Workshop Teil 2: Sniffing mit Wireshark

Sniffing im WLAN

Da die Datenpakete im WLAN per Funk übertragen werden, kann jeder - so ähnlich wie bei einem Hub - die Pakete mitlesen. Dazu muss nur die WLAN-Karte in den Promiscuous Mode geschaltet werden. Somit sind auch für WLANs keine speziellen Sniffer-Programme notwendig; für eine Analyse des reinen Datenverkehrs reichen die Standardmodelle problemlos aus. Unter Windows ist das Mitlesen von WLAN-Management-Frames allerdings nicht oder nur in bestimmten Hardware-Kombinationen möglich. Daher eignet sich die Windows-Version von Wireshark nur für das Mitlesen des reinen Datenverkehrs. Die Linux-Variante dagegen, die auch Bestandteil unserer Distribution auf CD ist, protokolliert und analysiert auch die Management-Frames.

Warum also die erheblich teureren Produkte kaufen? Diese können beispielsweise überwachen, ob ungenehmigte Access Points aufgestellt sind, oder irgendwer versucht mitzulauschen. Zudem liefern sie detaillierte Statistiken über die Auslastung der Funkkanäle und Fehlermeldungen der Access Points, etwa wenn sie einen Client wegen Überlastung ablehnen. Ein hilfreiches Tool zur Optimierung der WLAN-Konfiguration also.

Mit AirSnare gibt es ein kostenloses Tool, das den Datenverkehr überwacht und auf unerlaubte MAC-Adressen überprüft. Entdeckt das Tool so eine Station, protokolliert es den verursachten Traffic mit und sendet optional eine Warnmeldung an den Benutzer.