Fehler im LAN finden mit Netzwerk Sniffer

Sniffing im geswitchten LAN

Mit der zunehmenden Verbreitung von Switches wird das allerdings immer schwieriger, denn Switches sorgen ja dafür, dass Netzwerkpakete nur noch dediziert an den tatsächlichen Empfänger gesendet werden. Das erreichen diese Geräte, indem sie sich merken, an welchem Port welche MAC-Adresse zu finden ist. Demzufolge "sieht" auch eine Karte im Promiscuous Mode nur noch Broadcasts und an sie gerichtete Pakete. Das verhindert natürlich eine effektive Fehleranalyse per Sniffing.

Teure Switches unterstützen deshalb ein Feature namens "Port Mirroring". Dabei wird der Datenverkehr eines Ports auf einen anderen gespiegelt. An diesen Port hängt man dann den Sniffer und überwacht den Traffic. Meistens wird der Uplink-Port gespiegelt, weil man dann fast den gesamten Datenstrom bekommt.

Bei Switches ohne die Port-Spiegelung muss man zu einem etwas unfeinen Mittel greifen, dem "Switch Jamming". Dabei schickt man dem Switch eine Vielzahl von Paketen mit verschiedenen MAC-Adressen, bis sein interner Speicher für die Verwaltung überläuft. Die meisten Switches schalten in diesem Fall um und verhalten sich dann wie ein Hub, senden also alle Pakete an alle Ports. Und genau darin liegt der Nachteil dieses Verfahrens: Währen der Analyse degradiert man den Switch zu einem Hub und verliert damit alle Performance-Vorteile.