Proseminararbeit

Packet sniffer

Philip Becker2. Februar 2015

Prof. Dr. Jan Jurjens Lehrstuhl 14 Software EngineeringFakultat InformatikTechnische Universitat DortmundOtto-Hahn-Straße 1244227 Dortmundhttp://www-jj.cs.uni-dortmund.de/secse

Philip Beckerphilip2.becker@udo.eduMatrikelnummer: 160373Studiengang: Bachelor InformatikPrufungsordnung: BPO2007

Proseminar: Werkzeugunterstutzung fur sichere SoftwareThema: Packet sniffer

Eingereicht: 2. Februar 2015

Betreuer: Johannes Zweihoff

Prof. Dr. Jan Jurjens Lehrstuhl 14 Software EngineeringFakultat InformatikTechnische Universitat DortmundOtto-Hahn-Straße 1244227 Dortmund

i

ii

Ehrenwortliche Erklarung

Ich erklare hiermit ehrenwortlich, dass ich die vorliegende Arbeit selbststandig ange-fertigt habe; die aus fremden Quellen direkt oder indirekt ubernommenen Gedankensind als solche kenntlich gemacht.

Die Arbeit wurde bisher keiner anderen Prufungsbehorde vorgelegt und auch nochnicht veroffentlicht.

Dortmund, den 2. Februar 2015

Philip Becker

INHALTSVERZEICHNIS iii

Inhaltsverzeichnis

1 Einleitung 11.1 Vorraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3 Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 Sniffer generell 52.1 Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2 Netzwerkeinfluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 Anwendungsfalle 73.1 Offenes WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.2 Mitschneiden von Logins . . . . . . . . . . . . . . . . . . . . . . . . . 83.3 Aufspuren anderer Tools . . . . . . . . . . . . . . . . . . . . . . . . . 83.4 Verkehr von Anti-Viren-Software . . . . . . . . . . . . . . . . . . . . 83.5 Identifizierung von Netzwerkproblemen . . . . . . . . . . . . . . . . . 8

4 Weiterfuhrende Informationen 94.1 Rechtliches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94.2 Schutzmaßnahmen gegen Sniffing . . . . . . . . . . . . . . . . . . . . 94.3 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Literaturverzeichnis 13

iv INHALTSVERZEICHNIS

KAPITEL 1. EINLEITUNG 1

1 Einleitung

Das Thema dieser Ausarbeitung ist das Einsatzgebiet von Sniffern. Dazu zahlt dieNetzwerkanalyse, z.B. das Finden der Fehlerquelle bei einem falschen Routing oderauch das Aufspuren anderer Sniffer im Netzwerk. Da Sniffer aber nicht nur fur guteZwecke eingesetzt werden, sondern auch um z.B. Logindaten von anderen im Netz-werk befindlichen Rechnern abzufangen, wird auch erklart, wie und warum bestimm-te Angriffszenarien funktionieren, z.B. warum verschlusselter Netzwerkverkehr nichtper se das Allheilmittel gegen solche Angriffe ist. Fur eine verstandlichere Erklarungdieser Eingriffe wird die Funktion eines Sniffers anhand des freien Tools Wiresharkerklart.Dies ist seitens des Angreifers nicht immer leicht und wird u.A. erschwert durch denEinsatz von Verschlusselung. Dazu am Ende mehr. Vorher jedoch werde ich nochdie rechtliche Lage fur den Einsatz erklaren. Dazu zahlt was beachtet werden muss,wenn man diese in einem Firmennetzwerk einsetzen will.Um nicht jede Kleinigkeit zu erklaren werden vorher jedoch einige Voraussetzungenfestgelegt.

1.1 Vorraussetzungen

Da ein Sniffer den Netzwerkverkehr analysiert ist es dementsprechend hilfreich zuwissen, wie ein Netzwerk aus Hubs sich von einem Netzwerk mit Switches unter-scheidet, was fur ein Protokoll ARP (Address Resolution Protocol) ist (warum diesesevtl. zugunsten eines Sniffers genutzt werden kann), oder wie DNS (Domain NameSystem) grundsatzlich funktioniert, d.h. grundsatzliche Netzwerkkenntnisse solltenvorhanden sein, allerdings wird vieles auch aus dem Kontext ersichtlich.

1.2 Wireshark

Es gibt zwar eine Vielzahl von sowohl freien als auch kostenlosen sowie kostenpflich-tigen Sniffern, in dieser Ausarbeitung wird jedoch vieles anhand des unter GPLlizenzierten, freien und quelloffenen Tools

”Wireshark“ erklart. Im Prinzip ist Wi-

reshark ein Fork von”Ethereal“, dessen Entwicklung 2006 eingestellt wurde, da der

ursprungliche Entwickler Gerald Combs die Firma wechselte, wodurch das Tool nurdurch eine Namensanderung weiterbestehen konnte, wodurch dann auf die EthereralVersion 0.99 die Wireshark Version 0.99.1 folgte, das Entwicklerteam blieb großten-teils erhalten. Die Variante ohne GUI nennt sich

”TShark“ und ist ebenfalls frei und

quelloffen. Diese eignet sich vor allem fur den Einsatz auf Servern.Wireshark benutzt zum Aufzeichnen

”pcap“ (eine API zum Mitschneiden von Netz-

2 1.2. WIRESHARK

werkverkehr), entwickelt von den”tcpdump“-Entwicklern (einer Software zum Mit-

schneiden von Netzwerkverkehr), und ist dementsprechend an von dieser Bibliothekunterstutzen Netzwerktypen gebunden: Dazu zahlen unter anderem Ethernet undPPP, aber auch viele andere, ferner nutzen viele andere Netzwerkanalyse-Tools dieseBibliothek, z.B. iftop (top fur Netzwerkverkehr) oder nmap (Portscanner).Wireshark selbst bietet viele Funktionen, darunter auch welche die uber das Mit-schneiden von Netzwerkverkehr hinaus gehen, dazu zahlt die Moglichkeit des Auf-zeichnens von USB Traffic. Außerdem gibt es ein Plugin-System so dass auch neueProtokolle eingepflegt werden konnen. Um die Daten fur Menschen besser verstand-

Abbildung 1.1: Einstellungen

lich zu machen fugt Wireshark jedem Paket einige kontextabhangige Metainforma-tionen hinzu, sofern die dafur notigen Informationen vorher schon mitgeschnittenwurden, damit man in dieser Fulle von Daten den Uberblick behalt konnen Filter-regeln festgelegt werden. Diese sind recht simpel zu benutzen: Will man z.B. nurPakete die die IP-Adresse

”1.2.3.4“ enthalten analysieren, so ware der Filter-String

schlicht:”ip.addr == 1.2.3.4“. Hierbei kann man sowohl den Vergleich mit

”==“ ma-

chen als auch mit”eq“. Sollte man auf Ungleichheit prufen ist die Semantik der

Ausdrucke nicht ganz intuitiv, denn hier wird die Aussage folgendermaßen interpre-tiert:

”enthalt ein Feld mit einem Wert ungleich“, d.h. sobald ein Feld einen Wert

enthalt der sich von dem spezifiziertem unterscheidet kommt das Paket in die Er-gebnisse. Fur diese Filterregeln gibt es aber in Wireshark einen Dialog, so dass selbstohne Vorwissen grundlegende Filter leicht moglich sind.Im Falle von VoIP kann Wireshark, sofern die Encodierung unterstutzt wird, sogarlive wiedergeben, was ubertragen wird.

KAPITEL 1. EINLEITUNG 3

1.3 Beispiel

In diesem Beispiel werden die Login-Daten eines FTP-Zugangs mithilfe von Wires-hark ausgelesen. FTP ohne Verschlusselung sollte nicht mehr zur Datenubetragunggenutzt werden, bessere Alternativen sind hier FTPS, FTP uber SSL, oder SSH. Indiesem Beispiel wird die Tatsache ausgenutzt, dass bei FTP der Login im Klartextin den Paketen steht. Zuerst offnet man Wireshark und wahlt das Netzwerkinterfaceaus, uber das Wireshark die Pakete aufzeichnet. In einem realen Angriffszenario hat-

Abbildung 1.2: Wireshark-Oberflache

te man mithilfe anderer Tools erstmal dafur gesorgt, dass samtlicher Datenverkehruber den eigenen Rechner fließt; da hier aber der Zielrechner zugleich der Rechner ist,auf dem der Sniffer lauft, sind keine weiteren Schritte notwendig. Nach betatigungdes

”Start“-Knopfs beginnt Wireshark die Pakete, die mitgehort werden, aufzulis-

ten. Da in diesem Beispiel von vornherein klar ist, dass ein FTP-Login wahrenddes Sniffens stattfindet, kann der Filter direkt auf

”FTP“ gesetzt werden. Alter-

nativ kann auch der TCP-Port 21 spezifiziert werden:”tcp.port==21“. Fur andere

Protokolle gibt es auch Abkurzungen, z.B. fur ICMP (Internet Control MessageProtocol):

”ICMP“. Nun konnen ohne weiteres die Logindaten ausgelesen werden, in

diesem Fall ware das der User:”u70445441“ mit dem Passwort:

”123456789“. In Paket

Nr. 57 steht der Benutzername und in Paket Nr. 60 das Passwort. Fur viele Proto-kolle ist dieses Vorgehen ahnlich einfach. Bei E-Mail wurde trotz Verfugbarkeit lange

4 1.3. BEISPIEL

Abbildung 1.3: Gefilterte Pakete

keine Verschlusselung benutzt, genau so bei Logins auf Webseiten, die keine Verbin-dungen mit SSL unterstutzten. Inzwischen hat sich diese Situation aber geandert,am Ende wird dies naher beschrieben.

KAPITEL 2. SNIFFER GENERELL 5

2 Sniffer generell

Im Grunde macht ein Sniffer nichts anderes, als samtlichen Traffic, der am Netzwer-kinterface ankommt, mitzulesen und diesen zu speichern, im besten Fall naturlichauch noch fur den Nutzer ubersichtlich aufzubereiten.Damit allerdings nicht nur die an den Sniffer adressierten Pakete empfangen wer-den, sondern alle, muss das Netzwerkinterface zuerst in den

”Promiscous Mode“. Im

”Non-Promiscous Mode“ schneidet der Sniffer nur den eigenen Netzwerkverkehr mit,

was unter anderem zur Fehlererkennung nutzlich sein kann. Z.B. wenn Pakete an diefalsche Addresse verschickt werden oder um fragwurdigen Netzwerkverkehr einigerProgramme zu prufen.

2.1 Funktion

Zuerst muss ein Socket erstellt werden, fur den bei dem Interface das”Promiscous“-

Flag gesetzt ist. Um nun tatsachlich Daten zu”sniffen“ benotigt man noch Kennt-

nisse uber das eingesetzte Protokoll, unter Linux gibt es dafur z.B. die Header”li-

nux/ip.h“ und”linux/tcp.h“, die entsprechend fur IP und TCP sind. Da man jetzt

weiß, wie das Paket aufgebaut ist, kann man die einzelnen Bestandteile analysie-ren. Angenommen es wird in einem LAN gesnifft, dann sind die ersten 14 Byte derEthernet-Header, die nachsten 20 Byte sind der IP-Header, auf den dann 20 ByteTCP-Header folgen. Im besten Fall werden jetzt noch aus dem Kontext der Ver-bindungen Schlusse auf andere Pakete gezogen, so dass z.B. graphisch dargestelltwerden kann, zu welcher Verbindung ein TCP-FIN gehort, oder auch das fur denMenschen lesbare Darstellen von ubertragenen Nutzdaten.

2.2 Netzwerkeinfluss

Den großten Einfluss auf die Art, wie ein Sniffer betrieben werden kann haben vor-allem Switches und Hubs. Werden Hubs eingesetzt ist die Situation sehr einfach,da nur das Netzwerkinterface in den Promiscous-Mode gesetzt werden muss undschon ist samtlicher Traffic lesbar (naturlich nicht zwingend uber das Subnetz indem man sich bewegt, hinaus). Bei dem Einsatz von Switches, die Pakete nur anden tatsachlichen Empfanger ubertragen, kann man sich allerdings einiger Tricksbedienen. Einer davon ist das sog. ARP-Spoofing, hierbei werden den beiden Uber-tragungsstellen falsche Informationen uber ARP mitgeteilt, so dass der Sniffer einePosition als Man-In-The-Middle (MITM) einnimmt. Dazu wird eine ARP-Reply anden Host A gesendet, in der steht, der Sniffer sei B und an Host B eine ARP-Replyin der steht, der Sniffer sei A, da der Sniffer weiß, an wen das Paket geschickt werdensoll, ist fur beide Seiten erstmal nicht ersichtlich, dass eine MITM-Attacke stattfand.

6 2.2. NETZWERKEINFLUSS

Nun kann der Sniffer wie gewohnt den Netzwerkverkehr mitlesen. Allerdings kanndies unterbunden werden, da dem Switch auffallen kann, dass Pakete an eine andereals die ursprungliche vorgesehene Adresse verschickt werden. Dies kann allerdingsdurch das sog. MAC-Flooding umgangen werden: Hierbei werden massenhaft Da-tenpakete eingeschleust, die je eine andere MAC-Adresse enthalten. Da der Switchnun jede MAC-Adresse speichern muss, ist fruher oder spater der Speicher voll. Indiesem Fall wird eine Art

”Fallback“ aktiviert und der Switch verhalt sich wie ein

Hub, womit der Sniffer wieder ungehindert seine Arbeit verrichten kann. Daruberhinaus konnen noch DNS-Eintrage verfalscht werden oder DHCP gestort werden.Im letzteren Fall wird ahnlich dem MAC-Flooding jede Adresse reserviert, wodurchder DHCP-Server im schlimmsten Fall weitere Anfragen nicht erfullen kann und derSniffer wieder falsche Daten ins Netzwerk bringt.Da der Einsatz eines Sniffers aber unter anderem durch Netzwerkadministratorengewollt sein kann, gibt es auch sog. Monitoring-Ports: Hierbei sendet der Switch ei-ne Kopie jedes ankommenden Pakets an einen bestimmten Port, wodurch der Snifferdort ungehindert arbeiten kann.

KAPITEL 3. ANWENDUNGSFALLE 7

3 Anwendungsfalle

Wie schon vorher angeschnitten gibt es eine Vielzahl von Anwendungsfallen fur Snif-fer, die sowohl bosartiger Natur sein konnen, als auch der Analyse dienen konnen. ImFolgenden werden beispielhaft einige erklart, langst nicht alle, da jede Verbindungzwischen zwei Rechnern, wenn richtig interpretiert, interessant sein kann. Unabhan-gig vom tatsachlichen Inhalt der Pakete konnen Schlusse auf die Nutzer gezogenwerden, selbst wenn der Inhalt verschlusselt ist. Die Header mussen unverschlusseltsein, damit Router und Switches etwas mit den Paketen anfangen konnen. Wenneine Webseite fur verschiedene Services verschiedene Subdomains benutzt, je mehrSubdomains fur nur einen Service genutzt werden umso mehr lasst sich daraus aufNutzerverhalten schließen. Viele große Webseiten verwenden verschiedene Subdo-mains, unter anderem Facebook, wo sich dann gezielt feststellen lasst, dass geradeein Bild betrachtet wird oder der Chat benutzt wird. Das ganze geht naturlich auchfur Webseiten, die nur mit einer Domain betrieben werden. Wird z.B. oft wikileaksbesucht, kann man daraus schließen, dass der Nutzer politisch interessiert ist.

3.1 Offenes WLAN

Ein solches WLAN ist der Worst-Case fur den Benutzer, da hier eine große Band-breite an Attacken benutzt werden kann, um Schaden anzurichten. Gerade dadurch,dass der Netzwerkverkehr prinzipiell nicht verschlusselt wird und in vielen offenenNetzen eine Vielzahl an Nutzern gleichzeitig sind, das ganze wird verstarkt dadurch,dass fast jeder ein Smartphone in der Tasche hat, das gezielt auf offene WLANshinweist und naturlich jeder erstmal an kostenloses Internet denkt, passt man hiernicht auf, werden Nachrichten im Klartext ubertragen, was einem Sniffer in die Kar-ten spielt. Bei schwach gesicherten WLANs, z.B. bei der Verwendung von WEP, dasrelativ schnell geknackt werden kann, bestehen die gleichen Gefahren. Ein großerVorteil fur den Sniffer ist hier einfach die breite Verfugbarkeit von WLAN und dieTatsache, dass es kabellos ist, wodurch die Hardware mit der

”gesnifft“ wird raumlich

weit vom Ziel entfernt sein kann.

8 3.2. MITSCHNEIDEN VON LOGINS

3.2 Mitschneiden von Logins

Trotz der inzwischen relativ haufigen Verbreitung von Verschlusselungstechnikenund der gesteigerten Aufmerksamkeit des normalen Internetnutzers gibt es erschre-ckend viele Webseiten, die eine Verschlusselung nicht erzwingen, wodurch das Aus-lesen von Logindaten sehr leicht mithilfe eines Sniffers moglich ist. Diese Tatsachegilt ebenfalls fur Instant Messaging und E-Mail, bei letzterem wird vor allem ausKompatibilitatsgrunden auf gute bzw. ganzlich Verschlusselung verzichtet.

3.3 Aufspuren anderer Tools

Fur Administratoren ist der Gebrauch von Sniffern als”Verteidigung“ gegen boswil-

lige Angriffe sehr interessant. Aus dem Traffic lasst sich herausfinden ob ein Systemmit einem Trojaner bestuck ist: In diesem Fall wurden haufige Verbindungen zueinem bestimmten Host mit einem ungewohnlichen Port auffallen; außerdem bie-ten viele Trojaner die Moglichkeit, ein System komplett zu steuern oder periodischScreenshots an den Host zu senden, was sich dementsprechend im Traffic wiederspie-gelt. Potentielle Sniffer lassen sich ebenfalls mit einem Sniffer aufspuren, da in derRegel der Einsatz eines solchen Tools nicht ohne weiteres moglich ist, fallt hier eineManipulation des Datenverkehrs auf: Wenn z.B. ein bestimmter Rechner im Netz-werk ein MAC-Flooding versucht oder sich ein Netzwerkinterface im Promiscuous-Mode befindet werden Pakete falschlicherweise angenommen.

3.4 Verkehr von Anti-Viren-Software

Eigentlich soll Anti-Viren-Software das System sicherer machen. Wenn der Entwick-ler hierbei allerdings nicht aufpasst ergeben sich fatale Moglichkeiten fur Angreifer,da solche Software oft mit administrativen Rechten ausgefuhrt werden muss. Mit-hilfe eines Sniffers lasst sich nicht nur herausfinden, welche Software benutzt wird,um diese gezielt auszuschalten, sondern auch wie diese funktioniert. Ein zentra-ler Bestandteil von Anti-Viren-Software ist eine aktuelle Datenbank fur Signaturender Schadsoftware. Stellt man mithilfe eines Sniffers fest, dass diese Updates oh-ne Prufung installiert werden, lasst sich unter Umstanden die Anti-Viren-Softwaregroßtenteils nutzlos machen, da es dann nur noch einer etwas durchdachten Mani-pulation der Updates bedarf und schon ist es leicht moglich weitere Schadsoftwarezu installieren.

3.5 Identifizierung von Netzwerkproblemen

Im besten Fall stellt der Sniffer die Pakete ubersichtlich dar und fugt Metainforma-tionen sinnvoll zur Anzeige hinzu: In so einem Fall lassen sich sehr gut Probleme imNetzwerk analysieren. Hier gibt es ein breites Feld an moglichen Anwendungsgebie-ten, so kann mit dem Sniffer erkannt werden ob DNS-Server nicht richtig funktio-nieren oder ob im Netzwerk ungesicherte Kommunikation stattfindet, z.B. bei derNutzung von FTP bei welcher Nutzername und Passwort im Klartext ubertragenwerden.

KAPITEL 4. WEITERFUHRENDE INFORMATIONEN 9

4 Weiterfuhrende Informationen

Zum Schluss noch ein paar Informationen zu der Rechtslage: Wann ein Sniffer ein-gesetzt werden darf, wen man alles

”abhoren“ darf und was man in offentlichen

Netzwerken darf. Außerdem gibt es naturlich Methoden, um es einem Sniffer nichtganz leicht zu machen.

4.1 Rechtliches

• Im eigenen Netzwerk darf man prinzipiell tun was man will, solange alle Nutzerdamit einverstanden sind, was in der Regel kein Problem ist, da man sich imZweifel ein eigenes Subnetz fur das

”Uben“ macht. Grundsatzlich gelten aber

auch hier Datenschutzbestimmungen, d.h. man sollte die so erlangten Datennicht ohne Zustimmung der Betroffenen weitergeben oder veroffentlichen.

• In einem offentlichen Netzwerk ist es prinzipiell nicht erlaubt einen Sniffer zubetreiben, außer der Betreiber des Netzwerks erlaubt dies. Aber auch danngelten die Datenschutzbestimmungen, wodurch die Daten die dabei gespei-chert wurden weder verbreitet noch veroffentlicht werden durfen, außer dieBetroffenen erlauben dies. Ebenfalls von Bedeutung ist hier das Telekommu-nikationsgesetz, das unbefugten das Abhoren, nach §148 Absatz 1, jeglicherNachrichten verbietet. Hier sind

”jegliche Nachrichten“ allerdings auch nicht

genauer eingeschrankt.

• Fur die Analyse großerer Netzwerkinfrastrukturen bietet sich ein Sniffer be-sonders an, aber auch hier gilt wieder der Datenschutz und in jedem Unter-nehmen werden andere Regelungen vorgeschrieben. Oft ist es so, dass sobaldes um personenbezogene Daten geht der Personalrat zustimmen muss, da aberfur einen Administrator die in Paketen enthaltenen Daten selten von Interessesind, und fur Analysezwecke ist es erstmal nicht verboten, da man in diesemFall die explizite Erlaubnis des Betreibers hat solche Tools zu benutzen.

Grundsatzlich ist Sniffen gerade dann ein heikles Thema, wenn es um personenbezo-gene Daten geht. Fur Analysezwecke ist mit Erlaubnis des Betreibers des Netzwerksjedoch ein Sniffer rechtlich unbedenklich.

4.2 Schutzmaßnahmen gegen Sniffing

Trotz der Vielzahl an Moglichkeiten, die es jemandem ermoglichen den Datenver-kehr zu Sniffen, gibt es einige Methoden, um dies demjenigen zu erschweren. Allenvorangestellt ist Verschlusselung: Inzwischen bieten viele Services ihre Verbindungen

10 4.3. FAZIT

verschlusselt an, vorallem weil das Interesse der Nutzer an sicheren Verbindungengestiegen ist. So bietet jeder vernunftige E-Mail-Anbieter verschlusselte Anmeldun-gen und Abfragen an, genau so benutzen viele Webseiten inzwischen HTTPS. Inoffenen WLANs gibt es die Moglichkeit, mit VPN oder SSH verschlusselte Tunnelaufzubauen und so zumindest in dem WLAN selbst relativ sicher zu sein. Allerdingssollte auch hier auf das Verwenden zeitgemaßer Verschlusselung geachtet werden.Lange Zeit ging man davon aus, WEP sei sicher, bis sich herausstellte, dass es inwenigen Minuten gebrochen war, ahnlich bei RC4, einer Stromverschlusselung diehaufig fur HTTPS benutzt wurde, die lange als sicher galt, aber inzwischen nichtmehr empfohlen wird. Auf aktuelle Software sollte auch geachtet werden, da Sicher-heitslucken oft eine MITM-Attacke ermoglichen. Wird so eine Lucke bekannt ist oftsehr schnell eine gefixte Version verfugbar und es genugt ein simples Update.Mithilfe von Tools wie sniffdet haben Administratoren die Moglichkeit, Sniffer imeigenen Netzwerk aufzuspuren. Sniffdet ist im Prinzip selbst ein Sniffer und testetden Netzwerkverkehr auf Anomalien, wie ein Rechner der mithilfe von ARP-Spoofingversucht als MITM zu fungieren, oder indem Pakete mit falschen Informationen ver-schickt werden, reagiert nun ein Rechner auf so ein Paket und nimmt es an, istdas ein gutes Zeichen, dass das Netzwerkinterface im Promiscous-Mode lauft. Hatman als Administrator lokalen Zugriff auf die Netzwerkinterfaces der verschiedenenRechner, so kann direkt gepruft werden, ob ein Interface im Promiscous-Mode lauft.Wogegen man sich aber nicht, bzw. aktuell nicht, wehren kann, sind die Metadatendie aus Verbindungen hervorgehen, da unabhangig vom Inhalt ein Paket immer dieQuelle und das Ziel unverschlusselt enthalt, damit es geroutet werden kann.

4.3 Fazit

Mit dem breiten Spektrum an Moglichkeiten die ein Sniffer bietet, sollte jeder derentweder beruflich mit Netzwerken, oder als interessierter Anwender, viel mit die-sen arbeitet, Sniffer kennengelernt haben. Mit Wireshark ist ein sehr intuitiv zubedienender Sniffer kostenlos fur jeden verfugbar. Diese Tatsache ist vor allem furdenjenigen Interessant der sich gerne intensiver mit Themen wie Datenschutz aus-einandersetzt, da sehr leicht uberprufbar ist, welche und wie Daten in das Internetgesendet und empfangen werden. Aus meiner Sicht ist ein Sniffer das ideale Werkzeugum sich mit den Gegebenheiten des Netzwerkverkehrs vertraut zu machen, insbe-sondere wegen der großen Verfugbarkeit an netzwerkfahigen Geraten. Aber auchaufgrund des immer starker wachsenden Internetverkehrs sind Sniffer ein wichtigesWerkzeug um diese große Infrastruktur zu analysieren.

ABBILDUNGSVERZEICHNIS 11

Abbildungsverzeichnis

1.1 Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.2 Wireshark-Oberflache . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.3 Gefilterte Pakete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

12 ABBILDUNGSVERZEICHNIS

LITERATURVERZEICHNIS 13

Literaturverzeichnis

[AdSRJ] Milton Soares Filho Ademar de Souza Reis Jr. sniffdet - remote snifferdetector for linux.

[ARC02] S. Ansari, S.G. Rajeev, and H.S. Chandrashekar. Packet sniffing: a briefintroduction. Potentials, IEEE, 21(5):17–19, Dec 2002.

[CG95] B. Callaghan and R. Gilligan. Snoop Version 2 Packet Capture File For-mat. RFC 1761 (Informational), February 1995.

[Foua] Wireshark Foundation. Wireshark · frequently asked questions.

[Foub] Wireshark Foundation. Wireshark users guide.

[Plu82] D. Plummer. Ethernet Address Resolution Protocol: Or Converting Net-work Protocol Addresses to 48.bit Ethernet Address for Transmission onEthernet Hardware. RFC 826 (Standard), November 1982. Updated byRFCs 5227, 5494.

[QZIS10] M.A. Qadeer, M. Zahid, A. Iqbal, and M.R. Siddiqui. Network trafficanalysis and intrusion detection using packet sniffer. In CommunicationSoftware and Networks, 2010. ICCSN ’10. Second International Confe-rence on, pages 313–317, Feb 2010.

[Sto] Christian Stobitzer. Sniffer: Kleine nutzliche viecher.