten Security-Experten
davon ab, Wireshark mit Rootrechten zu
betreiben. In den Paketanalyse-Modulen
der Software stecken immer wieder Feh-
ler. Die könnten Angreifer dazu nutzen,
bösartige Pakete in den untersuchten
Verkehr zu schmuggeln, die dann nicht
nur bei Wireshark zu unerwünschtem
Verhalten führen.
Empfohlen wird vielmehr, erst mit Tcp-
dump eine ».pcap«-Datei zu erzeugen
und diese dann über eine unprivilegierte
Benutzerkennung oder über eine Named
Pipe auszuwerten. Dazu legt der Nut-
zer zuerst eine Pipe mit dem Kommando
»mkfifo /tmp/wirepipe« an. Dann ruft
er Wireshark über das Kommando »wi-
reshark -k -i /tmp/wirepipe« auf. Nun
lassen sich in diese Pipe Pakete unter
Root-Kennung einfüttern. Das lässt sich
wahlweise mit dem Befehl »tcpdump -w
/tmp/wirepipe« erledigen, dem der Nut-
zer auf Wunsch noch einen Filter für
Pakettypen mit auf den Weg gibt.
Alternativ verwendet er das Kommando
»dumpcap -w /tmp/wirepipe«. Auch
Dumpcap [5] versteht einige Optionen,
um etwa das Interface, von dem die Pa-
kete kommen sollen, auszulesen. Die Op-
tion »-f« erlaubt es dabei, einen Filter in
»tcpdump«-Syntax anzugeben.
Neben den Protokollanalysatoren bietet
Wireshark auch Statistikfunktionen, diebei der Analyse helfen. Für die Suche
nach den infizierten Systemen dient hier
der Menü-Eintrag »Conversations« als
ein erster Anlaufpunkt. Darüber findet
der Admin gegebenenfalls Endpunkte
außerhalb seines Netzes, die verdächtig
sind. Ist die IP-Adresse eines Kontroll-
servers im Idealfall bekannt, finden sich
so schnell sämtliche Systeme, die mit
diesem kommunizieren.Konsolenhai
Das grafische Frontend von Wireshark
eignet sich sehr gut zur Offline-Analyse.
Sind viele Daten im Spiel, wird das aber
mitunter sehr speicherintensiv. Hier kann
der Kommandozeilen-Bruder T-Shark [6]
in die Bresche springen, er unterstützt
dieselben Protokoll-Analysatoren wie
Wireshark. Wie Tcpdump kann auch T-
Shark eine Ausgabe aller HTTP-Pakete
auf der Konsole liefern, deren Request-
Methode »SEARCH« ist. Abbildung 2
setzt T-Shark auf ein Capture-File mit
dem genannten Filter an.
Ist die Suche zu Beginn der Analyse noch
etwas unscharf, nutzt der Admin danach
den vollen Umfang üblicher Linux-Tools
wie Grep, Awk, Perl oder Python.
Es gibt mehrere Möglichkeiten fürs Fil-
tern. Die allgemeinste Option lautet »-Y«.
Über die Option »-e« zeigt T-Shark hinge-
gen nur ausgewählte Felder an. Dadurch
enthält die Ausgabe nur die relevanten
Informationen zur Suche (zum Beispiel
die Quell- und Ziel-IP-Adresse) und ver-
größert den ohnehin schon großen Heu-
haufen nicht noch unnötig.Abbildung 1: Wireshark mit Displayfilter für HTTP-Pakete, die auf die »POST«-Methode setzen.Abbildung 2: Mit einem Displayfilter macht sich T-Shark über ein Capture-File (»camera2.pcap«) her.41http://www.linux-magazin.deTitelthemaNetzwerkanalyse