Workshop Teil 2: Sniffing mit Wireshark

Sniffing im geswitchten LAN

Mit der zunehmenden Verbreitung von Switches wird das allerdings immer schwieriger, denn Switches sorgen ja dafür, dass Netzwerkpakete nur noch dezidiert an den tatsächlichen Empfänger gesendet werden. Das erreichen diese Geräte, indem sie sich merken, an welchem Port welche MAC-Adresse zu finden ist. Demzufolge "sieht" auch eine Karte im Promiscuous Mode nur noch Broadcasts und an sie gerichtete Pakete. Das verhindert eine effektive Fehleranalyse per Sniffing.

Teure Switches unterstützen deshalb ein Feature namens "Port Mirroring". Dabei wird der Datenverkehr eines Ports auf einen anderen gespiegelt. An diesen Port hängt man dann den Sniffer und überwacht den Traffic. Meistens wird der Uplink-Port gespiegelt, weil man dann fast den gesamten Datenstrom bekommt. Wenn man nur den Traffic vom und zum Internet überwachen will, reicht es aus, den Switch-Port zu spiegeln, an dem der Router hängt.