Fehler im LAN finden mit Netzwerk Sniffer

Sniffing im Netzwerk

Wenn es darum geht, den Datenverkehr des lokalen Rechners zu überwachen, ist das Sniffing noch ziemlich einfach. Der Capture Driver muss sich lediglich in den Treiber der NIC einklinken. Um den Traffic im gesamten Ethernet-Segment zu analysieren, müssen einige zusätzliche Vorkehrungen getroffen werden.

Ethernet ist von der Grundidee her ein Shared Medium. Das heißt unter anderem auch, dass alle Pakete an alle Stationen gesendet werden. Damit nun nicht die einzelnen Rechner ständig damit beschäftigt sind, die für sie bestimmten Pakete herauszusuchen, ist bereits in der Netzwerkkarte ein Filter eingebaut. Dieser leitet nur solche Pakete an den Treiber weiter, die speziell an die MAC-Adresse der NIC gerichtet sind oder bei denen es sich um Broad- oder Multicasts handelt.

Laut den von Intel und Microsoft herausgegebenen PC99-Richtlinien für PC Design, sollten Netzwerkkarten jedoch den so genannten "Promiscuous Mode" unterstützen. Damit kann der Capture Driver die Karte anweisen, alle Netzwerkpakete zu empfangen und an den Treiber weiterzuleiten. Über diesen Weg ist es dann auch möglich, den Datenverkehr in einem Netzwerksegment zu überwachen.