Netzwerk-Sniffen mit Wireshark und dem Raspberry Pi

Auf die Netzwerkkarte kommt es an

Sobald sich übrigens ein Switch sich um die Verteilung der Datenpakete kümmert, ist der Promiscuous Mode auf dem kabelgebundenen Ethernet-Adapter alleine wenig hilfreich. Denn ein Switch sorgt letztlich für eine zielgerichtete Verteilung von Datenpaketen, die dann am Sniffer vorbeilaufen. Darum ist die Verwendung eines WLAN-Adapters im Monitoring Mode angesagt; das erfasst alle Datenpakete, die durch das Netzwerk wabern. Man muss sich übrigens von dem Gedanken verabschieden, dass der Monitor-Rechner völlig unsichtbar im Netz ist. Denn ohne Authentifizierung kann er kaum Datenpakete sammeln; entsprechend kann er bestenfalls so betrieben werden, dass er auf klassische Netzwerkerkennungsverfahren wie ein Ping nicht reagiert. Falls Sie sich übrigens fragen, wie man dann den Rechner bei einer Man-in-the-Middle-Attacke tarnt, ist die Antwort relativ simpel: sehr häufig als Proxy, was dazu führt, dass das „böse“ System erst einmal niemandem auffällt.

Wireshark für den Raspberry konfigurieren

Hat man die Startprobleme gelöst, so geht es daran, Wireshark einzurichten. Das Programm ist recht mächtig, weshalb es sinnvoll ist, vorher relativ exakt festzulegen, was man eigentlich möchte.

1. Richtige Netzwerkkarte auswählen

Zunächst geht es darum, die richtige Netzwerkkarte auszuwählen. Wie schon erwähnt, empfiehlt sich in einem geswitchten Netz ein WLAN-Adapter, sofern dort auch ein Funknetz zur Verfügung steht.