Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Fazit

Wireshark ist einer der leistungsfähigsten Paket-Sniffer und kommerziellen Produkten mindestens ebenbürtig. Allein die unterstützten Protokolle, die mitgelieferten Filter und Analyse-Funktionen könnten Bände füllen. Allerdings wird eine fundierte Netzwerkanalyse trotz zahlreicher Assistenten und Filter nicht besser oder einfacher, wenn das nötige Protokoll-Wissen fehlt.

Deshalb erfordert der Einsatz von Wireshark viel Handarbeit, auch wenn der Werkzeugkasten mit jeder Version größer wird. Wer nicht über fundiertes Netzwerk-Fachwissen und das Zusammenwirken der beteiligten Protokolle und Dienste verfügt, wird Hacker-Angriffe, Performance-Schwachstellen oder Konfigurationsfehler auch mit dem Einsatz von Wireshark nicht schneller aufdecken. (ofr)

Glossar

  • Ein im Promiscuous Mode ("freizügiger Modus") betriebenes Netzwerkgerät liest sämtliche am Gerät eintreffenden Daten mit, auch wenn sie nicht für die Station selbst bestimmt sind, und leitet sie an das Betriebssystem weiter. Da die meisten Dienste im Netzwerk eine Authentifizierung voraussetzen, kann der Admin im Promiscuous Mode keine Pakete eines Netzwerks abfangen, zu denen er keinen Zugang hat. Der Promiscucous Mode funktioniert außerdem nicht in geswitchten Netzen.
  • Im Non-Promiscuous-Mode analysiert Wireshark nur Pakete, die an die Station selbst gerichtet sind, auf der Wirshark installiert ist oder von dieser versendet wurden. Sämtliche Datenpakete mit fremder Empfänger- oder Sender-Adresse werden verworfen.
  • Port Mirroring (Port-Spiegelung) ermöglicht das Spiegeln des Netzwerkverkehrs an einem Switch. Wer Wireshark in einem geswichten Netz zur Analyse von Daten einsetzen möchte, die nicht die lokale Station betreffen, braucht einen Switch mit Port-Mirror-Funktion, weil sonst jedes Device nur die Pakete erhält, die auch für es bestimmt sind. Die Konfiguration von Port Mirroring passiert normalerweise im Webinterface des Switches. Es gibt sogar Geräte, die den Datenverkehr mehrerer Switch-Ports auf einem Mirror-Port ausgeben können, allerdings ist dabei die Bandbreite am Zielport zu berücksichtigen, damit dieser die Datenmengen der gespiegelten Ports auch bewältigen kann. Außerdem beeinträchtigt Port-Mirroring die Switch-Performance, weil der Switch für das Spiegeln sämtliche Pakete duplizieren muss. Im Übrigen verzerrt ein Switch stets auch die Ergebnisse von Messungen im Rahmen der Netzanalyse, weil er automatisch alle schadhaften Datenpakete verwirft.

Rechtslage

Selbstverständlich lässt sich Wireshark auch hervorragend zur Netzwerk-Analyse im WLAN nutzen. Allerdings ist das vorsätzliche Abhören und Protokollieren von fremden Funkverbindungen in Deutschland verboten, es sei denn, der Netzbetreiber erlaubt dies explizit. Der Einsatz von WLAN-Sniffern im eigenen Funknetz ist zwar unproblematisch, allerdings geht damit aufgrund der WLAN-Dichte oft auch ein unbeabsichtigtes Abhören fremder Netze einher. Dieses "ungewollte Abhören" ist im deutschen Telekommunikationsgesetz erlaubt, nicht aber das Speichern, Benutzen oder Weitergeben der so gewonnenen Daten. Mehr dazu verrät der Artikel auf S. 24.

Farben

Wireshark verfügt über ein umfangreiches Regelwerk zum Verwenden von Farben in der Anzeige der Paketliste. Der zugehörige Profil-Editor ist unter »View | Coloring Rules« zu finden. Per Default zeigt Wireshark etwa SMB-Traffic gelb, HTTP-Traffic hellgrün und ARP-Requents mintgrün an. Eine neue Farbregel lässt sich wahlweise mit »View | Colorize Conversation | New Coloring Rule« oder »View Coloring Rules« erstellen.

Der Autor

Thomas Drilling ist seit mehr als zehn Jahren hauptberuflich als freier Journalist und Redakteur für Wissenschafts- und IT-Magazine tätig. Er selbst und das Team seines Redaktionsbüros verfassen regelmäßig Beiträge zu den Themen Open Source, Linux, Server, IT-Administration und Mac OS X. Außerdem arbeitet Thomas Drilling als Buchautor und Verleger, berät als IT-Consultant kleine und mittlere Unternehmen und hält Vorträge zu Linux, Open Source und IT-Sicherheit.

comments powered by Disqus
Mehr zum Thema

Neu: Parrot, Wireshark, VirtualBox

Eine Reihe namhafter Softwareprojekte erschienen jetzt in einer neuen Version.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019