Netzwerk-Sniffer
Ethereal in der Praxis
Ethereal gehört zur Grundausstattung
Netzwerk-Sniffer
Wer wissen möchte, was in seinem Netzwerk läuft, kommt nicht um den Einsatz eines Sniffers herum. Tools wie Ettercap, Tcpdump und das inzwischen in Wireshark umbenannte Ethereal protokollieren alle gesendeten und empfangenen Datenpakete mit. Möglich macht das der Capture Driver, der sich in den Treiber der Netzwerkkarte einklinkt und gesendete sowie empfangene Pakete in einem Puffer zwischenspeichert.
Ein spezielles Analysemodul untersucht jedes einzelne Paket und stellt die Inhalte in übersichtlicher Listenform dar, was dem Systemverwalter die Suche nach Spionage-Software, Datenübertragungen über unverschlüsselte Verbindungen und Sicherheitslücken im Netzwerk deutlich erleichtert.
Wie wichtig Sniffing-Software heutzutage ist, zeigt allein schon die Tatsache, dass Ethereal zur Grundausstattung fast aller gängigen Linux-Distributionen gehört, darunter Fedora Core, Mandriva und Suse. PC Professionell zeigt, wie Sie Ethereal in der Praxis verwenden, um potenziellen Security-Problemen auf die Schliche zu kommen.
Bild: Dank der Verwendung unterschiedlicher Farben für unterschiedliche Funktionen fällt es leicht, die Übersicht zu behalten.
Was geht ab im Netz?
Netzwerk-Sniffer
Der erste Schritt besteht darin, sich einen schnellen Überblick über den Netzwerk-Verkehr im Ruhezustand zu verschaffen. Ruhezustand bedeutet hierbei, dass Sie alle mit dem Internet Kontakt aufnehmenden Anwendungen, beispielsweise Webbrowser, E-Mail-Client und Instant-Messaging-Tools, schließen. Über Anwendungen/Internet starten Sie Ethereal Network Analyzer und wählen Capture/Options. Ist das System nur mit einer Netzwerkkarte ausgestattet, ist diese im Bereich Interface bereits ausgewählt. Verfügt das System über mehrere netzwerkfähige Verbindungen (Stichwort Notebook mit WLAN), wählen Sie das Gerät aus, das den Kontakt zum Router/Switch herstellt. Im Bereich Display Options ist die Option Update list of packets in real time zu finden.
Prinzipiell ist diese Funktion sinnvoll, da Ethereal so die Pakete in Echtzeit anzeigt. Der Nachteil: Bei massivem Datenverkehr verbraucht das Tool extrem viel Systemressourcen. Entscheiden Sie sich dennoch für die Echtzeitanzeige der Pakete, was im Fall einer Netzwerk-Verbindung im Ruhezustand kein Problem darstellt, ist es ratsam, auch gleich die Option Automatic scrolling in live capture zu aktivieren. Dadurch ersparen Sie sich das manuelle Blättern durch die Liste. Mit einem Klick auf Start beginnen Sie die Überwachung des Datenverkehrs.
Wie bei einer Netzwerk-Verbindung im Ruhezustand nicht anders zu erwarten, beschränkt sich der Netzwerk-Verkehr auf ein Minimum. Hier ein UDP-Paket, das vom Router kommt; da ein ICMP-Paket, welches die Netzwerkkarte verschickt. Im Test ermittelt Ethereal während einer Laufzeit von fünf Minuten nur 82 Pakete. Klicken Sie auf Stopp, um die Protokollierung zu beenden.
Protokolltypen verstehen
Netzwerk-Sniffer
Im Hauptfenster stellt Ethereal nun die belauschten Pakete dar. Übersichtlich: Das Tool hinterlegt die einzelnen Protokolltypen mit verschiedenen Farben. Eine fundierte Übersicht rund um das Thema Protokolle finden Sie übrigens auf Protocols.com.
Auf den ersten Blick sind lediglich die ARP-Pakete interessant, da die dazugehörigen Infos im Klartext angezeigt werden. Hintergrund: Das Address Resolution Protocol ARP ist das Bindeglied zwischen IP- und MAC-Adressen. Damit ein Client IP-Pakete an ein anderes System im Netzwerk senden kann, ist die MAC-Adresse des Ziels zu ermitteln.
Hierzu schickt ARP an alle Clients die Frage »Who has 192.168.0.1? Tell 192.168.0.3«, wobei 192.168.0.1 stellvertretend für die tatsächlichen IP-Adressen der Zielsysteme steht und 192.168.0.3 für den Absender. Sind die befragten Clients online und operabel, antworten sie mit »192.168.0.1 is at 00:09:5b:6d:16:de«. Die Antwort, die die eindeutige Verbindung zwischen IP- und MAC-Adresse erlaubt, speichert das System im temporären ARP-Cache.
Hinweis zur Ermittlung der MAC-Adresse: Bei Fedora Core 5 rufen Sie über Klicks auf System/Administration/Netzwerk den Dialog Netzwerk-Konfiguration auf, markieren den gewünschten Netzwerk-Adapter und bringen das Register Geräte nach vorne. Ein Klick auf Bearbeiten/Hardware Gerät zeigt die MAC-Adresse des Adapters.
Vorgeben, was belauscht wird
Netzwerk-Sniffer
Damit die Liste ein wenig übersichtlicher wird, ist es ratsam, von der Filterfunktion Gebrauch zu machen. Ethereal kennt zwei verschiedene Filter: Capture Filters und Display Filters. Mit Hilfe des Capture Filters legen Sie vor Beginn eines Scans fest, welche Pakete, IP-Adressen und Ports das Tool überwachen soll. Dies ist ein probates Mittel, um für einen Einsatzzweck uninteressante Pakete zu ignorieren oder zu verhindern, dass die Protokolldatei bei längeren Scans zu groß wird. Welche Pakete der Sniffer aufzeichnen soll, legen Sie im Dialog Capture Options fest. Im vorherigen Beispiel haben wir bewusst auf die Definition von Capture-Filtern verzichtet, damit Sie ein Gefühl dafür bekommen, welche Paketarten durch das LAN schwirren.
Klicken Sie auf die Schaltfläche Capture Filters, um den gleichnamigen Dialog zu öffnen. Um einen der Filter, etwa No Broadcast and no Multicast, zuzuweisen, markieren Sie den entsprechenden Eintrag, bestätigen mit OK und starten die Aufzeichnung. Alternativ dazu können Sie Capture Filters auch per Kommando aktivieren. Möchten Sie etwa den kompletten ein- und ausgehenden Datenverkehr eines Netzwerk-Adapters mitschneiden, tippen Sie im Dialog Capture Filter bei Filter string den Befehl ether host 00:09:5b:6d:16:de ein, geben bei Filter name eine aussagekräftige Bezeichnung, beispielsweise »Gesamt-Traffic LAN-Adapter«, ein und bestätigen mit Neu/Speichern.
Möglich ist es auch, anstatt der MAC- die IP-Adresse des Netzwerk-Adapters zu verwenden. In diesem Fall lautet der Filter string host 192.168.0.3. Die Kombination mehrerer Befehle ist ebenfalls erlaubt, wobei die Syntax denkbar einfach ist: Wollen Sie beispielsweise den über TCP-Port 80 laufenden Datenverkehr am Adapter mit der IP-Adresse 192.168.0.3 ermitteln, lautet der Befehl 192.168.0.3 tcp port 80.
Das genaue Gegenteil, die Protokollierung des Gesamt-Datenverkehrs außer den über den TCP-Port 80 ausgetauschten Paketen, erreichen Sie, indem Sie 192.168.0.3 and not tcp port 80 eintippen.
Display Filters in der Praxis
Netzwerk-Sniffer
Nachdem Sie nun wissen, wie Sie die Capture Filters von Ethereal konfigurieren, steht der erste Scan unter Praxisbedingungen an. Passen Sie die Capture-Filterregeln Ihren Anforderungen entsprechend an, und starten Sie den Sniffing-Vorgang. Sobald Sie den Browser öffnen und einen E-Mail-Client nutzen, kommt auch in die TCP-Rubrik Bewegung. Nach einigen Minuten stoppen Sie das Sniffen. Je nachdem, wie rege der Datenaustausch innerhalb des LANs ist, kann die Liste Tausende Einträge enthalten.
Mit der Funktion Display Filters filtern Sie die Ethereal-Liste nach beliebigen Kriterien. Die Nutzung der Display-Filter-Funktion ist ähnlich einfach wie die Definition der Capture Filters. Allerdings unterscheidet sich die Syntax. Während Sie den kompletten Datenverkehr des LAN-Adapters beispielsweise mit der MAC-Adresse 00:09:5b:6d:16:de mit dem Capture Filter ether host 00:09:5b:6d:16:de mitschreiben, filtern Sie die Paketliste nach ebensolchen Eintr