Ein Sniffer wie Wireshark ist eine Software, die den Datenverkehr eines Netzwerks überprüft und hierfür die Kommunikationsströme empfängt, aufzeichnet, darstellt und auswertet. Dabei steht das Sammeln, Speichern und Analysieren von Datenpaketen im Vordergrund. Zur Aufzeichnung des Datenverkehrs ist eine leistungsfähige Netzwerkkarte in Kombination mit einer entsprechenden Aufzeichnungs- und Analyse-Software notwendig. Dabei kennen Sniffer den Non-Promiscuous Mode und den Promiscuous Mode. Im Non-Promiscuous Mode wird der ankommende und abgehende Datenverkehr des eigenen Computers mitgesnifft. Im Promiscuous Mode sammelt das Tool den gesamten Datenverkehr an der in diesem Modus geschalteten Netzwerkschnittstelle. Es werden also nicht nur die an den eigenen Computer adressierten Datenpakete empfangen, sondern auch die nicht an ihn adressierten.

Wireshark ist ein solcher Sniffer und zeigt Ihnen alle Daten aus dem Netzwerk auf. Beim Start der Software sollten Sie sich nicht durch die Vielfalt der Informationen einschüchtern lassen. Der Analysator ist extrem leistungsstark und bietet zahlreiche Optionen. Es gibt allerdings ein paar Grundlagen, die Sie kennen sollten, bevor Sie mit dem Monitoring und der richtigen Netzanalyse beginnen.

Funktionsweise von Wireshark
Wireshark ist Open-Source-Software und unterliegt der GNU General Public License (GPL). Über die Website [1] stehen neben dem Source Code auch Installationspakete für Windows und macOS zum Download bereit. Die entsprechenden Pakete für Linux werden von den Herstellern der Distributionen bereitgestellt und über die vorhandenen Paketmanager installiert.

Wireshark setzt auf libpcap auf und kann so deren vollen Funktionsumfang nutzen. pcap (packet capture) ist eine Programmierschnittstelle zum Mitschneiden des Netzwerkverkehrs. Programme zur Netzwerkanalyse, die eine Sniffer-Funktion enthalten, greifen auf diese Schnittstelle zurück, um Pakete direkt am Netzwerkinterface abzugreifen. Die Bibliothek unterstützt außerdem eine Auflistung aller verfügbaren Netzwerkschnittstellen und die Möglichkeit, mitgehörte Pakete in einer Datei zu speichern. Die so gesammelten Daten können dann mithilfe entsprechender Tools ausgewertet werden. Eine abgespeicherte Datei kann sowohl von libpcap als auch von WinPcap-Programmen interpretiert werden.

WinPcap ist eine Programmbibliothek, bestehend aus einem Treiber, der Hardware-nahen Zugriff auf den Netzwerkadapter ermöglicht, und einer Sammlung von Programmen, die den Zugriff auf die einzelnen Schichten der Netzwerke ermöglicht. Die Programmbibliothek basiert auf der von Unix her bekannten Bibliothek libpcap, die die pcap-Schnittstelle implementiert. Die über das Netzwerk transportierten Pakete werden durch die WinPcap-Module unter Umgehung des Protokollstacks entgegengenommen und weitergeleitet. Somit können Sie Statistiken über die Netzwerkauslastung, die verschiedenen Paketarten und deren Inhalte protokollieren und analysieren.

Installation und Konfiguration
Nach dem Start des Installationsprogramms und dem Bestätigen der Lizenzbedingungen folgt die Auswahl der Komponenten, wobei es sich empfiehlt, alle angebotenen Bestandteile zu installieren. Damit landet WinPcap ebenfalls auf Ihrem Rechner. Der Installer erkennt eine bereits installierte WinPcap-Version und bietet gegebenenfalls an, diese durch die aktuelle Version zu ersetzen. Eine vorhandene Version, die nicht vom Installer erkannt wird, müssen Sie manuell deinstallieren. Die übrigen Schritte sind selbsterklärend. Nach erfolgter Installation kann Wireshark direkt gestartet werden.

Vor der Analyse steht zunächst die Datenerfassung und damit Frage, welcher Datenverkehr mit welchem Ziel, wie und mit welchem Verfahren erfasst werden soll: Wie hoch ist das zu erwartende Datenvolumen? Wie hoch ist der Datendurchsatz? Sind ausreichend Systemressourcen vorhanden, um den Anforderungen gerecht zu werden? Diese Fragen müssen Sie vorab klären, damit alle relevanten Netzwerkdaten tatsächlich erfasst werden können. Ebenfalls ist darauf zu achten, dass die Daten nicht durch das Sniffer-System selbst beeinflusst und verfälscht werden.

Seite 1: Funktionsweise und Installation von Wireshark
Seite 2: Im Interface zurechtfinden
 

dr/ln/Mathias Hein

[1] www.wireshark.org