Wireshark Login Demo

[keksautomat]

Moin,

ich bin gerade dabei mich ein wenig in Wireshark einzuarbeiten und die einfachste Aufgabe die ich mir gerade irgendwie stellen kann, ist sich eine einfache Loginseite anzusehen:

gegeben:
eine Demo Login-Seite; funktioniert mit und ohne SSL.

gewollt:
mit SSL sollte ich ja eigentlich nicht die Daten sehen, die in den Paketen stehen.
Und ohne SSL sollte ich sie sehen.

Wie aber zeige ich sowas auf in Wireshark?
Ist es egal, dass das SSL Zertifikat dann lediglich selbst-zertifiziert ist?
Eine Demo Seite habe ich noch nicht aufgebaut, ich denke ich würde das dann einfach in einer VM machen (mit irgendeiner Linux Distro, wohl Ubuntu).

Für Tips, Kommentare etc. bin ich sehr dankbar.

 

[accC]

Nein, wie du die Zertifikate erstellt hast und ob/ von wem sie signiert sind, spielt für dein Logging keine Rolle.
Es ist nur möglich, dass dein Client dann die Zertifikate nicht mehr (einfach so) annimmt.

Bspw. könnte das Netzwerk so aussehen:



Du hast einen Client-PC, der mit einem Switch verbunden ist, an den wiederum ein Server angeschlossen ist.
Jetzt musst du nur noch die richtigen Netzwerk Interfaces bestimmen.
In der Beispielgrafik ist PC[eth0] mit Switch[eth0] und Switch[eth1] mit Server[eth0] verbunden.

Wenn du nun eine Website anforderst wird ein Paket von PC -> Switch -> Server "laufen".
Anschließend wird von Server -> Switch -> PC ein Paket zurück "laufen".
Dich interessieren mutmaßlich die Logindaten, die der Client an den Server senden wird.

Je nachdem, wo genau du loggst (Client, Switch, Server), musst du dann auf verschiedenen Interfaces lauschen:
Auf dem Client interessieren dich auf eth0 ausgehende Pakete, auf dem Switch entweder auf eth0 eingehende oder auf eth1 ausgehende und auf dem Server die auf eth0 eingehenden Pakete.

Jetzt kannst du deine Suche natürlich noch verfeinern, indem du etwa Filter benutzt.

 

[keksautomat]

Über Router und so weiter wollte ich nicht gehen. Es sollte ganz einfach intern erstmal gebaut werden, ohne Router/Switch und das Internet.
Erstmal leicht im Netzwerkverkehr angehen und die TCP Daten sehen "draussen" ja auch nicht viel anders aus, als sie es intern tun..?!

Aber danke dir schonmal.

 

[accC]

Wie gesagt, du kannst auch auf dem Client die ausgehenden Pakete capturen, dann solltest du allerdings sicherstellen, dass die Pakete auch über das Interface laufen. Also solltest du die Seite schon irgendwie "extern" hinlegen. Kannst du natürlich auch mit virtuellen Interfaces und einer VM nachbauen.

Also als Filter eignet sich für dein Problem bereits ein http.
Damit werden alle uninteressanten Pakete schon mal verworfen.

Wenn du nun dein Formular überträgst, sollte das etwa so aussehen:
(http://test.domain?username=ich&passwort=geheim)

No.	Time	Source	Destination	Protocol	Length	Info
....	....	...	...	HTTP	...	GET /?username=ich&passwort=geheim HTTP/1.1

Bei POST kann das natürlich ein wenig anders aussehen.
Aber prinzipiell ändert sich da nicht wirklich viel..