Forum: Offtopic hilfe bei wireshark auswertung


hilfe bei wireshark auswertung
von Chandler B. (chandler)

Angehängte Dateien:
Lesenswert? 

Hallo,
ich habe ein paar verständnisfragen zur Verschlüsselung von Webseiten 
und Apps auf dem Handy.

Wenn ich mich zum beispiel auf Mikrocontroller.net anmelde und mit 
Wireshark den traffic verfolge, sehe ich im Trace ... (siehe Anhang)

in meinem PC steht bei DNS
2003:e7:ff30:7a00:52e6:36ff:fe63:a2b7 (IPv6-DNS-Server)
192.168.178.1 (IPv4-DNS-Server)
Sprich hier fragt mein PC nach der Adresse von mikrocontroller.net an.
Das ist dann meine Fritzbox, die dann nach außen weiterfragt und die 
Antwort dann irgendwann wieder zurückgibt. (Schritt 148, 149, 150, 151)



In Schgritt 153 Schicke ich dann die Daten (mit TLSv1.3 verschlüsselt) 
an mikrocontroller.net. Bzw. an 2606:4700:20::ac43:462c, dies wurde mir 
aber in Schritt 150 zurückgegeben.

Wer verschlüsselt die Daten? macht das Firefox? Also der Browser, oder 
mein PC?
Wo liegt der Schlüssel? Ist der dann im Zertifikat von 
mikrocontroller.net hinterlegt? Hier gibt es zumindest den Punkt 
"Öffentlicher Schlüssel - Informationen"
Algorithmis: Elliptic Curve
Schlüssellänge 256
Öffentlicher Verifikationsschlüssel (Public Value): xx:xx:xx:xx:...
Was genau wird verschlüsselt? Also angenommen ich klicke auf einem Forum 
(Offtopic), dann wird dafür ja ein request (GET) rausgeschickt
Wird dieser dann verschlüsselt? Dann noch weitere Informationen in den 
Daten, (source adresse, destination adresse usw) und das sehe ich dann 
in Wireshark in den daten?

Wollte versuchen so rauszufinden, wo man welche Daten findet und wie so 
ein austausch mit den Daten dann aussieht.

Beitrag melden Bearbeiten Thread verschieben Thread sperren Anmeldepflicht aktivieren Anpinnen Thread löschen Thread mit anderem zusammenführen Markierten Text zitieren Antwort Antwort mit Zitat
Re: hilfe bei wireshark auswertung
von Tilo R. (joey5337) Benutzerseite

Lesenswert? 

Der ganze https-Verkehr wird verschlüsselt, das sind dann z.B. deine 
GET-Anfragen und -Antworten.
Die dazu verwendeten Schlüssel werden am Beginn der Verbindung zwischen 
deinem Browser und dem Mikrokontroller-Webserver ausgehandelt.


Wenn du diesen Web-Traffic im Klartext anschauen willst gibt es 2 
Möglichkeiten
a) im Browser, in den "Entwicklungswerkzeugen", da siehst du jeden 
Request und jede Antwort, ebenso wie lange die gedauert haben.
b) Du kannst einen Man-in-the-middle-Proxy benutzen, z.B. die Burp 
Suite.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: hilfe bei wireshark auswertung
von Irgend W. (Firma: egal) (irgendwer)

Lesenswert? 

Chandler B. schrieb:
> mit TLSv1.3 verschlüsselt

Chandler B. schrieb:
> Wollte versuchen so rauszufinden, wo man welche Daten findet und wie so
> ein austausch mit den Daten dann aussieht.

Viel einfacher ist es das einfach nachzulesen:-)
- https://datatracker.ietf.org/doc/html/rfc8446
- https://en.wikipedia.org/wiki/Transport_Layer_Security

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: hilfe bei wireshark auswertung
von Hannes J. (Firma: _⌨_) (pnuebergang)

Lesenswert? 

Chandler B. schrieb:
> Wer verschlüsselt die Daten? macht das Firefox? Also der Browser, oder
> mein PC?

Browser, mit Hilfe von meist vom Betriebssystem bereit gestellten 
Bibliotheken und Hilfsfunktionen.

> Wo liegt der Schlüssel? Ist der dann im Zertifikat von
> mikrocontroller.net hinterlegt?

Der Publik Key im Zertifikat dient zur Authentifizierung des Servers. 
Das Zertifikat ist nichts anderes als ein digital signiertes Dokument 
mit dem Key und Metainformationen, wie Gültigkeit, und wird (wenn der 
Browser keinen Mist macht) wie ein digital signiertes Dokument auf eine 
gültige digitale Unterschrift getestet.

Wenn TLS mit Zertifikat-Authentifizierung verwendet wird, dann werden 
damit im Handshake Session-Keys ausgehandelt mit der die eigentlichen 
Daten verschlüsselt werden. TLS hat auch einen Pre-Shared-Key-Modus, 
aber der dürfte bei Browsern nicht verwendet werden (mag sein dass 
irgend jemand auf der Welt das irgendwo macht, ich habe es noch nie 
gesehen)

> Was genau wird verschlüsselt? Also angenommen ich klicke auf einem Forum
> (Offtopic), dann wird dafür ja ein request (GET) rausgeschickt
> Wird dieser dann verschlüsselt?

Schon der GET-Request ist verschlüsselt, weil TLS im Protokoll-Stack 
unter HTTP liegt (Transport Layer, Layer 4). Kannst du auch mit 
Wiresahrk sehen, du solltest keinen GET-Request im Klartext sehen wenn 
TLS benutzt wird (im Browser als https bezeichnet).

> Dann noch weitere Informationen in den
> Daten, (source adresse, destination adresse usw) und das sehe ich dann
> in Wireshark in den daten?

Ja, und bedeutet übrigens, dass zwar der Inhalt der Verbindung 
verschlüsselt ist, aber die Existenz der Verbindung selber von "jedem" 
der irgendwie Zugriff auf die verwendeten Infrastruktur hat, gesehen 
werden kann. Das sind diese Metadaten auf die manche ziemlich scharf 
sind.

> Wollte versuchen so rauszufinden, wo man welche Daten findet und wie so
> ein austausch mit den Daten dann aussieht.

The Transport Layer Security (TLS) Protocol Version 1.3
https://datatracker.ietf.org/doc/html/rfc8446

: Bearbeitet durch User
Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Thread beobachten | Seitenaufteilung abschalten
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.