SharkFest 2022: Logray und Schnitzeljagden in PCAP-Files

Auf dem SharkFest, das als Bühne rund um das Netzwerkanalyse-Tool Wireshark gilt, kündigten die Veranstalter eine Verdoppelung des Wireshark-Universums an.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 6 Min.
Von
  • Jasper Bongertz
Inhaltsverzeichnis

Für das SharkFest 2022 wählten die Veranstalter das erste Mal eine hybride Form. So traf sich im Juli etwa die Hälfte der Teilnehmer in Kansas City, Missouri, während die übrigen online hinzukamen. Anders als zuletzt sponserte nicht die Firma Riverbed die Konferenz, sondern Sysdig, was weit größere Auswirkungen hatte als der alleinige Wechsel der Geldquelle vermuten lässt.

Denn Sysdig ist mit Wireshark, dem Hauptwerkzeug der Netzwerkanalysten, eng verbunden: Der Firmengründer Loris Degioanni hat die Bibliothek WinPCAP entwickelt, mit deren Hilfe Ethereal als Vorfahre von Wireshark auf Windows Fuß gefasst hat. WinPCAP musste zwar längst der modernen Bibliothek npcap weichen, aber Degioanni blieb WireShark verbunden. Nachdem sie einige Jahre getrennt arbeiteten, engagieren sich nun Gerald Combs, der Erfinder von Ethereal/Wireshark, und Loris Degioanni wieder in einem gemeinsamen Projekt: Logray. Das Tool (frei übersetzt: Log-Rochen) sieht ziemlich genau so aus wie Wireshark, aber es analysiert keine Netzwerkpakete, sondern Logdaten.

Combs und Degioanni zeigten in ihrer gemeinsamen Keynote eine frühe Version, in der sie Logs von Amazon Cloudtrail analysierten und nach gehackten EC2-Instanzen suchten, die mit einem Bitcoin-Miner verseucht waren. Dabei konnten sie die gleiche Filter-Engine, Einfärbungen und Kontextmenüs verwenden wie von Wireshark gewohnt. Aktuell kann das Werkzeug PCAPNG-Dateien mit Logdaten lesen und Plug-ins einbinden. Auf der Roadmap stehen "Live Capture”, also die Live-Ansicht von eingehenden Logdaten und eine sinnvolle Verwendung des "dritten Panels”; bei Wireshark ist das die Hex-Ansicht. Als große Vision steht die Vereinigung von Netzwerkpaketen, Systemcalls und Logdaten in einem gemeinsamen Aufzeichnungsformat am Horizont, sodass Analysten eine kombinierte Gesamtsicht auf die für sie relevanten Ereignisse bekommen. Viele dürften bereits gespannt auf diese willkommene, ja überfällige Synthese warten.

Das Konferenzprogramm bestand aus Vorträgen für Anfänger, Fortgeschrittene und Experten sowie einem Security-Track mit Wireshark-Themen. Diese wurden zwar aufgezeichnet, aber anders als früher zunächst nur für Teilnehmer zugänglich gemacht. Im September oder Oktober soll dann auf YouTube die Freigabe für alle anderen folgen.

Auch dieses Jahr gab es eine "esPCAPe Challenge”, also eine Art Schnitzeljagd, bei der Teilnehmer Netzwerkdaten (PCAP-Dateien) nach Hinweisen zum Lösen von Rätseln durchforsten müssen. Zum Beispiel galt es, einen mitgeschnittenen VoIP-Telefonanruf zu rekonstruieren und abzuspielen, um ein Puzzlestück zu finden.

Angreifer können nie sicher sein, ob sie bei ihren Attacken in einen Honeypot geraten. Beim Vortrag des Netzwerkspezialisten Sake Blok konnte man live zusehen, wie er einen unbeholfenen Angreifer hinauskomplimentierte.

Überhaupt war der Name des Aufzeichnungsformats "PCAP” allgegenwärtig, denn neben entsprechenden T-Shirts sah man auch viele Baseball-Mützen mit der Aufschrift "PCAP or it didn't happen!” – also die humoristische Ansage "Zeig mir den Netzwerkmitschnitt, sonst glaube ich Dir nicht und es ist nie passiert”, was als inoffizielles Motto aller Netzwerkanalysten gelten dürfte.

Sake Blok, der zum Core-Development-Team von Wireshark gehört, nahm sich in seinem Vortrag über Log4Shell einer der bedeutsamsten Sicherheitslücken der letzten Zeit an. Über sie können Angreifer mit präparierten Eingaben das sehr verbreitete Java-basierte Logsystem Log4j dazu bringen, Schadcode von einer von ihnen kontrollierten URL nachzuladen. Sake führte den Angriff in einer geschlossenen Umgebung selbst aus und schnitt den Verkehr mit.

Solchen Analysen steht aber zunächst Wireshark entgegen, weil es den LDAP-Verkehr über den Port 389 nicht automatisch korrekt dekodiert. Ersatzweise stellt man LDAP über die Funktion "Dekodieren Als” aus dem Kontextmenü der Paketliste per Hand ein. Wer die Attacke selbst untersuchen möchte, findet den Mitschnitt zum Herunterladen auf der Plattform Cloudshark.

Sake ging noch einen Schritt weiter und setzte einen Honeypot auf, um zu testen, wie oft dieser angegriffen wird und sah manch amüsanten Einbruchsversuch. Man konnte live verfolgen, wie Angriffe wegen falsch konfigurierter Parameter scheiterten. Ein Versuch führte zu einer Unterhaltung mit einem Angreifer aus Brasilien, dem Blok freundlich erläuterte, dass dessen Versuche nicht zum Ziel führen würden.

Für besonderen Andrang sorgte wie jedes Jahr der Vortrag der "Packet Doctors”. Bei dieser Podiumsveranstaltung müssen mehrere erfahrene Analysten Netzwerkprobleme anhand von Teilnehmern eingereichten Netzwerkpaketen diagnostizieren. Anhand der Fehlerbeschreibung versuchen sie, die Ursache des Problems zu identifizieren. Aber eigentlich geht es darum, dem Publikum unterschiedliche Herangehensweisen zu zeigen. Denn anders als bei üblichen Troubleshooting-Vorträgen weiß hier kein Redner vorher, wie er ans Ziel kommt. Das macht den besonderen Reiz des Formats aus.

Dieses Jahr wurde unter anderem ein Problem in einer NAT-Implementierung analysiert, welches eine Verbindung schon beim TCP-Handshake scheitern ließ. Denn statt im SYN/ACK-Paket seine eigene öffentliche IP-Adresse zu schicken, meldete der Router die öffentliche Adresse des Rechners hinter seiner NAT. Eigentlich hätte man stattdessen eine private IP-Adresse des Rechners erwartet; dann wäre die Lösung leichter zu finden.

Aber die Router- und die Rechner-Adresse stammten aus zwei sehr ähnlichen Subnetzen, was sehr ungewöhnlich ist. Warum das so konfiguriert war, blieb offen; möglicherweise handelte es sich um ein unsauberes Applikationsdesign oder ein umgezogener Rechner sollte noch unter der vorherigen Adresse erreichbar bleiben. Jedenfalls konnte die Gegenseite die Adresse des Rechners keiner Verbindung zuordnen. Und obwohl die Ursache fast auf der Hand lag, schaffte es der erste Doc in seiner Analysezeit nicht, weil er anfangs andere Aspekte betrachtete.

Nun geht es mit großen Schritten auf Wireshark 4.0 zu (derzeit ist die Version 3.6.x aktuell), und die Community der Netzwerkanalysten freut sich auf die europäische Ausgabe des SharkFest Anfang November in Portugal. Auch diese soll hybrid ablaufen, um möglichst vielen Interessenten die Möglichkeit zur Teilnahme zu geben.

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(dz)