com!-Academy-Banner

Die 7 besten Netzwerk-Tools fürs Heimnetz

Wireshark - Datenpakete im Netzwerk mitschneiden

von - 28.03.2014
So geht’s:  Wireshark schneidet den Netzwerkverkehr mit und ermöglicht tiefgehende Analysen. Das Tool verarbeitet zahlreiche Protokolle von FTP bis IPv6.
So geht’s:  Wireshark schneidet den Netzwerkverkehr mit und ermöglicht tiefgehende Analysen. Das Tool verarbeitet zahlreiche Protokolle von FTP bis IPv6.
Der Netzwerk-Sniffer Wireshark liefert tiefe Einblicke in Pakete, die im Netzwerk übertragen werden. Ein Netzwerk-Sniffer zeichnet alle Datenpakete über einen festgelegten Zeitraum auf, die an einen überwachten Netzwerkknoten gesendet werden. Die gesammelte Daten – den Mitschnitt – packt das Tool in eine Datei, die sich im Anschluss genauer untersuchen lässt.
Der englische Name Sniffer (Schnüffler) ist somit eine durchaus treffende Bezeichnung für Wireshark. Administratoren setzen Netzwerk-Sniffer ganz legal als Analyse-Tools ein, um etwa Übertragungsfehlern auf die Spur zu kommen. Allerdings lassen sich solche Programme auch missbrauchen, beispielsweise um nach Passwörtern zu schnüffeln.
Wireshark ist einer der bekanntesten Netzwerk-Sniffer. Er wurde bis vor einigen Jahren unter dem Namen Ethe­real geführt. Der Umfang dieses Analyse-Tools ist gewaltig. Im Folgenden soll daher nur ein kleines, legales Projekt durchgeführt werden: Sie schneiden die Datenverbindung zwischen Ihrem PC und dem Router mit, während Sie eine passwortgesicherte FTP-Verbindung aufbauen, etwa zu Ihrem NAS oder einem FTP-Server im Internet. Im Anschluss lesen Sie aus Ihrem Mitschnitt das FTP-Passwort aus.

Installation

Mitschneide-Modul: Nur wenn Sie die Komponente WinPcap mitinstallieren, kann Wireshark Datenpakete mitschneiden.
Mitschneide-Modul: Nur wenn Sie die Komponente WinPcap mitinstallieren, kann Wireshark Datenpakete mitschneiden.
Beachten Sie bei der Installation von Wireshark, dass es eine Version für 32-Bit- und eine für 64-Bit-Betriebssysteme gibt. Lassen Sie im Installationsfenster „Choose Components“ alle bereits ausgewählten Komponenten aktiviert. Besonders wichtig ist die Installation von WinPcap. Dafür hält der Assistent ein eigenes Setup-Fenster bereit.
WinPcap heißt die zentrale Komponente, die dafür sorgt, dass Wireshark überhaupt Datenpakete unter Windows mitschneiden beziehungsweise erfassen (englisch: to capture) kann. Aus diesem Grund werden Tools wie Wire­shark auch als Packet Capturer bezeichnet.
Wenn Sie Wireshark starten, erscheint eine aufgeräumte Bedienoberfläche, die in verschiedene Bereiche unterteilt ist. Für die Arbeit mit dem Tool sind nur die Bereiche „Capture“ und „Files“ von Bedeutung. „Capture Help“ und „Online“ bieten Dokumentationen und Hilfestellungen zur Verwendung des Tools.

Adapter auswählen

Aktiven Adapter ermitteln: Den Netzwerkadapter, dessen Datenverkehr Wireshark aufzeichnen soll, erkennen Sie an der stetig wachsenden Anzahl „Packets“.
Aktiven Adapter ermitteln: Den Netzwerkadapter, dessen Datenverkehr Wireshark aufzeichnen soll, erkennen Sie an der stetig wachsenden Anzahl „Packets“.
Um einen Datenstrom mitzuschneiden, wählen Sie zunächst unter „Capture“ den Netzwerkadapter Ihres PC oder Notebooks aus, der mit dem Heimnetz verbunden ist. Manche Rechner sind mit zwei oder mehreren, teilweise auch virtuellen Adaptern ausgestattet. Um den richtigen Adapter herauszufinden, öffnen Sie mit einem Klick die „Interface List“.
Der Adapter in der Liste, bei dem die Anzahl der „Packets“ ständig zunimmt, ist der Adapter, über den Ihr PC mit dem Netzwerk verbunden ist. Wählen Sie diesen Adapter mit einem Häkchen aus und schließen Sie das Fenster mit einem Klick auf „Close“.
Damit ist Wireshark startklar und Sie können mit der Aufzeichnung des Datenverkehrs an Ihrem Netzwerkadapter beginnen. Klicken Sie dazu im Bereich „Capture“ auf die Option „Start“ neben der grünen Haifischflosse. Die Bedienoberfläche verändert sich und besteht nun aus drei horizontal getrennten Bereichen.
Der obere, große Bereich heißt Paketliste und füllt sich recht schnell mit einer Reihe von aufsteigend nummerierten Zeilen. Jede Zeile repräsentiert ein Datenpaket, das der Netzwerkadapter Ihres PCs aus dem Netzwerk empfängt oder sendet.
Bilderstrecke
30 Bilder
Platz 30 – Ebola: Knapp 10.000 kostenlose Bücher stehen zum Download bereit
Platz 29 – Freedomstick Eviltux Edition: Mit Hilfe des Tor-Netzwerks surfen Sie anonym und zensurfrei
Platz 28 – Open Hardware Monitor: Das Tool ermittelt Details zu Ihrer Hardware und liest Sensoren aus
Platz 27 – OBS: Auf Streamings und Videoaufnahmen des Desktops hat sich dieses Tool spezialisiert

Platz 1 bis 30:

Die beste Windows-Software 2014

>>

Obwohl Sie selbst gerade keine E-Mail versenden oder im Internet surfen, wächst die Zahl der mitgeschnittenen Datenpakete ständig. Verursacher dieser Kommunikation sind beispielsweise Hintergrundanwendungen auf Ihrem PC oder diverse andere Dienste und Geräte im Netzwerk. Öffnen Sie nun Ihren FTP-Client oder Browser und verbinden Sie sich über ein passwortgeschütztes Konto mit Ihrem FTP-Server.
Sobald die FTP-Verbindung hergestellt ist, wechseln Sie zurück ins Wire­shark-Fenster und stoppen die Aufzeichnung der Datenpakete. Klicken Sie dazu oben in der Symbolleiste des Programms einfach auf das rote Qua­drat.

Paketanalyse

Versuchen Sie nun anhand der Aufzeichnung in Wireshark die FTP-Zugangsdaten herauszufiltern. Das Pro­blem dabei: Die gesuchte Information ist irgendwo in einem oder mehreren Datenpaketen in der Paketliste versteckt.
Da die soeben mitgeschnittene FTP-Verbindung über das FTP-Protokoll abgewickelt wird, suchen Sie in der Paketliste nach einer Gruppe von Datenpaketen, die in der Protokollspalte mit „FTP“ gekennzeichnet sind. Dazu könnten Sie umständlich durch die Paketliste scrollen. Schneller geht es mit einem Filter. Tragen Sie oben in das Eingabefeld unter der Symbolleiste ftp ein und bestätigen Sie mit der Eingabetaste.
Passwort gefunden: Nachdem die FTP-Pakete aus dem Mitschnitt herausgefiltert sind, zeigt Wireshark mit der Funktion „Follow TCP Stream“ den gesamten Login-Vorgang inklusive Zugangsdaten an.
Passwort gefunden: Nachdem die FTP-Pakete aus dem Mitschnitt herausgefiltert sind, zeigt Wireshark mit der Funktion „Follow TCP Stream“ den gesamten Login-Vorgang inklusive Zugangsdaten an.
Daraufhin erscheinen nur noch FTP-Datenpakete in der Paketliste. Sie stellen die Login-Unterhaltung zwischen Ihrem FTP-Client und dem FTP-Server dar. Lassen Sie sich diese Unterhaltung inklusive der Login-Daten anzeigen. Dazu markieren Sie das erste FTP-Paket in der Liste und klicken es anschließend mit der rechten Maustaste an. Wählen Sie dann im Kontextmenü den Eintrag „Follow TCP Stream“ aus.
Daraufhin erscheint die gesamte FTP-Log­in-Unterhaltung in einem Text­fens­ter.
Verwandte Themen