Security-Tools - Packet Sniffer Wireshark

Datenverkehr an fast jeder Netzwerk-Schnittstelle analysieren

03.03.2008 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Der Ethereal-Ableger Wireshark ist ein GPL-Tool fürs Packet-Sniffing.
Der Ethereal-Ableger Wireshark ist ein GPL-Tool fürs Packet-Sniffing.

Um welche Plattform es auch geht: Wireshark ist das Standardprogramm, wenn es um das Mitschneiden von Netzwerkverbindungen und die Analyse so gewonnener Daten geht. Das auf den Klassiker Ethereal basierende Tool kann den Netzwerk-Traffic verschiedenster Schnittstellen direkt an der Quelle mitschneiden. Wireshark ist derart mächtig, weil es eine Unmenge von Netzwerkprotokollen versteht. Damit können die „roh“ an der Quelle abgegriffenen Netzwerkdaten analysiert und verstanden werden.

Das Programm Wireshark war die allerlängste Zeit seiner Existenz als Ethereal bekannt. Seit ungefähr 1998 arbeitete der Programmierer Gerald Combs an dem Paket-Sniffer, der unter der GPL stand und steht. Sein Arbeitgeber hatte den Namen und das Logo von Ethereal gesetzlich geschützt, was zu diesem Zeitpunkt sinnvoll war, um möglichen Trittbrettfahrern zuvorzukommen.

Mitte 2006 wechselte Combs jedoch den Arbeitgeber, und seine alte Firma behielt die Ethereal-Rechte. So war Combs gezwungen, einen neuen Namen für seinen Paketsniffer zu wählen, der allerdings weiterhin auf dem gleichen Code basiert und weiterentwickelt wird. Deshalb existiert heute die aktuelle Version 0.99.7 von Wireshark.

Andererseits steht auf der Ethereal-Website nach wie die veraltete Version 0.99.0 als Download bereit. So schwer es alten Netzwerk-Veteranen fallen mag: Es ist wichtig, den neuen Namen Wireshark zu benutzen, da man sonst vielleicht eine veraltete Version herunterlädt.

Installation und Bedienung

Wireshark steht für Windows in drei verschiedenen Versionen zur Verfügung. Neben der Normalversion zur Installation gibt es zwei Varianten (als PortableApps- sowie U3-Stick-Version), die sich zur Mitnahme auf USB-Sticks eignen.

Die Installation ist relativ umfangreich, ansonsten aber unproblematisch. Nach dem Start des Programms erscheint eine leere Oberfläche. Um mit der Aufzeichnung zu beginnen, wählt man im Menü Capture den Eintrag Interfaces und klickt beim gewünschten Netzwerkadapter auf „Start“. Wireshark schneidet nun den gesamten Traffic mit, der über diese Schnittstelle läuft.

Dieser lässt sich live im Wireshark-Fenster beobachten, wo die einzelnen Pakete als farbige Zeilen angezeigt werden. Die einzelnen Farben stehen für unterschiedliche Protokolle, was das Auffinden bestimmter Pakete vereinfacht.

Trotz dessen bleibt die Anzeige unübersichtlich. Deswegen gibt es Filter, um den rohen Traffic auf die interessierenden Bestandteile einzuschränken. Dazu klickt man auf Analyze und wählt Display Filters. Hier kann man entweder auf die Schnelle einen vorgegebenen Filter nutzen oder aber selbst einen komplexen Filter konstruieren.

Klickt man eines der Pakete an, sieht man seinen Inhalt im Hexeditor. Dies kann etwa dazu benutzt werden, um Benutzern zu demonstrieren, dass nicht-verschlüsselnde Websites (oder E-Mail-Clients) das Passwort tatsächlich im Klartext übertragen. Bei gesicherten Verbindungen sind hingegen nur sinnlose Zeichenkombinationen zu sehen.

Fazit

Die Arbeit mit Wireshark hat viele Aspekte, denn es schneidet den Traffic nahezu jeder Schnittstelle mit. Dazu gehören vor allem Ethernet, aber auch IEEE-802.11-WLAN oder PPP sowie diverse andere.

Netzwerk-Administratoren benutzen das Tool, um Troubleshooting im LAN zu betreiben. Fließt unerklärlicher Traffic über einen Netzwerkadapter, dann lässt sich mithilfe von Wireshark der Ursprung feststellen. Auf der anderen Seite kann Wireshark auch von Angreifern missbraucht werden. Umso wichtiger ist es also, das Utility und seine Fähigkeiten zu kennen.

Über die Bedeutung von Wireshark braucht man eigentlich kaum ein Wort verlieren. Das mächtige GPL-Tool hat praktisch alle kommerziellen Konkurrenten verdrängt und stellt heute den Standard dar, was Paket-Sniffing und Protokoll-Analyse angeht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2011222 / Security-Testing)