PO-3879-Fotolia-Michele_Goglio-shark_graffiti.jpg

© fotolia, Michele Goglio

Probleme im Netz aufspüren mit Wireshark

Effektiver Räuber

Treten im heimischen oder Firmennetz Probleme auf, schlägt die Stunde der Protokollanalysatoren. Wireshark spürt Engpässe im LAN schnell und zuverlässig auf.

Rechner, die mit einem Netzwerk verbunden sind, senden und empfangen permanent Daten. Dabei spielt es keine Rolle, ob das gesamte Netz nur aus wenigen isolierten Computern besteht, oder fremde Maschinen aus dem weltumspannenden Internet mit dem heimischen PC kommunizieren. Nicht nur jede Aktivität des Anwenders generiert Daten, sondern auch die Netzwerkinfrastruktur selbst "spricht" im Verborgenen ohne Zutun der Nutzer miteinander: beispielsweise in Gestalt so genannter Broadcasts oder Beacons.

Neben erwünschten und harmlosen Daten mischen sich dabei in zunehmendem Umfang auch Spionage- und Schadprogramme unter die übertragenen Bits und Bytes, die nicht nur das Surfverhalten der Anwender ausspionieren, sondern auch mithilfe verdeckter Kommunikation die Fernsteuerung eines kompromittierten Rechners zulassen, ohne dass der arglose Nutzer im normalen Betrieb etwas davon bemerkt.

Das freie Betriebssystem Linux ist zwar aufgrund seiner durchdachten Architektur insbesondere gegen spezielle Schadsoftware wie Trojaner oder auch Würmer von Haus aus wesentlich besser gewappnet als andere Systeme, jedoch nicht völlig immun dagegen. Spätestens dann, wenn anomale Erscheinungen an einem Rechner oder in einem Netzwerk auftreten, ist es ratsam, die entsprechenden Datenströme zu protokollieren, um sie später nachvollziehen und analysieren zu können.

Diese Aufgabe übernehmen so genannte Netzwerk-Protokollanalysatoren, die man umgangssprachlich auch gern salopp als Sniffer bezeichnet. Der bekannteste und wohl auch umfassendste Sniffer unter Linux ist das Programm Wireshark (http://www.wireshark.org), das inzwischen aufgrund seiner Qualität zum Quasi-Standard bei der Beobachtung und Analyse des Netzwerkverkehrs avanciert ist.

Erste Schritte

Wireshark findet sich mittlerweile in den Repositories nahezu aller größeren Linux-Distributionen, sodass Sie ihn bequem mit den jeweiligen Paketmanagern installieren. Sollten Sie eine weniger verbreitete oder ältere Distribution nutzen und Wireshark hier nicht vorfinden, so können Sie den Analysator im Quellcode herunterladen und selbst übersetzen.

Die Installationsroutine legt unter allen gängigen Oberflächen entsprechende Menüeinträge an, sodass Sie Wireshark meist bequem via Mausklick starten. Es öffnet sich ein großes Fenster (Abbildung 1) mit einer Menüzeile am oberen Rand und darunter einer über die gesamte Breite des Fensters reichenden Symbolleiste, die den wichtigsten grundlegenden Einstellungen dient.

Unter der Symbolleiste findet sich eine Zeile mit einem Eingabefeld für verschiedene Filter. Den meisten Platz nehmen jedoch drei große, zunächst noch leere Fenster im unteren Bereich ein. Im oberen dieser drei Fenster zeichnet Wireshark die Datenpakete übersichtlich und auf Wunsch bereits farbig markiert auf (Abbildung 1, (1)), während er im mittleren Bereich die einzelnen Protokolle und deren Feldinhalte anzeigt (2). Das untere Fenster zeigt schließlich hexadezimal und als ASCII-Code den Paketinhalt an (3).

Abbildung 1: Umfassende Informationen liefert Wireshark bereits im Hauptfenster.

Capture-Optionen

Links in der Symbolleiste sind drei kleine Elektronikplatinen symbolisch dargestellt. Klicken Sie auf das mittlere dieser Platinensymbole (Abbildung 1, (a)), so öffnet sich ein Dialog mit den wesentlichsten Optionen für die Analyse (Abbildung 2): Hier legen Sie fest, an welchem Netzwerkinterface Wireshark lauschen soll, in welcher Datei das Protokoll lagert, und ob der Mitschnitt des Datenaufkommens mengenmäßig begrenzt wird oder nur über einen fest definierten Zeitraum stattfindet.

Abbildung 2: Grundeinstellungen werden bei Wireshark in nur einem Fenster vorgenommen.

Auch verschiedene Filtereinstellungen nehmen Sie hier vor. Schließlich legen Sie durch das Aktivieren eines Häkchens fest, ob das gewählte Interface im sogenannten Promiscuous Mode betrieben werden soll. Diese Option müssen Sie aktivieren, um im Netzwerk den gesamten Datenverkehr mitzuschneiden, da Wireshark ansonsten nur diejenigen Datenpakete zu Gesicht bekommt, die die gewählte Netzwerkschnittstelle direkt betreffen.

Als Quellen für den Mitschnitt kommen dabei beileibe nicht nur Ethernet-Schnittstellen infrage – auch Datenströme von USB-, Bluetooth-, WLAN- oder PPP-Interfaces lassen sich analysieren. Im Live-Capture-Modus findet sodann in Echtzeit die Aufzeichnung und Anzeige der Datenströme statt. Da in aller Regel schon in relativ kurzer Zeit enorme Mengen an Analysedaten anfallen, empfiehlt es sich zudem, durch einen Klick auf den Button Capture Filter und die Wahl einer entsprechenden Option den Mitschnitt einzuschränken.

Hier spielt die Software ihre enorme Funktionalität voll aus: Filtermöglichkeiten lassen sich mit einer Detailtiefe vornehmen, die ihresgleichen sucht. So kann Wireshark die Daten nicht nur nach MAC- und IP-Adressen oder beispielsweise verschiedenen Protokollen filtern, sondern isoliert auf Wunsch auch spezielle Pakete, die für bestimmte Ports vorgesehen sind. Auch Broadcast- oder Multicast-Pakete kann man gesondert aufzeichnen. Das Programm unterstützt von Haus aus bereits über 900 Protokolle, sodass es nahezu keine Datenströme gibt, die Wireshark nicht zuordnen kann.

Die umfassenden Funktionen machen schnell klar, dass Wireshark nicht nur ein lustiges Spielzeug für Gelegenheitsnetzwerker darstellt, sondern professionellen Ansprüchen genügt. Vom Nutzer wird erwartet, dass er zumindest fortgeschrittene Kenntnisse der Netzwerktechnik und der verwendeten Protokolle besitzt, vornehmlich der IP-Protokollfamilie. Auch schadet es nicht, wenn der Anwender mit dem ISO-/OSI-Schichtenmodell vertraut ist und die verschiedenen Daten korrekt einordnen kann.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Huawei
Pit Hampelmann, 13.12.2017 11:35, 2 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...