Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Netzwerk-Forensik: Angriffe im Netzwerkverkehr rekonstruieren

Netzwerk-Forensik ist die Analyse von Netzwerkdaten zur Aufklärung von Sicherheitsvorfällen. Dieser Artikel erklärt Capture-Strategien (TAP, SPAN, NetFlow), Analyse-Tools (Wireshark, Zeek, Suricata, NetworkMiner), typische Angriffssignaturen im Traffic, Beweissicherung nach ISO/IEC 27037 und die Grenzen der Netzwerk-Forensik bei verschlüsseltem Verkehr.

Inhaltsverzeichnis (5 Abschnitte)

Nach einem Sicherheitsvorfall stellt sich die entscheidende Frage: Was ist tatsächlich passiert? Netzwerk-Forensik liefert die Antworten - aus dem Netzwerkverkehr lassen sich Angriffspfade, exfiltrierte Daten, Command-and-Control-Kommunikation und der gesamte Timeline eines Angriffs rekonstruieren.

Capture-Strategien

SPAN Port / Port Mirroring: Ein Netzwerk-Switch kopiert den Traffic eines oder mehrerer Ports an einen dedizierten Analyse-Port. Das Analysesystem empfängt gespiegelten Traffic ohne Eingriff in den produktiven Netzwerkfluss. Der Vorteil ist die einfache Einrichtung ohne Hardware-Eingriff; bei sehr hohem Traffic kann jedoch die SPAN-Kapazität des Switch-Puffers überschritten werden, was zu Paket-Drops führt.

Network TAP (Test Access Point): Ein physisches Gerät, das in die Netzwerkleitung eingehängt wird. TAPs arbeiten passiv - ein TAP-Ausfall unterbricht das Netzwerk nicht, und sie kopieren 100% des Traffics ohne Paket-Drops. Dies ist der Forensik-Goldstandard für kritische Strecken. Bekannte Anbieter sind Garland Technology, IXIA (Keysight) und Datacom Systems.

NetFlow/IPFIX: Kein vollständiger Paket-Capture, sondern nur Metadaten (Flow = 5-Tupel: Src-IP, Dst-IP, Src-Port, Dst-Port, Protokoll, ergänzt um Bytes, Pakete und Zeitstempel). Ohne Payload-Daten ist keine Malware-Erkennung oder Datei-Rekonstruktion möglich, aber die Methode skaliert sehr gut auf Netzwerke mit 10G+ und benötigt nur geringen Speicher. Collector-Software: nfdump, ntopng, ElastiFlow.

SSL/TLS Inspection: Für verschlüsselten Traffic wird ein Man-in-the-Middle durch einen eigenen Proxy (z.B. Zscaler, Palo Alto) eingesetzt, der den Traffic entschlüsselt, inspiziert und re-verschlüsselt. Diese Methode ist aus Datenschutzgründen nur für Unternehmensgeräte zulässig und erfordert eine vorherige Aufklärung der Mitarbeitenden. Privater Datenverkehr (Banking, Gesundheit) muss ausgenommen werden.

Analyse-Tools

Wireshark und tshark

Wireshark ist der Standard für Paket-Analyse und bietet sowohl eine GUI als auch eine CLI-Variante (tshark).

# Capture auf Interface eth0:
tshark -i eth0 -w capture.pcap

# Nur bestimmte Pakete filtern:
tshark -i eth0 -f "host 10.0.1.100 and port 443" -w filtered.pcap

Wichtige Display-Filter für die forensische Analyse: tcp.port == 4444 (klassischer Metasploit-Port), http.request.method == "POST" (HTTP POST für Credential-Theft), dns.qry.name contains "evil" (DNS-Anfragen für verdächtige Domains) sowie ssl.handshake.type == 1 (neue TLS-Verbindungen).

Über Statistics → Conversations lassen sich die Top-Verbindungspaare identifizieren (relevant für Exfiltration), über Statistics → IO Graph ist das Traffic-Volumen über Zeit visualisierbar.

Zeek (ehemals Bro)

Zeek generiert strukturierte Logs aus Netzwerkdaten und ist Industriestandard für SIEM-Integration. Die wichtigsten Log-Typen sind conn.log (jede TCP/UDP-Verbindung), dns.log (alle DNS-Anfragen), http.log (HTTP-Requests mit User-Agent und Referer), ssl.log (TLS-Handshakes), files.log (übertragene Dateien mit Hash) sowie weird.log (Anomalien und Protokollverletzungen).

# Verbindungen mit hohem Datentransfer (Exfiltrationsverdacht):
cat conn.log | zeek-cut id.orig_h id.resp_h resp_bytes | awk '$3 > 10000000' | sort -k3 -rn

# Selfsigned-Zertifikate (Subject == Issuer):
cat ssl.log | zeek-cut id.orig_h id.resp_h cert.subject cert.issuer | awk '$3 == $4'

Suricata

Suricata bietet regelbasierte Erkennung im Traffic und kann als IDS oder inline als IPS betrieben werden. Das Eve-JSON-Log-Format eignet sich für SIEM-Integration.

alert tcp any any -> $HOME_NET any (
  msg:"Meterpreter Staging Detected";
  content:"|fc e8 82 00 00 00|";
  classtype:trojan-activity;
  sid:9001001; rev:1;
)

Typische Angriffssignaturen im Traffic

Command-and-Control-Kommunikation: DNS-Beaconing zeigt sich als regelmäßige DNS-Anfragen mit hoher Frequenz an dieselbe Domain, oft mit algorithmisch generierten Namen (DGA). Bei DNS-Tunneling sind die Subdomain-Namen überlang (>50 Zeichen) und weisen hohe Entropie auf. HTTP/HTTPS-Beaconing ist an einem auffälligen regelmäßigen Timing erkennbar - genau 5.000ms ± wenig Jitter ist ein starkes Malware-Indikator.

Lateral Movement: Ein SMB-Scan zeigt sich als SYN-Pakete von einer Source-IP zu vielen Destination-IPs im gleichen Subnetz in kurzer Zeit. Im Zeek-conn.log haben diese Verbindungen den State "S0" (SYN ohne SYN-ACK). Pass-the-Hash manifestiert sich als SMB-Traffic zwischen Workstations auf Port 445 mit NTLM-Authentifizierung (statt Kerberos).

Daten-Exfiltration: Große HTTP-POST-Uploads zu unbekannten externen IPs, DNS-Anfragen mit Base64-codierten Daten in den Subdomains sowie ICMP-Pakete mit ungewöhnlich großer Payload sind typische Muster. Auch IRC über ungewöhnliche Ports wird noch als Legacy-C2 beobachtet.

Beweissicherung nach ISO/IEC 27037

ISO/IEC 27037 definiert Richtlinien für Identifizierung, Sammlung, Akquisition und Erhalt digitaler Beweise. Die drei Grundprinzipien sind Relevanz (nur forensisch relevante Daten erheben), Zuverlässigkeit (reproduzierbarer und dokumentierter Prozess) und Ausreichendheit (genug Beweise für eine Beweisführung).

Chain of Custody (Beweiskette): Zu dokumentieren sind: wer hat den Capture gestartet (Name, Funktion), wann (UTC-Timestamp), wo (Netzwerkpunkt, Gerät, Konfiguration), welche Tools (mit Versionsangaben), der SHA-256-Hash der Capture-Datei unmittelbar nach Erstellung sowie alle Weitergaben an andere Personen.

sha256sum capture.pcap > capture.pcap.sha256

Die Datei ist anschließend auf einem schreibgeschützten Medium zu sichern; bei gerichtlicher Relevanz ist eine digitale Signatur empfohlen.

Was nicht getan werden darf: PCAP-Dateien niemals auf dem betroffenen System speichern (Kontamination), Traffic nicht bereinigen oder schneiden (Integritätsverlust), und ohne Autorisierung keine fremden Systeme analysieren.

DSGVO-Aspekte: Netzwerkdaten enthalten oft personenbezogene Daten. Capture-Daten dürfen nur für den definierten Zweck (Incident Response) verwendet werden. Eine Aufbewahrungsfrist von maximal 3-6 Monaten nach dem Vorfall ist zu definieren; die Mitarbeitervertretung ist zu informieren, wenn Arbeitsplatz-Traffic analysiert wird.

Forensik-Toolkit im Überblick

Capture: Wireshark + tshark (Standard, GUI + CLI), tcpdump (CLI, ressourcenschonend), NetworkMiner (Windows-basiert, Dateirekonstruktion).

Analyse: Zeek (Protokoll-Analyse, Logfiles), Suricata (regelbasierte Erkennung), Arkime (früher Moloch, Full-Packet-Capture-Plattform mit Web-GUI), Elastic Security + Packetbeat (SIEM-Integration).

NetFlow-Analyse: ntopng (Echtzeit-Traffic-Analyse), nfdump + nfcapd (Kommandozeilen-Analyse), ElastiFlow (Elasticsearch-basiert).

Spezialtools: NetworkMiner (automatische Rekonstruktion von Dateien aus PCAP), xplico (Netzwerkforensik-Framework mit Web-GUI), CapLoader (Visualisierung und Filterung großer PCAPs).

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de