Aufmacher

Wireshark

Aufgedeckt

Die meisten Aktivitäten des Rechners im Netzwerk bleiben dem Anwender verborgen. Wireshark deckt sie auf.

Der ans Netzwerk angeschlossene Rechner ist ein geschwätziger Geselle: Kontinuierlich beantwortet er Statusabfragen oder stellt selbst Anfragen an andere Rechner. Diese Aktivitäten bleiben dem Anwender in aller Regel verbogen. Selbst der Besuch einer Webseite führt unter Umständen zum Transfer von Daten, von denen der Anwender nichts weiß: Site-Tracker oder Webbugs bis hin zu bösartigem, in Webseiten eingebetteten Schadcode, der im Hintergrund abläuft. Auch Spywareprogramme wie Keylogger, Rootkits und Trojaner nutzen die Möglichkeiten der verborgenen Kommunikation. Abgesehen von rudimentären Analyseprogrammen wie Netstat hat der Anwender kaum Werkzeuge zur Hand, um nachzuvollziehen, welche Daten über seinen Rechner laufen.

Abhilfe schaffen hier so genannte Sniffer. Sie ermöglichen nicht nur die detaillierte Analyse des eigenen Netzwerkverkehrs, sondern auch den der anderen ans Netzwerk angeschlossenen Rechner, sofern sich diese in derselben Kollisionsdomäne (siehe Kasten "Abgehört") befinden. Beinahe jede Distribution bringt den bekannten kommandozeilenbasierten Sniffer Tcpdump mit, den aufgrund seiner komplizierten Bedienung aber nur wenige Anwender wirklich nutzen.

Abgehört

In älteren Netzwerken dient oft noch der Hub zum Anschluss der Rechner ans Netzwerk. Dieser arbeitet ähnlich wie eine Mehrfachsteckdose. Der Datenstrom eines Rechners erreicht automatisch auch die anderen angeschlossenen Hosts (Abbildung 1), die sich alle innerhalb der selben so genannten Kollisionsdomäne befinden. Neben dem eklatanten Sicherheitsrisiko gilt als zweites Manko der geringe Datendurchsatz durch die Kollision von Paketen, die der Absender dann erneut versenden muss. Befindet sich eine der Netzwerkkarten im Promiscuous Mode, empfängt der Rechner alle Informationen, beispielsweise Login-Daten für FTP, SMTP oder Telnet. Spezielle Sniffer wie Phoss [1] verfeinern diese Technik und liefern nach dem Start ausschließlich die über das Netzwerk versendeten Login-Daten.

Abbildung 1: Rechner in derselben Kollisionsdomäne versenden ihre Daten stets an alle daran angeschlossenen Rechner. Mit Netzwerksniffern wie Wireshark ist es dann ein leichtes, Passwörter unverschlüsselter Verbindungen auszulesen.

Abhilfe schaffen die heute gängigen Switches. Sie leiten den Datenstrom direkt vom Absender zum Empfänger. Über Methoden wie ARP-Poisoning kann ein Angreifer sich dennoch auch in geswitchten Netzen in den Datenstrom einschalten. Per MAC-Flooding lassen sich zudem Switches relativ leicht in den Repeat-Modus versetzen, der die Daten quasi wie ein Hub über das ganze Netz verteilt. Entsprechende Manipulationen fallen dem aufmerksamen Admin, beispielsweise mit Hilfe von Arpwatch [2], allerdings auf. Den besten Schutz gegen das Abhören sensibler Daten bietet jedoch nach wie vor das Verwenden verschlüsselter Dienste – etwa via SSH, HTTPS, SFTP, IMAPS und dergleichen.

Einen benutzerfreundlicheren Weg geht das Programm Wireshark [3], besser bekannt unter seinem früheren Namen Ethereal. Da die Namensrechte für "Ethereal" [4] beim ehemaligen Arbeitgeber des Maintainers verblieben, führt dieser das Projekt als Fork unter anderem Namen fort. Wireshark gilt einer der leistungsfähigsten freien Sniffer. Es entpuppt sich bei beim Beheben von Netzwerkproblemen nicht selten als unentbehrliches Hilfsmittel zur Fehlersuche.

Da Sniffer den internen Aufbau des Übertragungsprotokolls offen legen, gehören grundlegende Kenntnisse über TCP/IP zum Pflichtprogramm des Wireshark-Benutzers, um die gewonnenen Daten sinnvoll interpretieren zu können. Eine gute Einführung in die TCP/IP-Protokollfamilie bietet Heiko Holtkamp auf seinen Webseiten bei der Uni Bielefeld [5].

Installation

Auf der Downloadseite des Projekts steht für Linux lediglich der Quellcode von Wireshark zum Download bereit, nur wenige Distributionen bringen bereits ein fertiges Wirkeshark-Paket mit. Wer auf das manuelle Übersetzen des Programms verzichten möchte, installiert stattdessen das in den meisten Distributionen enthaltene Ethereal, das weitgehend die selben Funktionen bietet wie Wireshark.

Zum Kompilieren von Wireshark aus den Sourcen genügt der Dreisatz configure && make && make install, den Sie mit administrativen Rechten ausführen müssen. Der Übersetzungsvorgang dauert abhängig von der Leistung Ihres Rechners etwa 20 Minuten. Benutzer von Suse Linux müssen anschließend noch den Inhalt des Verzeichnisses /usr/local/lib/libwireshark nach /lib kopieren. Vor dem ersten Start gilt es dann noch das Paket libnet (Suse) oder libnet1 nachzuinstallieren, das zum Paketumfang aller größeren Distributionen zählt.

First Steps

Nach der Installation starten Sie das Programm über den Aufruf sudo wireshark mit administrativen Rechten in der Konsole. Als erstes gilt es, die Netzwerkkarte auszuwählen, deren Datenverkehr das Programm aufzeichnen soll. Klicken Sie dazu auf das erste Icon in der Schalterleiste (List the available capture interfaces...). Im neuen Fenster beginnen Sie die Aufzeichnung mit einem Mausklick auf das Icon Start. Über Options erreichen Sie ein erweitertes Konfigurationsfenster, in dem Sie unter anderem Filter setzen, die Paketgröße der Aufzeichnung beschränken oder einen definierten Endpunkt des Dumps festlegen (etwa Stop Capture after x Packets/Minutes). Ist die Checkbox Capture Packets in promiscuous Mode aktiviert, zeichnet Wireshark nicht nur den Netzwerkverkehr vom und zum eigenen Rechner auf, sondern – je nach Netzwerkanbindung des Rechners – unter Umständen auch fremde Datenverbindungen.

Wireshark verfügt über einen Live-Capture-Modus, der schon während der Aufzeichnung den Netzwerkverkehr anzeigt. Während das Hauptfenster (Abbildung 2) alle ein- und ausgehenden Pakete auflistet, finden Sie im Fenster darunter die Analyse der Paketheader. Das unterste Fenster zeigt den Inhalt des gewählten Paketes. Um die Aufzeichnung zu stoppen, klicken Sie in der Schalterleiste des Hauptfensters auf das Netzwerkkarten-Symbol mit dem roten Kreuz. Möchten Sie den Datenstrom speichern, wählen Sie danach das Diskettensymbol an. Über File | Open... stellen Sie später den gespeicherten Dump wieder her.

Abbildung 2: Wireshark zeigt bereits während der Aufzeichnung des Netzwerkverkehrs die Pakete im Analysefenster an.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Effektiver Räuber
    Treten im heimischen oder Firmennetz Probleme auf, schlägt die Stunde der Protokollanalysatoren. Wireshark spürt Engpässe im LAN schnell und zuverlässig auf.
  • Wireshark 1.0 erschienen
  • Wireshark 1.6 erhältlich

    Der freie Netzwerksniffer Wireshark ist in neuer stabiler Version 1.6 mit erweiterten Features erhältlich.
  • Durchblick
    Tshark gibt präzise Auskunft über die Datenströme im Netz. Mit den passenden Parametern gefüttert, findet er im Nu die Ursache von Schwierigkeiten bei der Übertragung.
  • Tag der offenen Tür
    Fast jede öffentliche Einrichtung und jedes Hotel bieten heute ein kostenpflichtiges WLAN an. Kreative Zeitgenossen finden jedoch meist schnell eine Möglichkeit, ein solches Netz unautorisiert zu nutzen.
Kommentare

Infos zur Publikation

LU 12/2016: Neue Desktops

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 1 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...
Linux auf externe SSD installieren
Roland Seidl, 28.10.2016 20:44, 1 Antworten
Bin mit einem Mac unterwegs. Mac Mini 2012 i7. Würde gerne Linux parallel betreiben. Aber auf e...