Workshop: Sniffing mit Wireshark

Erste Analyse

Da wir uns zunächst nur für den „normalen“ Datenverkehr interessieren, lassen wir Wireshark ein paar Minuten laufen. Währenddessen gibt ein Fenster Auskunft über die bisher mitprotokollierten Pakete und zu welchen Protokollgruppen sie gehören. Nach einer Weile klicken Sie auf Stop, und Wireshark zeigt die gesammelten Pakete an.

Je nach Aufbau und Stationen im Netzwerk findet sich in der Liste eine Reihe von regelmäßig wiederkehrenden Paketen. Das sind beispielsweise immer wieder ARP-Anfragen, über die Stationen die zu einer IP gehörende MAC-Adresse ermitteln. Sind Router im Netz integriert, finden sich auch häufig Pakete, die zum Austausch von Routing-Informationen dienen. Windows-Rechner versenden häufig BROWSE-Nachrichten, mit denen sie sich im Netz ankündigen.

Im Beispiel fällt allerdings gleich eines auf: Eine Station verschickt regelmäßig NetBIOS-over-IPX-Pakete. Das sollte eigentlich nicht vorkommen, da das IPX-Protokoll obsolet ist. Leider zeigt Wireshark für dieses Paket nur die IPX-Adresse des Absenders an. Wenn Sie nun das Paket abwählen, erscheint im mittleren Fenster eine Aufschlüsselung des Pakets. Hier ist vor allem der Teil „IEEE 802.3 Ethernet“ interessant. Ein Klick auf das Plus-Zeichen öffnet den Bestandteil des Pakets, und Sie erhalten die MAC-Adresse des Absenders.