Netzwerkanalyse mit Wireshark - Hai-teres Paketeraten

Lesezeit
12 Minuten
Bis jetzt gelesen

Netzwerkanalyse mit Wireshark - Hai-teres Paketeraten

01.10.2011 - 12:00
Veröffentlicht in:

Ein Administrator gewinnt nur dann nützliche Erkenntnisse aus der Netzwerkanalyse, wenn er die grundlegenden Verfahren und Protokolle vesteht. Der Netzwerk-Analyzer Wireshark hilft ihm dabei.

Dass Linux eine Reihe brauchbarer Tools zur Netzwerkanalyse mitbringt, ist kein Geheimnis. Viele davon liefern hervorragende Ergebnisse, die durchaus mit denen kommerzieller Werkzeuge mithalten können. Trotzdem schrecken Windows-Administratoren gelegentlich vor dem Einsatz von Open-Source-Werkzeugen zurück, falls diese etwa keine grafische Benutzeroberfläche bieten. Im Wesentlichen tut eine Netzwerkanalyse-Software nichts anderes, als den gesamten Datenverkehr auf dem angegebenen Netzwerkinterface aufzuzeichnen, wozu die Software sämtliche Datenpakete kontinuierlich abfängt und auf der Festplatte speichert.

In einem zweiten Schritt dekodiert die Software die Daten und zeigt sie am Bildschirm an. Im Unix-Umfeld ist beispielsweise das freie Tcpdump ein Klassiker und dessen Einsatz unter Fachleuten weitverbreitet. Allerdings besitzt es nur eine Kommando-Schnittstelle. Tcpdump gibt es für nahezu alle Unix-Derivate wie AIX, BSD, Solaris und ist beispielsweise bei Linux fast immer in den Standardpaketquellen enthalten und oft auch per Default installiert. Für Windows gibt es übrigens die Portierung Windump, die auf Winpcap basiert. Tcpdump braucht direkten Zugriff auf die Hardware und läuft daher in der Regel mit Root-Rechten, lediglich bei Mac OS X und Solaris benötigt der Benutzer nur die für die Gerätedatei der Netzwerkkarte erforderlichen Rechte.

Tcpdump liest per Default alle Daten, die das spezifizierte Netzwerkinterface über das Netzwerk erreichen, und stellt sie wahlweise an der Standardausgabe dar oder speichert sie in Dateien, die der Admin zum Auswerten heranziehen kann. Tcpdump gefällt vor allem wegen seines gut bestückten Filter-Sortiments. Diese Capture-Filter basieren auf der Libpcap, einer C/C++-Bibliothek, die den Zugriff auf die Link-Layer-Ebene von Netzwerkinterfaces erlaubt. Der Admin steuert das Verhalten von Tcpdump vollständig von der Kommandozeile aus durch das Übergeben von Parametern, dazu gehört auch das Übergeben der zu verwendenden Filter.

Etheral und Wireshark

Da die CLI-Steuerung nicht jedem behagt, gibt es schon relativ lange auch grafische Lösungen, die ebenfalls auf der Libpcap-Bibliothek aufsetzen, wie etwa das seit dem Jahr 2006 verfügbare Wireshark, das früher Ethereal hieß und unter diesem Namen vielen Admins bekannt sein dürfte. Die Umbenennung mit Veröffentlichung der Wireshark-Version 0.99.1 wurde notwendig, weil der Ethereal-Entwickler Gerald Combs seinen Arbeitgeber Ethereal Software verließ. Beim neuen Arbeitgeber CACE Technologies startete er ein Nachfolge-Projekt unter dem Namen Wireshark, mit dessen Erfolg Ethereal Software die Weiterentwicklung des Vorgängers einstellte.

Heute wird Wireshark maßgeblich von der Wireshark-Community entwickelt. Ethereal und Wireshark sind echte Open-Source-Projekte, wenngleich sich Ethereal an Netzwerk-Analyse-Produkten kommerzieller Hersteller orientiert. Meilensteine der Wireshark-Entwicklung sind die seit März 2008 verfügbare Version 1.0 sowie die von einigen Bugs befreite Version 1.4 vom Sommer 2008, die neben experimenteller Unterstützung von Python-Skripten unter anderem auch die Möglichkeit eröffnet, in der Paketliste mit einem Rechtsklick auf die Paketdetails Protokollfelder hinzuzufügen.

Außerdem lassen sich seit Libpcap 1.0.0 die Puffergrößen für die Aufzeichnungen einstellen und Jpeg-Dateien direkt in Wireshark öffnen. Anlass dieses Beitrages ist die im Juli 2011 veröffentlichte Version 1.6, die unter anderem bessere Unterstützung für große Dateien von mehr als 2 GByte implementiert und ähnlich wie Text2pcap auch Textdumps importieren kann. Außerdem haben die Entwickler die GUI anwenderfreundlicher gestaltet, sodass man Spalten ausblenden wie auch maßgeschneiderte Spalten für die gewünschten Felder anlegen kann.

Hauptmerkmal der neuen Version ist aber, dass diese über 30 neue Protokolle unterstützt, darunter auch Json, Wi-Fi P2P (Wi-Fi Direct) und Fibre Channel over InfiniBand. Außerdem kann Wireshark 1.6.0 SSL-Schlüssel und SMB-Objekte exportieren. Eine weitere Neuerung in Wireshark 1.6 ist, dass die Software VLAN-Tags (IEEE 802.1q) direkt im Ethernet-II-Protokoll-Baum anzeigt.

Wireshark ist unter der GPLv2 lizenziert und lässt sich bei nahezu allen Linux-Distributionen über das Paketmanagement installieren. Allerdings bringt selbst ein leidlich aktuelles Ubuntu Natty nur die Wireshark-Version 1.4.6 mit.

Auf der Download-Seite unter [1] finden sich Quellpakete der aktuellen Version für Unix-Systeme und Binärpakete für Windows und aktuell (ab 1.6) auch für Mac OS X. Das Installieren der 32-Bit-Windows-Version ist selbsterklärend. Hier genügt das Herunterladen und anschließende Doppelklicken der Installer-Datei wireshark-win32-1.6.1.exe. Der Wireshark-Installationsassistent startet übrigens einen Helfer für die Installation von WinPcap.

Datenmassen

Einer Netzwerkanalyse mit Wireshark sollte stets eine vernünftige Planung vorangehen. Das gilt zwar prinzipiell für den Einsatz jedes Systemwerkzeugs, bei der Netzwerkanalyse ist aber in Zeiten von Gigabit-Ethernet unbedingt darauf zu achten, dass genügend Systemressourcen zur Verfügung stehen. Daher sollte sich der Admin ungefähr über das zu erwartende Datenvolumen im Klaren sein. Das hängt wiederum davon an, welchen Datenverkehr mit welchem Ziel er abhören möchte, wonach er die zu verwendenden Filter auswählt. Dabei ist möglicherweise auch zu berücksichtigen, dass der verwendete Sniffer selbst nicht die Messung beeinflusst, weil er etwa Pakete automatisch verwirft.

Für das Messen von Netzwerkdaten, die nicht an den Host gerichtet sind, in dem das Netzwerkinterface steckt, gibt es im Wireshare-Konfigurations-Dialog die Option, das Netzwerkgerät wahlweise im Promiscuous-Mode oder im Non-Promiscuous-Mode zu betreiben. Im Non-Promiscuous-Mode analysiert Wireshark dann nur solche Pakete, die an den eigenen Host gesendet oder von diesem versandt werden. Alle anderen Datenpakete (mit fremder Empfängeradresse) verwirft Wireshark.

Im Promiscuous-Mode dagegen kann Wireshark sämtliche Datenpakete von allen im Netz existierenden Rechnern analysieren, weil dieser Modus auch Datenpakete mit fremden Empfängeradressen akzeptiert. Sind im Netz sämtliche Ressourcen ausschließlich über Hubs verbunden, stellt das Verwenden des Promiscuous-Mode zum Lesen aller Datenpakete auch kein Problem dar, weil Hubs sämtliche Datenpakete an alle Ports versenden.

Pakete spiegeln

Allerdings sind heute schon in kleinen Heimnetzen Switches sehr verbreitet, von Unternehmensnetzen ganz zu schweigen. Der Sinn von geswitchten Netzen besteht gerade in einer Entzerrung des Datenverkehrs, sodass eine an einem Switch angeschlossene Station ohnehin nur noch solche Datenpakete erhält, die auch für sie bestimmt sind. Aus diesem Grund bietet sich für die Analyse in geswitchten Netzen das Verwenden der bei vielen Geräten implementierten Port-Mirror-Funktion an, um die gespiegelten Port-Daten der zu analysierenden Station der Netzwerkkarte der lokalen Station, auf der Wireshark installiert ist, von außen zuzuleiten. Einzelheiten dazu sind im Kasten "Glossar" zu finden.

Vor dem ersten Einsatz ist Wireshark zu konfigurieren. Im Menü Capture | Options legt der Admin beispielsweise im Listenfeld rechts oben fest, über welche Netzwerkschnittstelle Wireshark den Datenverkehr mitschneidet (Abbildung 1). Er kann aber auch zuvor im Menü Capture | Interfaces, das sämtliche im Host eingebauten Netzwerkinterfaces zeigt, bei der gewünschten Netzwerkkarte auf die Schaltfläche Options klicken und landet dann im gleichen Dialog.

Netzwerkanalyse mit Wireshark Abbildung 1

Außerdem kann er hier eine Reihe weiterer Rahmenbedingungen für die Aufzeichnung festlegen. So lassen sich im Feld rechts neben der Schaltfläche Capture Filter eigene Filter definieren. Für das aufkommende Datenvolumen ist es entscheidend, wie der zu analysierende Host mit dem Internet verbunden ist. Ein Filter kann dann unter anderem dafür sorgen, dass Wireshark nur den Internet-Datenverkehr dieses Hosts akzeptiert oder sich auf Protokolle beschränkt, die das zu untersuchende Problem auch wirklich tangieren. Andernfalls müsste sich der Admin aus einer riesigen Anzahl von Protokollen oder Broadcasts erst die relevanten Pakete heraussuchen.

Wireshark kennt zwei Arten von Filtern, deren Syntax leider unterschiedlich ist, nämlich Capture-Filter und Display-Filter. Mit Capture-Filtern legt der Admin fest, welche Pakete Wireshark überhaupt mitprotokolliert. Capture-Filter bestimmen das zu erwartende Datenvolumen und sind somit für die zur Analyse verfügbare Datenbasis zuständig. Auf das Ergebnis der Capture-Filterung kann der Admin zur weiteren Analyse Display-Filter anwenden. Capture-Filter benutzen die Syntax von Libpcap. Das Filtern nach einer bestimmten MAC-Adresse sieht in der Libpcap-Syntax so aus:

ether host 00:25:4b:bd:24:94

Möchte der Admin dagegen die Anzeige auf diese MAC-Adresse beschränken, lautet die zugehörige Display-Filter-Syntax:

eth.addr==00.25.4b.bd.24.94

Display-Filter sind allerdings deutlich flexibler. So kann der Admin etwa bei Display-Filtern nach einzelnen Feldern in allen unterstützten Pakettypen selektieren (Abbildung 2).

Netzwerkanalyse mit Wireshark Abbildung 2

Die Entscheidung zum Verwenden von Capture- oder Display-Filtern hängt von einer Reihe von Faktoren ab. Die wichtigsten Vor- und Nachteile führt die Tabelle "Capture-Filter versus Display-Filter" auf.

Wireshark konfigurieren

Um sich mit Wireshark vertraut zu machen, kann sich der Admin beispielsweise einen groben Überblick über den Netzwerkverkehr verschaffen, der beim gewünschten Host ankommt. Dazu ist es notwendig, sämtliche bekannten Applikationen, die regelmäßig über das Netz kommunizieren, wie Browser, E-Mail-Clients oder Messenger zunächst zu schließen. Anschließend wählt er im Menü Capture | Options die betreffende Netzwerkkarte aus und passt gegebenenfalls die Puffergröße seinen Wünschen an. Von der gewählten Puffergröße hängt es ab, wie viele Pakete Wireshark im Speicher festhalten kann, bevor das Programm Daten auf die Festplatte schreiben muss. Bei Netzen mit extrem hohen Datenaufkommen empfiehlt sich ein großer Wert.

Mit der Option Capture packets in promiscucous mode liest das Interface wie beschrieben den gesamten ankommenden Datenverkehr mit und gibt die Daten zum Verarbeiten an das Betriebssystem weiter. Ein Limitieren der Paketgröße ist normalerweise nicht erforderlich, weshalb die entsprechende Option per Default nicht gesetzt ist. Da der komplette Datenverkehr analysiert werden soll, kommt zunächst kein Capture-Filter zum Einsatz. Im Bereich Display Options empfiehlt es sich außerdem, Update list of packets in real time zu deaktivieren, damit Wireshark nicht zu viele Systemressourcen beansprucht.

Außerdem gibt es rechts unten im Bereich Name Resolution noch weitere wichtige Optionen. Mit Enable Network Name Resolution wandelt Wireshark sämtliche IP-Adressen mittels DNS in Namen um, was unter Umständen recht lange dauern kann, weshalb die Option per Default zugunsten von Enable MAC name resolution deaktiviert ist.

Im Bereich Capture Files(s) kann der Admin Einfluss auf das Speichern der Capture-Daten nehmen. Normalerweise speichert Wireshark sämtliche Capture-Daten in einer einzigen Datei, die der Admin an dieser Stelle spezifizieren kann. Gibt er keine Datei an, speichert Wireshark die Daten automatisch temporär, und der Admin kann jederzeit mithilfe des Menüs File wählen, in welcher Datei er die Daten ablegen möchte.

Mit der Option Use multiple Files ist es aber auch möglich, das Speichern auf mehrere Dateien zu verteilen. Außerdem lässt sich deren Größe begrenzen oder die Datenmenge durch Aktivieren eines Ringpuffers beschränken, sodass Wireshark bei einem Überschreiten der vorgegebenen Größen immer die schon existierenden Daten überschreibt.

Mit Start beginnt Wireshark mit dem Aufzeichnen der Daten. Zum Protokollieren des Datenverkehrs für das ausgewählte Device genügt es, Wireshark einfach eine Zeit lang laufen zu lassen, wobei das Hauptfenster von Wireshark permanent die mitprotokollierten Pakete in der Paket-Liste anzeigt.

Mit den Funktionen im Menü Go navigiert der Admin durch die Paketliste. Jetzt kann der Nutzer oder Admin auch einige typische Applikationen, etwa Webanwendungen im Browser oder VoIP-Tools, starten.

In der Spalte Protocol lässt sich erkennen, zu welcher Protokollgruppe das jeweilige IP-Paket gehört. Nach einiger Zeit kann der Admin das Aufzeichnen mit Capture | Stop anhalten, und Wireshark zeigt sämtliche eingesammelten Pakete an (Abbildung 3).

Netzwerkanalyse mit Wireshark Abbildung 3

Wireshark praktisch

Das Ergebnisfenster zeigt hauptsächlich häufig wiederkehrende Pakete, die stets zur gleichen Protokoll-Gruppe gehören wie etwa Cups-Broadcast, IGMP-Pakete, DHCP-Anforderungen oder ARP-Anfragen, mit deren Hilfe die Netzwerkinterfaces die zu einer IP gehörende MAC-Adresse ermitteln. Außerdem tauschen Router oder Switches untereinander Informationen aus, ebenso wie Samba- oder Windows-Hosts Browser-Nachrichten im Netz verbreiten: alles Vorgänge, die man getrost als "normalen" Netzwerkverkehr betrachten darf.

Bei diesem einfachen Beispiel fällt aber auch auf, dass der lokale Host, der im Beispiel die IP-Adresse 192.168.0.30 hat, SIP-Pakete an das Ziel 66.151.151.20 sendet. Da auf dem betreffenden Rechner aber keine Internet-Telefonie zum Einsatz kommt, forschen wir weiter nach. Ein Doppelklick auf das Paket öffnet ein neues Wireshark-Fenster mit einer Detailansicht, dessen Titel aus Quell-IP, Ziel-IP, Protokoll und Infotext besteht.

Schon aus der Info-Spalte in der Listenansicht geht hervor, dass SIP-Anfragen an die Webseite sip.sightspeed.com gerichtet sind. Ein Klick auf das Pluszeichen im Detailfenster bei Session Initiation Protocol bestätigt den Sachverhalt. Zurück im Hauptfenster lässt sich per Rechtsklick auf das betreffende Paket aus dem Kontextmenü mit Apply as Filter direkt ein Display-Filter erstellen. Sollen alle Pakete von oder an diesen Host untersucht werden, ist der Menü-Eintrag Selected die richtige Wahl. Wireshark zeigt die Syntax des so erstellten Display-Filters in der Filter-Zeile oben grün hinterlegt an.

ip.src == 192.168.0.30

Wendet man den Filter mit Apply an, zeigt Wireshark nur noch Pakete von oder zu dieser Station an.

Der Service sip.sightspeed.com wird von der Firma Logitech betrieben, was nach weiterer Nachforschung den folgenden Sachverhalt aufdeckte: Der Nutzer des Arbeitsplatzes hatte vor einiger Zeit eine Webcam installiert, deren mitgelieferte Software unter anderem Logitechs eigene Videotelefonie-Lösung Vid HD den US amerikanischen Videotelefonie-Provider Sightspeed nutzt. Zu diesem Fall ist noch zu bemerken, dass Wireshark im Menü Telephony eine Reihe leistungsfähiger Funktionen und Filter explizit zum Analysieren von Telefonie-Problemen mitbringt.

Filter nutzen

Nutzt der Admin keinen Filter, zeichnet Wireshark den kompletten Datenverkehr auf und präsentiert als Ergebnis dann auch alle Pakete, die für das ganz alltägliche Management im Netzwerk notwendig sind wie etwa ARP-Requests, NetBIOS- und Cups-Broadcast sowie IGMP- und STP-Pakete (Spanning Tree Protocol). Im Bezug auf die Netzwerkanalyse sind solche Pakete meist nicht relevant, es sei denn der Admin vermutet einen Hacker-Angriff mittels ARP-Poisoning. Daher empfiehlt es sich, solche Pakete mithilfe eines Capture-Filters unmittelbar bei der Aufzeichnung auszufiltern, wozu der Admin den Dialog Capture | Options erneut aufruft und rechts neben der Schaltfläche Capture-Filter einen Capture-Filter gemäß der oben beschriebenen libpcap-Syntax einträgt. Mit

host IP-Adresse

beschränkt er das aufkommende Datenvolumen ausschließlich auf Pakete, die von oder zum Host mit der angegebenen IP-Adresse fließen (Abbildung 4).

Netzwerkanalyse mit Wireshark Abbildung 4

Möchte er die erwähnten Management-Pakete ausschließen, genügt ein

host IP-Adresse and not arp and not igmp

Zahleiche weitere nützliche Praxisbeispiele für Capture-Filter [2] und Display-Filter [3] finden sich im Wireshark-Wiki [4]. Ein sehr gutes Handbuch hat außerdem Ludwig Hein von Lupocom verfasst [5]. Trotz relativ gut verständlicher und gut dokumentierter Syntax ist das Erstellen von Filtern eine komplexe Angelegenheit. Wireshark unterstützt den Admin dazu mit einer Filter-Toolbar im Menü Analyze | Display Filters.

Das Tool erlaubt neben der Auswahl einer ganzen Reihe vordefinierter Display-Filter mit der New-Schaltfläche auch die direkte Eingabe von Filterausdrücken. Der Admin kann mit einem Klick auf die Schaltfläche Expression seinen Wunschfilter so im Dialog-Verfahren zusammenklicken (Abbildung 5). Zwar gibt es analog für Capture-Filter einen Menüeintrag Capture | Capture-Filters, dieser bietet allerdings keine Expression-Schaltfläche.

Netzwerkanalyse mit Wireshark Abbildung 5

Der Filter-Dialog zeigt übrigens nicht nur die verfügbaren Protokollfelder an, sondern auch die mit dem jeweiligen Protokoll anwendbaren Operatoren, die der erfahrene Admin zu individuellen Ausdrücken kombinieren kann. Mit OK überträgt er den Ausdruck dann in die Filterliste, um ihn dort auszuwählen und mit Apply anzuwenden.

Weitergehende Analysen

Alle bisher beschriebenen Funktionen beziehen sich mehr oder weniger nur auf das Erfassen der zu analysierenden Daten. Filter dienen im Wesentlichen dazu, das zu erwartende Datenaufkommen einzuschränken, aber auch dazu, die Analyse auf die zu untersuchenden (möglicherweise verdächtigen) Ports oder Protokolle einzuschränken.

Darüber hinaus bietet Wireshark aber auch ein beachtliches Sortiment an Analyse-Funktionen im Menü Analyze. Neben der erwähnten Toolbar zum Definieren von Display-Filtern lassen sich hier auch gezielt einzelne Protokolle deaktivieren (Abbildung 6).

Netzwerkanalyse mit Wireshark Abbildung 6

Sehr nützlich und leistungsfähig ist auch der Menüpunkt Analyze | Expert Infos, mit dessen Hilfe der Admin sich einen Überblick über einen ausgewählten Protokollablauf verschaffen kann, um daraus für die Fehlersuche nützliche Informationen zu gewinnen.

Möchte der Admin beispielsweise einen Authentifizierungs-Handshake im Detail verfolgen, bietet Wireshark dazu die Funktion der Stream-Verfolgung unter Analyze | Follow TCP Stream (alternativ Follow UDP Stream und Follow SSL Stream). Die Funktion lässt sich etwa anhand eines SSH-Logins illustrieren, wozu der Admin auf einem zweiten Rechner einen SSH-Server aktiviert und dann auf dem ersten Rechner Wireshark sowie ein SSH-Login startet. Zuvor konfiguriert er Wireshark so, dass ein Protokoll-Filter dafür sorgt, dass Wireshark ausschließlich Pakete aufzeichnet, die zu einer SSH-Sitzung gehören. Dazu muss er die Aufzeichnung zunächst via Capture- oder Display-Filter auf das SSH-Protokoll beschränken. Als Capture-Filter sieht das so aus:

port 22

Dann startet der Administrator die Aufzeichnung, loggt sich auf der Konsole per SSH auf dem anderen Rechner ein und wählt anschließend aus dem Menü Analyze den Punkt Follow TCP Stream. Das Ergebnis sollte etwa so aussehen wie in Abbildung 7.

Netzwerkanalyse mit Wireshark Abbildung 7

Da SSH die Verbindung verschlüsselt, kann kein Hacker durch den Einsatz von Wireshark nennenswerte Informationen aus der Analyse gewinnen. Das Beispiel verdeutlicht aber auch, wie einfach sich mit der Funktion Follow TCP Stream etwa ein Telnet-Login – oder etwas zeitgemäßer – ein nicht via SSL gesicherter HTTP-Login mitlesen lässt.

Statistik

Wireshark bietet im Menü Statistics außerdem eine ganze Reihe nützlicher Statistik-Funktionen. Mit deren Hilfe kann der Admin beispielsweise Statistiken über IP-Adressen, Paketlängen, Protokolltypen, Kommunikations-Endpunkte (Endpoints), Kommunikationsbeziehungen (Conversations), Service-Antwortzeiten und vieles mehr erstellen.

Interessant und nützlich ist auch der Menüpunkt Statistics | UDP Multicast-Streams. Vermutet der Admin Probleme im Bereich VoIP beziehungsweise bei der Internet-basierten Sprachübertragung im Allgemeinen, sollte er sich auch im Menü Telephony umsehen. Hier lässt sich der Datenverkehr im Handumdrehen zum Zwecke der Analyse von Telefonie-Daten filtern. Bei der Internet-Telefonie basieren sowohl der Signal-Traffic (SIP) als auch der Voice-Traffic (RTP) auf UDP. Das Erstellen von passenden Filtern und Statistiken ist daher mithilfe der Menüpunkte Telephony | SIP ... und Telephony | RTP schnell erledigt. Insbesondere Letzterer ist sehr leistungsfähig.

Mit Telephony | RTP | Show All Streams sind im Nu alle vorhandenen RTP-Streams gefiltert und visualisiert. Die RTP-Stream-Analyse unter Telephony | SIP | Stream Analysis erzeugt dann für den gewählten RTP-Stream eine Statistik, die unter anderem die Ankunftszeit eines Paketes, den Delay und den Jitter anzeigt.

Fazit

Wireshark ist einer der leistungsfähigsten Paket-Sniffer und kommerziellen Produkten mindestens ebenbürtig. Allein die unterstützten Protokolle, die mitgelieferten Filter und Analyse-Funktionen könnten Bände füllen. Allerdings wird eine fundierte Netzwerkanalyse trotz zahlreicher Assistenten und Filter nicht besser oder einfacher, wenn das nötige Protokoll-Wissen fehlt.

Deshalb erfordert der Einsatz von Wireshark viel Handarbeit, auch wenn der Werkzeugkasten mit jeder Version größer wird. Wer nicht über fundiertes Netzwerk-Fachwissen und das Zusammenwirken der beteiligten Protokolle und Dienste verfügt, wird Hacker-Angriffe, Performance-Schwachstellen oder Konfigurationsfehler auch mit dem Einsatz von Wireshark nicht schneller aufdecken. (ofr)

Glossar

  • Ein im Promiscuous Mode ("freizügiger Modus") betriebenes Netzwerkgerät liest sämtliche am Gerät eintreffenden Daten mit, auch wenn sie nicht für die Station selbst bestimmt sind, und leitet sie an das Betriebssystem weiter. Da die meisten Dienste im Netzwerk eine Authentifizierung voraussetzen, kann der Admin im Promiscuous Mode keine Pakete eines Netzwerks abfangen, zu denen er keinen Zugang hat. Der Promiscucous Mode funktioniert außerdem nicht in geswitchten Netzen.
  • Im Non-Promiscuous-Mode analysiert Wireshark nur Pakete, die an die Station selbst gerichtet sind, auf der Wirshark installiert ist oder von dieser versendet wurden. Sämtliche Datenpakete mit fremder Empfänger- oder Sender-Adresse werden verworfen.
  • Port Mirroring (Port-Spiegelung) ermöglicht das Spiegeln des Netzwerkverkehrs an einem Switch. Wer Wireshark in einem geswichten Netz zur Analyse von Daten einsetzen möchte, die nicht die lokale Station betreffen, braucht einen Switch mit Port-Mirror-Funktion, weil sonst jedes Device nur die Pakete erhält, die auch für es bestimmt sind. Die Konfiguration von Port Mirroring passiert normalerweise im Webinterface des Switches. Es gibt sogar Geräte, die den Datenverkehr mehrerer Switch-Ports auf einem Mirror-Port ausgeben können, allerdings ist dabei die Bandbreite am Zielport zu berücksichtigen, damit dieser die Datenmengen der gespiegelten Ports auch bewältigen kann. Außerdem beeinträchtigt Port-Mirroring die Switch-Performance, weil der Switch für das Spiegeln sämtliche Pakete duplizieren muss. Im Übrigen verzerrt ein Switch stets auch die Ergebnisse von Messungen im Rahmen der Netzanalyse, weil er automatisch alle schadhaften Datenpakete verwirft.

Rechtslage

Selbstverständlich lässt sich Wireshark auch hervorragend zur Netzwerk-Analyse im WLAN nutzen. Allerdings ist das vorsätzliche Abhören und Protokollieren von fremden Funkverbindungen in Deutschland verboten, es sei denn, der Netzbetreiber erlaubt dies explizit. Der Einsatz von WLAN-Sniffern im eigenen Funknetz ist zwar unproblematisch, allerdings geht damit aufgrund der WLAN-Dichte oft auch ein unbeabsichtigtes Abhören fremder Netze einher. Dieses "ungewollte Abhören" ist im deutschen Telekommunikationsgesetz erlaubt, nicht aber das Speichern, Benutzen oder Weitergeben der so gewonnenen Daten. Mehr dazu verrät der Artikel auf S. 24.

Farben

Wireshark verfügt über ein umfangreiches Regelwerk zum Verwenden von Farben in der Anzeige der Paketliste. Der zugehörige Profil-Editor ist unter View | Coloring Rules zu finden. Per Default zeigt Wireshark etwa SMB-Traffic gelb, HTTP-Traffic hellgrün und ARP-Requents mintgrün an. Eine neue Farbregel lässt sich wahlweise mit View | Colorize Conversation | New Coloring Rule oder View Coloring Rules erstellen.

Aus dem Admin Magazin Ausgabe 5/2011: Performance Tuning Seite 34-39

Ähnliche Beiträge

Jetzt Plätze sichern: Online-Intensivseminar Wireshark John Pardey Mo., 25.03.2024 - 07:00
Kommen E-Mails stark verzögert an oder Anwender melden dem Support, dass eine wichtigte Unternehmensanwendung lahmt, schwant dem IT-Verantwortlichen nichts gutes. Denn allzu oft liegen die Ursachen für derartige Störungen im Netz. Unser zweitägiges Online-Intensivseminar Ende Mai zur Paketanalyse mit Wireshark richtet sich an Admins, die sich auf die Suche nach Störungen im Netz machen möchten.

Netzwerkverwaltung an der Medizinischen Universität Wien

Die IT-Abteilung der Medizinischen Universität Wien betreibt das Netzwerk der Universität, wozu die Betreuung von rund 10.000 Anschlüssen sowie Hunderten Endgeräten und Servern gehört. Für diese Aufgabe wurde eine neue Informations- und Planungssoftware für Kabelmanagement und Netzwerkdokumentation implementiert. Das neue Werkzeug ist flexibel, skalierbar und deckt die steigenden Sicherheitsanforderungen voll ab.