Suchen

Definition Wireshark Netzwerküberwachung mit Wireshark

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Der Netzwerk-Sniffer Wireshark ist eine frei erhältliche Software, mit der sich Datenverbindungen auf Protokollebene mitlesen und auswerten lassen. Das Netzwerkanalyse-Tool kann für die Fehlersuche und Fehleranalyse oder im Bereich der IT-Sicherheit eingesetzt werden.

Firmen zum Thema

Wireshark ist eine freie Analysesoftware für Datenpakete auf Protokollebene, die sich zur Netzwerküberwachung und Fehlersuche einsetzen lässt.
Wireshark ist eine freie Analysesoftware für Datenpakete auf Protokollebene, die sich zur Netzwerküberwachung und Fehlersuche einsetzen lässt.
(Bild: Pixabay / CC0 )

Wireshark entstand aus der Software Ethereal als freie und unter der GNU General Public License stehende, quelloffene Software. Ethereal existiert zwar noch immer, wird aber nicht mehr weiterentwickelt. Wireshark hingegen wird ständig verbessert und ist für verschiedene Betriebssysteme wie Windows, Linux, Solaris oder MacOS erhältlich. Die wesentlichen Funktionen von Wireshark sind das Mitschneiden von Datenverkehr auf verschiedenen Netzwerkschnittstellen und das Aufbereiten der Daten. Die Software ist in der Lage, eine Vielzahl verschiedener Protokolle automatisch zu erkennen und die wichtigsten Informationen des Protokollheaders übersichtlich, für Menschen lesbar darzustellen. Zudem kann Wireshark die Inhalte der transportierten Daten auswerten. Für das Mitlesen auf den unterschiedlichen Schnittstellen kommen spezielle Programmpakete wie pcap oder WinPcap zum Einsatz. Frei definierbare Filter innerhalb von Wireshark erlauben es, spezifische Pakete oder Verbindungen aus dem mitgeschnittenen Datenverkehr zu isolieren. Darüber hinaus erstellt die Software Statistiken zum Datenfluss, Verbindungsübersichten oder zeitliche Ablaufdiagramme von Kommunikationsverbindungen. Selbst das Extrahieren von binären Inhalten wie Bildern aus dem Datenstrom ist möglich.

Wireshark und der Datenschutz

In modernen geswitchten oder in verschlüsselten WLAN-basierten Netzen lassen sich mit Wireshark an der Netzwerkschnittstelle nur die gesendeten und empfangenen Pakete des jeweiligen Rechners sowie Broadcast-Pakete mitschneiden. In unverschlüsselten WLAN-Netzen und an einem Port eines Hubs hingegen, ist grundsätzlich sämtlicher Datenverkehr aller verbundener Rechner mit Wireshark analysierbar. Bevor Wireshark zur Netzanalyse verwendet wird, ist es wichtig zu prüfen, ob der Einsatz des Tools in der Netzumgebung erlaubt ist oder ob datenschutzrechtliche Regelungen zu berücksichtigen sind. Im privaten Umfeld des eigenen Netzwerks ist der Einsatz eher unkritisch, während in einem Firmennetz eine Erlaubnis einzuholen ist. Ein Abhören von Verbindungen sowie die Speicherung, Verwendung oder Weitergabe der mitgelesenen Daten können unter Umständen strafbar sein.

Externe Capture Files mit Wireshark analysieren

Wireshark kann unterschiedliche Formate verschiedener LAN-Analysatoren einlesen und interpretieren. Dadurch ist es möglich, mit einem externen Analyzer mitgeschnittenen Datenverkehr mit Wireshark zu analysieren. Einige Hardwarehersteller haben in Ihren Netzwerkgeräten wie Router oder Switche Funktionen implementiert, die per Wireshark auswertbare Netzwerktraces in Form von Dateien liefern. Beispielsweise ermöglicht es die in Deutschland weit verbreitete Fritzbox durch ein spezielles Feature, den Datenverkehr auf ihren Schnittstellen mitzuschneiden und eine per Wireshark analysierbare Datei zu erzeugen.

Schwachstellen der IT-Sicherheit mit Wireshark aufspüren

Einer der wichtigsten Einsatzbereiche von Wireshark ist die Überprüfung der IT-Sicherheit und das Aufspüren von Schwachstellen oder aktuellen Gefährdungen von Einzelkomponenten oder Netzwerken. Ein auf einem verdächtigen Rechner mitgeschnittener und per Wireshark analysierter Datenverkehr erlaubt es, alle Kommunikationspartner des Rechners genau zu bestimmen. Dadurch ist es relativ schnell möglich, herauszufinden, ob der Rechner Daten an eine unerwünschte IP-Adresse sendet oder von außen Datenpakete von einer verdächtigen oder unbekannten IP-Adresse erhält. Erfolgt der Mitschnitt des Datenverkehrs an einer zentralen Stelle wie an der WAN-Schnittstelle des Internetzugangsrouters, sind im Wireshark-Trace alle externen Kommunikationspartner des eigenen Netzwerks feststellbar. Auch alle aus dem Internet ankommenden Daten und Verbindungswünsche auf bestimmte IP-Adressen oder Ports sind eindeutig identifizierbar. Durch Wireshark wird sämtlicher Datenverkehr transparent und hinsichtlich der IT-Sicherheit auswertbar. In einem Wireshark Mitschnitt ist es quasi unmöglich, Datenverkehr zu verbergen

(ID:44621856)

Über den Autor