Die Analyse des Datenverkehrs in einem Netzwerk ist eine Wissenschaft für sich. Mit dem kostenlosen Programm Wireshark steht Ihnen ein mächtiger Sniffer zur Verfügung, den Sie auf Rechnern mit Windows, Mac oder Linux installieren können.
Der Einsatz von Wireshark will nicht nur in Bezug auf die Datenanalyse gelernt sein. Sie müssen genau wissen, wo und wie Sie Ihren Sniffer einsetzen. Jedes Netzwerk setzt dem Mitlesen der Frames seine Grenzen. Sie müssen diese kennen, um einen effizienten Lösungsweg zu finden.
- Download: Wireshark (32 Bit) kostenlos herunterladen
- Download: Wireshark (64 Bit) kostenlos herunterladen
- Download: Wireshark Portable kostenlos herunterladen
Was ist Wireshark und wie funktioniert es?
Wireshark ist ein kostenloser Sniffer, mit dem Sie den Datenverkehr innerhalb Ihres Netzwerks mitlesen und auswerten können. Der Etherreal-Nachfolger nutzt die Netzwerkschnittstelle des Rechners, auf dem er installiert ist. Für den Netzwerkadministrator werden die „Datenrahmen“ (englisch: Frames) in einer Liste angezeigt. Der Experte kann die Ausgaben filtern, um die für ihn interessanten Pakete anschließend zu markieren und genauer zu betrachten. Sniffer halten sich bei der Aufarbeitung der Daten an das fünfschichtige TCP/IP-Modell, das sich im Detail von seinem Vorgänger, dem OSI-7-Schichtenmodell, unterscheidet. In jeder der hier aufgeführten fünf Protokollschichten werden die für die jeweilige Ebene wichtigen Informationen (z. B. Quell- und Zieladresse) eingetragen:
1. Netzzugangsschicht: Sie enthält die Informationen über die Physik sowie die Netzwerkschnittstellen der einzelnen Teilnehmer (u. a. MAC-Adressen).
2. Internetschicht: Hier ist das IP-Protokoll beheimatet, zu dem die berühmten IP-Adressen gehören.
3. Transportschicht: Auf dieser Ebene werden die UDP und TCP-Portnummern der einzelnen Anwendungen und Dienste hinterlegt (z. B. 80 für http).
4. Anwendungsschicht: Die vierte Ebene umfasst alles, was sich oberhalb der Transportschicht befindet. Sie ist auch die Heimat der höheren Protokolle wie smtp oder ftp.
[sc name=“adsense_InText_ad“]
So wird Wireshark bedient
Die Bedienung ist ziemlich einfach. Ist Ihr Gerät angeschlossen, können Sie den Capture bereits starten. Dann werden die Analysedaten des gesamten Datenverkehrs in den Speicher Ihres Rechners kopiert. Nachdem Sie auf Stop gedrückt haben, können Sie Ihre Filtereinstellungen vornehmen. Wahlweise wäre es möglich, erst diese Einschränkungen einzustellen und dann die Aufnahme zu starten. Anschließend können Sie die von Ihrem Sniffer ausgewerteten Daten dediziert abspeichern und für spätere Zwecke oder für etwaige Vergleichsanalysen aufbewahren.
Seine Stärke zeigt dieser Sniffer, indem er zusätzliche Informationen zu den einzelnen Datenpaketen anzeigt, die nicht aus dem Traffic herausgelesen wurden. Beispielsweise werden bei normalen Zugriffen auf Office-Dateien Dateinamen und -pfade hinzugefügt.
Neben einer graphischen Benutzeroberfläche (GUI) bietet Wireshark mit der tshark-Kommandozeile den Service, das Einlesen und Filtern der Datenströme zu automatisieren. Obwohl der Funktionsumfang der GUI sehr groß ist, gibt es einige Anwendungsfälle, bei der die tshark-Kommandos die bessere Option sind.
Wireshark: Hier ist das Mitlesen unerwünscht
An einigen Stellen ist das Sniffen entweder sinnlos oder verboten. Wer sich nicht daran hält, riskiert den Verlust seines Arbeitsplatzes und rechtliche Konsequenzen. Insbesondere geht es um diese zwei Faktoren:
1. Installation auf einem Server: Wireshark ist ein sicheres Programm, aber es ist eine Freeware. Kostenlose Programme, die aus dem Internet heruntergeladen werden können, haben auf den meisten Servern nichts zu suchen. Sie würden damit gegen die Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verstoßen. Zudem kann ein solches Vorgehen eine Entlassung begründen.
2. In Deutschland ist das Mitlesen der Daten in kabellosen Funknetzwerken (WLAN) strafrechtlich verboten, wenn der Netzwerkbetreiber dies nicht vorher ausdrücklich erlaubt hatte.
Switches: Die physikalische Grenze für Wireshark und andere Sniffer
Die 1990er Jahre waren die Pionierzeit der Netzwerkanalysten. Die Vorgänger von Wireshark und Co. hatten deutlich mehr Möglichkeiten, weil die damaligen lokalen Netzwerke mit Hubs ausgestattet waren, an welche die einzelnen Rechner angeschlossen waren. Es genügte, seinen Sniffer ebenfalls an den Hub anzuschließen, da der gesamte Datenverkehr aller Teilnehmer für alle mitlesbar war. In der zweiten Hälfte dieses Jahrzehnts übernahmen die Switches nach und nach die Aufgabe, Clients und Server ans Netzwerk anzuschließen. Da diese Netzwerkkomponenten wie ein Verkehrspolizist auf der Mitte der Kreuzung fungieren und den einzelnen Ports bzw. Client-Anschlüssen dedizierte Datenkanäle zur Verfügung stellten, konnte kein Gerät den Datenverkehr eines anderen Teilnehmers mitlesen. Wireshark kann im Allgemeinen nur in diesen zwei Fällen genutzt werden:
– Auslesen des Traffics von dem Gerät, auf dem der Sniffer installiert ist
– Auslesen des Traffics auf einen gespiegelten Port
Wenn Sie mit Ihrem Sniffer eine Fernanalyse betreiben wollen, müssen Sie an einer zentralen Stelle in Ihrem Netzwerk ein Modul implementieren, das über bestimmte Protokolle das Auslesen eines Remote-Switchports ermöglicht. Sie können dann mit Ihrem Wireshark jeden beliebigen Port in Ihrem gesamten Netzwerk dediziert mitlesen, ohne vom Traffic anderer Endgeräte gestört zu werden.
- Download: Wireshark (32 Bit) kostenlos herunterladen
- Download: Wireshark (64 Bit) kostenlos herunterladen
- Download: Wireshark Portable kostenlos herunterladen
Artikelbild: Fotolia / ra2 studio
