Probleme im LAN aufspüren

Workshop Teil 2: Sniffing mit Wireshark

Mit Netzwerk-Sniffern kann man Fehler im LAN aufspüren, mehr über Netzwerkprotokolle lernen, aber auch Programme enttarnen, die Daten über den ahnungslosen Benutzer versenden.

So genannte "Phone Home"-Software macht immer mehr von sich reden. Programme also, die Daten über den Benutzer ausspähen und unbemerkt per Internet an den Hersteller weiterleiten. Weil das Ganze ohne Wissen der Anwender erfolgt, fühlen sich diese zu Recht ausspioniert. Dazu kommen noch böswillige Programme, die auf dem Rechner des Opfers Hintertürchen, Proxies, Spambots oder DDoS-Tools einrichten.

Mit Personal Firewalls wie Zone Alarm lässt sich zwar feststellen, ob eine Applikation heimlich Daten überträgt oder ein Angreifer von außen Kontakt herstellen will. Allerdings bleibt damit noch im Dunkeln, welche Daten tatsächlich fließen. Außerdem hilft eine Personal Firewall nicht bei Tools, die ohnehin dazu dienen, Daten über das Internet zu senden oder zu empfangen. Instant Messenger oder Webbrowser könnten ungestört Daten übermitteln, ohne dass die Personal Firewall Alarm schlägt. Und genau das ist der Ansatzpunkt vieler Spyware-Programme: Sie benutzen den IE zur Übermittlung Ihrer gesammelten Daten.

Um bei solchen Tools Unregelmäßigkeiten in der Datenübertragung auszumachen, muss man schwerere Geschütze auffahren und analysieren, welche Daten an welche Rechner geschickt werden. So genannte Sniffer (Schnüffler) klinken sich in den Datenverkehr ein und protokollieren alle gesendeten und empfangenen Pakete mit. Stück für Stück kann man dann den Datenstrom mit einem Analyse-Tool auseinander nehmen und so herausfinden, ob ein Programm unerlaubt Daten sendet.

Nachdem wir im ersten Teil die Grundlagen von Wireshark (ehemals Ethereal) behandelt haben, geht es nun ans Eingemachte: Die Analyse von E-Mail-Traffic, sniffen in verschiedenen Netzwerk-Typen und das Aufspüren von Sniffern.