Workshop: Sniffing mit Wireshark

Sniffing-Tools

Normalerweise finden Network Sniffer oder Protocol Analyzer in großen Netzen Verwendung. Sie sollen dem Administrator dabei helfen, Schwachstellen aufzudecken oder Fehler zu finden. Dementsprechend sind diese Applikationen auch mit einer Vielzahl von Features und Verwaltungsmöglichkeiten ausgestattet, wie beispielsweise der Aufschlüsselung des Datenverkehrs nach Protokollen und Sender/Empfänger sowie Trendanalysen und Tools zur automatischen Fehlererkennung.

Diese Funktionsvielfalt hat ihren Preis. Ein leistungsfähiges Programm zur Protokollüberwachung und -analyse mit verteilten Agenten kostet etwa 5000 Euro. Das geht weit über das hinaus, was man für ein Home Office oder ein kleines LAN benötigt.

Um zu untersuchen, ob ein Programm unerlaubt Daten sendet und welche, sind umfangreiche Analyse-Tools jedoch nicht notwendig. Auch die Dekodierung muss nicht unbedingt jedes verfügbare exotische Protokoll, wie etwa DecNet, unterstützen. Da die großen Hersteller aber keine abgespeckte Version ihrer teuren Management-Suites im Angebot haben, kommen immer mehr Free- und Shareware-Tools auf den Markt, die genau dieses Segment abdecken.

Besonders beliebt, da für Windows und Unix/Linux verfügbar, ist Wireshark (ehemals Ethereal). In der Linux-Variante greift Wireshark auf libpcap zurück, unter Windows auf WinPcap. Sollten Sie WLAN-Traffic inklusive aller Management-Frames sniffen wollen, raten die Wireshark-Entwickler zur Linux-Version, da unter Windows die meisten WLAN-Karten den Promiscuous Mode nicht oder nur unzureichend unterstützen.