Aufgedeckt
Wireshark
Geschickt gekontert
Wireshark generiert auf Wunsch aus den Informationen der eingehenden Pakete direkt die passenden Firewall-Regeln. Klicken Sie dazu im Menü Analyze des Hauptfensters auf Firewall ACL Rules. Im neuen Fenster (Abbildung 5) wählen Sie zunächst den verwendeten Paketfilter, in der Regel Netfilter (Iptables).
Abbildung 5: Wireshark bringt ein einfaches aber effektives Werkzeug mit, um aus eingehenden Paketen die passenden Firewall-Regeln zu generieren.
Das Programm zeigt danach direkt eine fertig generierte Regel an, die Sie über das Pulldownmenü Filter näher spezifizieren. Die Checkboxen Inbound und Deny geben vor, für welche Richtung die Regel gelten soll und ob die betreffende Verbindung erlaubt oder abgelehnt wird. Da das Programm keine Mehrfachauswahl von Paketen erlaubt, erweist sich das Erstellen mehrerer Regeln allerdings als relativ umständlich.
Fazit
Wireshark verfügt über vielfältige Mechanismen, um den Netzwerkverkehr aufzuzeichnen und zu analysieren. Während diverse Filtermechanismen die Anzeige der Pakete auf das Wesentliche einschränken, geben umfangreiche Statistiktools Aufschluss über die Gesamtheit des Datenverkehrs.
Um die gewonnenen Daten sinnvoll nutzen und richtig interpretieren zu können, kommen Sie jedoch nicht umhin, sich eingehend mit den Netzwerkprotokollen zu beschäftigen, die es zu analysieren gilt. Einen guten Einstieg finden Sie auf den Webseiten des Wireshark-Projekts [3]; geht es ans Eingemachte, hilft die ausführliche Programmdokumentation [6] weiter.
Glossar
Site-Tracker
Werkzeug zur Analyse des Benutzerverhaltens auf einer Website.
Webbugs
Kleinstgrafiken (in der Regel ein einzelnes Pixel) auf Webseiten oder in HTML-E-Mails, die eine Aufzeichnung und Analyse via Logfile ermöglichen.
Keylogger
Software, welche die Eingaben des Benutzers protokolliert und so das Ausspähen von Passwörtern und anderen wichtigen Daten ermöglicht.
Rootkits Bei Rootkits handelt es sich in der Regel um eine Sammlung von Programmen. Während eines davon die eigentliche Backdoor stellt, ersetzen die anderen Systemprogramme wie Ps, Top oder Netstat, um die Existenz der Hintertür zu verschleiern.
Sniffer
Eingebürgerte generische Bezeichnung für Netzwerkprotokollanalysatoren, nach einem sehr bekannten Produkt des Herstellers Network General.
Promiscuous Mode
Normalerweise verarbeitet eine Netzwerkschnittstelle nur diejenigen Datenpakete, die an sie selbst gerichtet sind. Im Promiscuous Mode dagegen gibt das Interface den gesamten ankommenden Datenverkehr zur Verarbeitung an das Betriebssystem weiter.
ARP
Address Resolution Protocol (RFC 826). Netzwerkprotokoll für die Zuordnung von Netzwerk- und Hardware-Adressen.
MAC-Flooding
Angriff auf die MAC-Adresse, die eindeutige Hardware-Adresse eines Netzwerkinterfaces. Besteht aus sechs Bytes, die sich aus einer Herstellerkennung sowie einer individuellen Nummer zusammensetzen.
[1] Phoss: http://www.phenoelit.de/phoss/docu.html
[2] Arpwatch: ftp://ftp.ee.lbl.gov/
[3] Wireshark: http://www.wireshark.org
[4] Ethereal: http://www.ethereal.com
[5] Einführung in TCP/IP: http://www.rvs.uni-bielefeld.de/~heiko/tcpip/tcpip_html_alt/frame_tcpip.html
[6] Wireshark-Dokumentation: http://www.wireshark.org/docs/wsug_html_chunked/, kurz http://tinyurl.com/2ucdj8
Einem Freund empfehlen
