Der Datenverkehr im Netzwerk bleibt für viele Nutzer ein Buch mit sieben Siegeln. Sniffnet macht den Traffic für jedermann nachvollziehbar.
Für Admins gehört das Überwachen des Netzverkehrs zur täglichen Arbeit. Meist kommt dabei wegen seiner Funktionsfülle das grafische Werkzeug Wireshark zum Einsatz, das so gut wie alle Distributionen in ihren Repositories führen. Es richtet sich allerdings primär an professionelle Anwender, sein Einsatz bedarf profunder Netzwerkkenntnisse. An weniger versierte Nutzer richtet sich das neue Projekt Sniffnet, das in einer optisch etwas rustikal wirkenden, jedoch eingängigen und übersichtlichen Oberfläche aussagekräftige Ergebnisse liefert.
Installation
Bei Sniffnet handelt es sich um eine plattformübergreifend erhältliche Rust-Anwendung [1]. Sollte diese Programmiersprache auf Ihrem System noch fehlen, richten Sie sie mit dem Kommando aus der zweiten Zeile von Listing 1 vorab ein. Die Installationsroutine erfordert eine interaktive Eingabe und gibt anschließend am Prompt einige Statusmeldungen aus. Sniffnet selbst installieren Sie im Terminal über den Rust-Paketmanager Cargo (Zeile 4).
Listing 1
Sniffnet installieren
### Rust installieren $ curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh ### Sniffnet via Rust einrichten $ cargo install sniffnet ### Sniffnet als DEB installieren $ sudo apt install sniffnet_Linux.deb ### Abhängigkeiten nachziehen $ sudo apt install libpcap-dev libfontconfig libfontconfig1-dev
Falls Sie eine Linux-Distribution mit DEB-Paketverwaltung nutzen, spielen Sie stattdessen das vorkompilierte DEB-Paket [2] von der Github-Seite des Projekts ein, ohne zuvor Rust implementieren zu müssen (Zeile 6).
Für die korrekte Funktion des Programms müssen Sie unabhängig vom Installationsweg auf jeden Fall noch einige Abhängigkeiten [3] nachziehen (Zeile 8). Anschließend rufen Sie Sniffnet mit dem Befehl sudo sniffnet auf.
Zunächst öffnet sich das Startfenster mit den Filteroptionen. Rechts legen Sie durch Aktivieren des jeweiligen Optionsfelds die Version des gewünschten Internet-Protokolls fest, rechts daneben das Transportprotokoll. In beiden Fällen aktiviert das voreingestellt alle verfügbaren Varianten, also IPv4 und IPv6 sowie TCP und UDP. Ganz rechts im Fenster wählen Sie das Anwendungsprotokoll aus, wobei in einem Auswahlfeld mehr als ein Dutzend davon erscheinen. Auch hier berücksichtigt die Software in der Grundeinstellung alle Protokolle.
Links im Programmfenster finden Sie die im System vorhandenen Netzwerkschnittstellen. Dabei listet die Anwendung nicht nur physisch vorhandene Interfaces auf, sondern auch virtuelle. In diesem Segment aktiviert die Applikation stets die erste physische Schnittstelle; wählen Sie hier das gewünschte Interface aus. Nach dem Anpassen der Grundeinstellungen klicken Sie auf Run! (Abbildung 1).
Abbildung 1: Das Eingangsfenster von Sniffnet wirkt sehr aufgeräumt und beschränkt sich auf das Wesentliche.
Die Anwendung sammelt nun einen Moment lang die vorhandenen Daten und öffnet danach das eigentliche Monitoring-Fenster. Darin finden Sie im oberen Bereich in einer permanent aktualisierten grafischen Anzeige die Anzahl der Datenpakete, die pro Sekunde über die aktive Netzwerkschnittstelle laufen. Diese Anzeige differenziert farblich zwischen ein- und ausgehenden Paketen. Alternativ können Sie durch Setzen eines Optionsfelds die Menge der übertragenen Daten in Byte pro Sekunde anzeigen lassen. Rechts davon finden Sie in einem kleinen Kasten einige statistische Daten zur Netzwerkverbindung: Hier erscheinen die Anzahl der gefilterten Pakete, deren Umfang in Megabyte und der Anteil der einzelnen Applikationsprotokolle am gesamten Datenverkehr.
Am interessantesten ist dabei das große Protokollsegment unterhalb der fortlaufenden grafischen Traffic-Anzeige. Es enthält genaue Daten zu den einzelnen Verbindungen, bestehend aus Quell- und Zieladresse sowie den verwendeten Ports. Außerdem sehen Sie zu jeder Verbindung das jeweils genutzte Transport- und Applikationsprotokoll sowie die Zahl der übertragenen Pakete. Ganz rechts finden Sie in der Spalte Bytes auch den Umfang der Daten, die im Rahmen der jeweiligen Verbindung bislang übertragen wurden.
In dieser Ansicht kennzeichnet Sniffnet die Daten ebenfalls farblich. Eingehende Verbindungen erscheinen in einem rotbraunen Farbton, ausgehende sind blau gefärbt. Diese Ansicht können Sie durch Setzen des Optionsfelds verändern. Dazu setzen Sie entweder den Radiobutton bei der Option most packets, um die Verbindungen nach Anzahl der gesendeten respektive erhaltenen Pakete anzuzeigen, oder Sie nutzen die Option most bytes, um alle Pakete absteigend nach der übertragenen Datenmenge zu sortieren (Abbildung 2).
Abbildung 2: Sniffnet fasst alle Informationen zum Netzwerk-Traffic in einem Fenster zusammen.
Vollständig
In der grafischen Anzeige zeigt Sniffnet stets nur die aktuellsten Datenübertragungen an. Zum Nachvollziehen des Netzwerkverkehrs über einen längeren Zeitraum hinweg protokolliert das Werkzeug sämtliche Verbindungen und deren Aktivitäten als Tabelle in der Textdatei $HOME/sniffnet_report/report.txt. Die öffnen Sie mit einem Klick auf Open full report im Standard-Texteditor Ihrer Arbeitsumgebung (Abbildung 3). Die Anwendung aktualisiert das Protokoll nahezu in Echtzeit.
Abbildung 3: Auch in Textform lassen sich alle Verbindungen und Aktivitäten an der Netzwerkschnittstelle einsehen.
Möchten Sie während eines Laufs etwas an den Einstellungen ändern, klicken Sie oben links auf das Pfeilsymbol, das Sie zurück zum Hauptfenster führt. Hier gilt es zu beachten, dass die Software die Protokolldatei bei jedem Neustart löscht. Sichern Sie sie also gegebenenfalls nach dem Terminieren der Anwendung beziehungsweise vor dem nächsten Start der Software.
Fazit
Wer hinter die Kulissen des Netzwerkverkehrs blicken möchte, dem bietet das weitgehend selbsterklärende Sniffnet eine einfache Gelegenheit dafür. Analysefähigkeiten besitzt das Tool allerdings nicht, sodass Sie im Falle von Problemen mit Ihrer Netzwerkanbindung die Protokolle manuell überprüfen müssen.
Einige Defizite fielen im Test jedoch auf. Unter Kubuntu 22.04 weigerte sich die Software, den Report über den Button Open full report zu öffnen – geschenkt, das geht problemlos auch manuell. Dass Sniffnet die Logdateien aber fast willkürlich löscht, fällt schon schwerer ins Gewicht. Darüber hinaus löst die Applikation die IP-Adressen nicht in Namen auf – wer hinter 104.26.7.95 steckt, müssen Sie manuell ermitteln. Auch lassen sich Sequenzen des mitlaufenden Protokolls nicht herauskopieren, sondern nur aus der generierten Logdatei extrahieren, sofern sie die Session überlebt. Da bleibt eindeutig noch viel Luft nach oben. (tle)
Infos
-
Sniffnet: https://github.com/GyulyVGC/sniffnet
-
Installationsanleitung: https://github.com/GyulyVGC/sniffnet
