Zum Inhalt springen

Aufgabe 3 – HTTP-Traffic

Ziel

Du untersuchst den HTTP-Traffic auf verdächtige URLs, Payloads und Kommunikationsmuster.

Dauer: 20 Minuten

Vorbereitung

Setze in Wireshark den Filter:

http

Oder für nur Requests:

http.request

Aufgaben

3.1 URLs identifizieren

Frage: Welche URLs werden aufgerufen?

Filtere nach HTTP-Requests (http.request)
Schau in die “Info”-Spalte – dort siehst du GET/POST und den Pfad
Notiere alle URLs/Pfade

3.2 POST-Requests analysieren

Frage: Gibt es POST-Requests mit ungewöhnlichem Inhalt?

Filter für POST-Requests:

http.request.method == "POST"

Klicke auf ein POST-Paket
Im Detail-Bereich: Expandiere Hypertext Transfer Protocol
Schau dir den Body/Payload an

Achte auf:

Kodierte Daten (Base64 endet oft mit = oder ==)
Ungewöhnliche Parameter
Grosse Datenmengen

3.3 User-Agent analysieren

Frage: Welche User-Agents werden verwendet?

Klicke auf ein HTTP-Request-Paket
Expandiere Hypertext Transfer Protocol
Suche das Feld User-Agent

Normale User-Agents sehen so aus:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/120.0.0.0

Verdächtige User-Agents:

Sehr kurze oder unbekannte Namen
Keine Browser-Bezeichnung
Offensichtlich selbst erstellt

3.4 Beaconing-Muster

Frage: Gibt es periodische Kommunikationsmuster?

Prüfe:

Werden die gleichen URLs wiederholt aufgerufen?
In welchen Abständen?
Sieht das nach einem Timer aus?

3.5 HTTP-Stream anzeigen (optional)

Um den kompletten HTTP-Dialog zu sehen:

Rechtsklick auf ein HTTP-Paket
Follow → HTTP Stream
Du siehst Request und Response zusammen

Für deinen Bericht

Welche URLs werden aufgerufen?
Gibt es POST-Requests mit ungewöhnlichem Inhalt?
Welche User-Agents werden verwendet?
Gibt es periodische “Beaconing”-Muster?