Aufmacher

Aufgedeckt

Wireshark

01.07.2007
Die meisten Aktivitäten des Rechners im Netzwerk bleiben dem Anwender verborgen. Wireshark deckt sie auf.

Der ans Netzwerk angeschlossene Rechner ist ein geschwätziger Geselle: Kontinuierlich beantwortet er Statusabfragen oder stellt selbst Anfragen an andere Rechner. Diese Aktivitäten bleiben dem Anwender in aller Regel verbogen. Selbst der Besuch einer Webseite führt unter Umständen zum Transfer von Daten, von denen der Anwender nichts weiß: Site-Tracker oder Webbugs bis hin zu bösartigem, in Webseiten eingebetteten Schadcode, der im Hintergrund abläuft. Auch Spywareprogramme wie Keylogger, Rootkits und Trojaner nutzen die Möglichkeiten der verborgenen Kommunikation. Abgesehen von rudimentären Analyseprogrammen wie Netstat hat der Anwender kaum Werkzeuge zur Hand, um nachzuvollziehen, welche Daten über seinen Rechner laufen.

Abhilfe schaffen hier so genannte Sniffer. Sie ermöglichen nicht nur die detaillierte Analyse des eigenen Netzwerkverkehrs, sondern auch den der anderen ans Netzwerk angeschlossenen Rechner, sofern sich diese in derselben Kollisionsdomäne (siehe Kasten "Abgehört") befinden. Beinahe jede Distribution bringt den bekannten kommandozeilenbasierten Sniffer Tcpdump mit, den aufgrund seiner komplizierten Bedienung aber nur wenige Anwender wirklich nutzen.

Abgehört

In älteren Netzwerken dient oft noch der Hub zum Anschluss der Rechner ans Netzwerk. Dieser arbeitet ähnlich wie eine Mehrfachsteckdose. Der Datenstrom eines Rechners erreicht automatisch auch die anderen angeschlossenen Hosts (Abbildung 1), die sich alle innerhalb der selben so genannten Kollisionsdomäne befinden. Neben dem eklatanten Sicherheitsrisiko gilt als zweites Manko der geringe Datendurchsatz durch die Kollision von Paketen, die der Absender dann erneut versenden muss. Befindet sich eine der Netzwerkkarten im Promiscuous Mode, empfängt der Rechner alle Informationen, beispielsweise Login-Daten für FTP, SMTP oder Telnet. Spezielle Sniffer wie Phoss [1] verfeinern diese Technik und liefern nach dem Start ausschließlich die über das Netzwerk versendeten Login-Daten.

Abbildung 1: Rechner in derselben Kollisionsdomäne versenden ihre Daten stets an alle daran angeschlossenen Rechner. Mit Netzwerksniffern wie Wireshark ist es dann ein leichtes, Passwörter unverschlüsselter Verbindungen auszulesen.

Abhilfe schaffen die heute gängigen Switches. Sie leiten den Datenstrom direkt vom Absender zum Empfänger. Über Methoden wie ARP-Poisoning kann ein Angreifer sich dennoch auch in geswitchten Netzen in den Datenstrom einschalten. Per MAC-Flooding lassen sich zudem Switches relativ leicht in den Repeat-Modus versetzen, der die Daten quasi wie ein Hub über das ganze Netz verteilt. Entsprechende Manipulationen fallen dem aufmerksamen Admin, beispielsweise mit Hilfe von Arpwatch [2], allerdings auf. Den besten Schutz gegen das Abhören sensibler Daten bietet jedoch nach wie vor das Verwenden verschlüsselter Dienste – etwa via SSH, HTTPS, SFTP, IMAPS und dergleichen.

Einen benutzerfreundlicheren Weg geht das Programm Wireshark [3], besser bekannt unter seinem früheren Namen Ethereal. Da die Namensrechte für "Ethereal" [4] beim ehemaligen Arbeitgeber des Maintainers verblieben, führt dieser das Projekt als Fork unter anderem Namen fort. Wireshark gilt einer der leistungsfähigsten freien Sniffer. Es entpuppt sich bei beim Beheben von Netzwerkproblemen nicht selten als unentbehrliches Hilfsmittel zur Fehlersuche.

Da Sniffer den internen Aufbau des Übertragungsprotokolls offen legen, gehören grundlegende Kenntnisse über TCP/IP zum Pflichtprogramm des Wireshark-Benutzers, um die gewonnenen Daten sinnvoll interpretieren zu können. Eine gute Einführung in die TCP/IP-Protokollfamilie bietet Heiko Holtkamp auf seinen Webseiten bei der Uni Bielefeld [5].

Installation

Auf der Downloadseite des Projekts steht für Linux lediglich der Quellcode von Wireshark zum Download bereit, nur wenige Distributionen bringen bereits ein fertiges Wirkeshark-Paket mit. Wer auf das manuelle Übersetzen des Programms verzichten möchte, installiert stattdessen das in den meisten Distributionen enthaltene Ethereal, das weitgehend die selben Funktionen bietet wie Wireshark.

Zum Kompilieren von Wireshark aus den Sourcen genügt der Dreisatz configure && make && make install, den Sie mit administrativen Rechten ausführen müssen. Der Übersetzungsvorgang dauert abhängig von der Leistung Ihres Rechners etwa 20 Minuten. Benutzer von Suse Linux müssen anschließend noch den Inhalt des Verzeichnisses /usr/local/lib/libwireshark nach /lib kopieren. Vor dem ersten Start gilt es dann noch das Paket libnet (Suse) oder libnet1 nachzuinstallieren, das zum Paketumfang aller größeren Distributionen zählt.

First Steps

Nach der Installation starten Sie das Programm über den Aufruf sudo wireshark mit administrativen Rechten in der Konsole. Als erstes gilt es, die Netzwerkkarte auszuwählen, deren Datenverkehr das Programm aufzeichnen soll. Klicken Sie dazu auf das erste Icon in der Schalterleiste (List the available capture interfaces...). Im neuen Fenster beginnen Sie die Aufzeichnung mit einem Mausklick auf das Icon Start. Über Options erreichen Sie ein erweitertes Konfigurationsfenster, in dem Sie unter anderem Filter setzen, die Paketgröße der Aufzeichnung beschränken oder einen definierten Endpunkt des Dumps festlegen (etwa Stop Capture after x Packets/Minutes). Ist die Checkbox Capture Packets in promiscuous Mode aktiviert, zeichnet Wireshark nicht nur den Netzwerkverkehr vom und zum eigenen Rechner auf, sondern – je nach Netzwerkanbindung des Rechners – unter Umständen auch fremde Datenverbindungen.

Wireshark verfügt über einen Live-Capture-Modus, der schon während der Aufzeichnung den Netzwerkverkehr anzeigt. Während das Hauptfenster (Abbildung 2) alle ein- und ausgehenden Pakete auflistet, finden Sie im Fenster darunter die Analyse der Paketheader. Das unterste Fenster zeigt den Inhalt des gewählten Paketes. Um die Aufzeichnung zu stoppen, klicken Sie in der Schalterleiste des Hauptfensters auf das Netzwerkkarten-Symbol mit dem roten Kreuz. Möchten Sie den Datenstrom speichern, wählen Sie danach das Diskettensymbol an. Über File | Open... stellen Sie später den gespeicherten Dump wieder her.

Abbildung 2: Wireshark zeigt bereits während der Aufzeichnung des Netzwerkverkehrs die Pakete im Analysefenster an.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 12/2014: ANONYM & SICHER

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Nach Ubdates alles weg ...
Maria Hänel, 15.11.2014 17:23, 4 Antworten
Ich brauche dringen eure Hilfe . Ich habe am wochenende ein paar Ubdates durch mein Notebook von...
Brother Drucker MFC-7420
helmut berger, 11.11.2014 12:40, 1 Antworten
Hallo, ich habe einen Drucker, brother MFC-7420. Bin erst seit einigen Tagen ubuntu 14.04-Nutzer...
Treiber für Drucker brother MFC-7420
helmut berger, 10.11.2014 16:05, 2 Antworten
Hallo, ich habe einen Drucker, brother MFC-7420. Bin erst seit einigen Tagen ubuntu12.14-Nutzer u...
Can't find X includes.
Roland Welcker, 05.11.2014 14:39, 1 Antworten
Diese Meldung erhalte ich beim Versuch, kdar zu installieren. OpenSuse 12.3. Gruß an alle Linuxf...
DVDs über einen geeigneten DLNA-Server schauen
GoaSkin , 03.11.2014 17:19, 0 Antworten
Mein DVD-Player wird fast nie genutzt. Darum möchte ich ihn eigentlich gerne abbauen. Dennoch wür...