Wireshark ist eine Open Source Software unter der GNU General Public License, mit der sich der Datenverkehr auf unterschiedlichen Kommunikationsschnittstellen beobachten, aufzeichnen und analysieren lässt. Die Software ist für die gängigen Betriebssysteme wie Windows, Linux oder MacOS verfügbar.
Welche Kommunikationsschnittstellen lassen sich analysieren?
Wireshark kann den Datenverkehr auf Ethernet-, USB- oder WLAN-Schnittstellen mitlesen. Die primären Einsatzgebiete sind das Netzwerk-Monitoring, die Fehlersuche sowie Fehleranalyse und die IT-Sicherheitsüberwachung. Und ja, auch für Hacker ist es ein beliebtes Tool.
Eine kurze Zeitreise zu den Anfängen von Wireshark
In den 90er Jahren arbeitete Gerald Combs, ein Informatik-Absolvent der University of Missouri-Kansas City, für einen kleinen Internet-Dienstanbieter. Die kommerziellen Produkte zur Protokollanalyse waren damals relativ teuer und liefen nicht auf den Hauptplattformen Solaris und Linux, welches das Unternehmen im Einsatz hatte. Also beschloss der junge Gerald, selbst eine Anwendung dafür zu schreiben und fing mit der Entwicklung von Ethereal an. Seine erste Version wurde gegen 1998 veröffentlicht.
Im Mai 2006 nahm Combs eine Stelle bei CACE-Technologies an. Er war der Urheber für den größeren Teil des Ethereal-Quellcodes und der Rest des Codes war ohnehin unter GNU GPL bereits Open Source, so dass er den Inhalt des Ethereal-Subversion-Repository als Grundlage für seine neue Repository verwenden konnte. Nachdem er zeitgleich auch Markeninhaber von Ethereal war, änderte er den Namen kurzerhand in Wireshark. Im Jahr 2010 kaufte Riverbed Technology CACE auf und übernahm die Rolle des Hauptsponsors von Wireshark. Die Entwicklung von Ethereal wurde kurze Zeit später eingestellt und in einem Sicherheitshinweis von Ethereal wurde der Wechsel zu Wireshark empfohlen. Wireshark hat im Laufe der Jahre mehrere Branchenauszeichnungen abgeräumt. Meiner Meinung nach ist es immer noch eines der besseren Paket Sniffer überhaupt. Vor einigen Tagen wurde ich auch auf eine „neue“ Repo auf GitHub aufmerksam gemacht, die seit einem Jahr entwickelt wird und in den letzten Tagen eine GUI (Graphical User Interface bzw. Grafische Benutzeroberfläche) erhalten hat. Ich werde es mir anschauen und gegebenenfalls einen Beitrag dazu schreiben.
Combs pflegt weiterhin die Repo von Wireshark und veröffentlicht immer wieder neue Updates der Software. Auf der Produktwebsite sind fast 2000 weitere Autoren aufgelistet, die ihren Beitrag leisten und geleistet haben.
Was macht Wireshark eigentlich?
Wireshark erkennt als paketorientierter Sniffer viele verschiedene Protokolle und visualisiert die wichtigsten Informationen der Protokollheader übersichtlich und leicht lesbar. Für das Mitlesen der Daten nutzt Wireshark Zusatzprogramme wie WinPcap, usbpcap oder pcap. Zur veranschaulichten Darstellung der aufgezeichneten Daten sind Verbindungsübersichten, statistische Informationen zum Datenfluss und Ablaufdiagramme von Kommunikationsverbindungen erstellbar. Darüber hinaus sind binäre Daten aus dem aufgezeichneten Datenstrom extrahierbar, sie sich im Anschluss konvertieren lassen.
Was ist WinPcap
WinPcap ist eine als Freeware vertriebene Programmbibliothek, bestehend aus einem Treiber, der Hardware-nahen Zugriff auf die Netzwerkkarte ermöglicht und einer Sammlung von Werkzeugen, die den bequemen Zugriff auf die einzelnen für Netzwerke relevanten Schichten des OSI-Modells bieten. Das OSI-Modell hilft im Grunde genommen Herstellern von Netzwerkgeräten und Netzwerksoftware: Geräte und Software zu entwickeln, die mit Produkten anderer Hersteller kommunizieren können, was eine offene Interoperabilität ermöglicht. Im Laufe der letzten Jahre hat sich Wireshark als Standard-Werkzeug für Netzwerkanalysen etabliert. Auf den Download-Seiten von Wireshark sind Quellpakete und Installationsprogramme für Unix-, Windows- und MacOS-Systeme zu finden. Installationsassistenten für Windows erleichtern die Installation.
Was ist USBPcap?
USBPcap ist ein Open-Source-USB-Sniffer für Windows.
Was ist pcap?
Im Bereich der Computernetzwerkverwaltung ist pcap eine Anwendungsprogrammierschnittstelle (API) zur Erfassung des Netzverkehrs.
Anwendungsbereiche von Wireshark
Die technischen Möglichkeiten der Software sind sehr bereitgefächert. Die aufgezeichneten Daten lassen sich in Echtzeit oder auch in Form von einzelnen Paketen mit leicht lesbaren Headerinformationen darstellen. Über verschiedene Protokollfilter werden die Daten aufbereitet. Auch der tatsächliche Inhalt der Datenpakete ist auswertbar. Am häufigsten wird der Sniffer für die Protokoll-Analyse auf den Schnittstellen Ethernet und im WLAN für Netzwerkprotokolle der TCP/IP-Familie eingesetzt.
Darüber hinaus ist das Tool wie bereits erwähnt in der Lage, Datenverkehr auf anderen Schnittstellen wie Bluetooth oder USB aufzuzeichnen und auszuwerten. Voraussetzung für das Mitlesen auf der jeweiligen Schnittstelle ist die Installation eines entsprechenden Capture-Programmpakets wie WinPcap sowie die Zugriffsberechtigung des Benutzers auf die jeweiligen Schnittstellen.
Um sich die Informationen anzeigen zu lassen wird von Wireshark eine Extraktion initiiert, der aus diversen Protokollen Meta-Informationen aus dem Kontext des Datenflusses zieht. Man kann auch eigene Module und Filter für bestimmte Netzwerkprotokolle erstellen.
Wird kein Filter verwendet, zeichnet Wireshark den gesamten Datenverkehr der Schnittstelle auf. Um die Datenmenge zu reduzieren und sich auf das zu analysierende Netzwerkprotokoll zu konzentrieren, können Capture-Filter eingesetzt werden. Mit einem Capture-Filter lassen sich IP-Adressen (auch Bereiche), Protokolle, Protokollnachrichten und viele weitere Parameter einstellen. Ein Filter mit einer vorgegebenen IP-Adresse beschränkt den aufgezeichneten Verkehr auf die Pakete von und zu einzelnen Netzwerkkomponenten.
Über die Stream-Verfolgung ist es möglich, gezielt einzelne TCP-Streams aufzuzeichnen und zu analysieren. Weitere wichtige Features von Wireshark sind die Statistik-Funktionen. Sie erlauben das Erstellen von Statistiken zum Datenverkehr hinsichtlich Parameter wie Paketlängen, Typen von Netzwerkprotokollen, Verbindungsendpunkten, Antwortzeiten, Kommunikationsbeziehungen oder IP-Adressen. Funktionen zu UDP Multicast-Streams, Signal-Traffic (SIP) und Voice-Traffic (RTP) analysieren den VoIP-Verkehr auf einer Netzwerkschnittstelle relativ präzise und tiefgehend. Mit wenigen Klicks sind die verschiedenen RTP-Streams herausgefiltert und grafisch dargestellt. Per Statistikfunktionen sind die für die Qualität der VoIP-Kommunikation wesentliche Merkmale wie Jitter oder Delay extrahierbar und zu visualisieren.
Einsatz von Wireshark in geswitchten Netzwerken
Wireshark kann nur den Datenverkehr einer bestimmten Schnittstelle des Rechners, auf dem die Software installiert ist, mitlesen. In einer geswitchten Umgebung, sind können lediglich die vom Rechner gesendeten oder empfangenen Pakete sowie die an alle adressierten Broadcast-Pakete protokolliert werden. Nur in einem unverschlüsselten WLAN oder am Port eines Hubs ist der gesamte Netzwerkverkehr analysierbar.
Soll in einer geswitchten Umgebung der Verkehr eines bestimmten Rechners mitgeschnitten und analysiert werden, empfiehlt sich die Verwendung der so genannten Mirror-Funktion eines Switches. Damit kann man den Netzwerkverkehr eines definierten Switchports auf einen anderen Port spiegeln. An diesen kann dann ein weiterer Rechner mit installiertem Netzwerk-Sniffer angeschlossen werden, mit dem sich der Datenverkehr des gespiegelten Ports aufzeichnen und auswerten lässt.
Wireshark als Analysetool
Man kann mit Wireshark nicht nur den eigens ermittelten Datenverkehr analysieren. Es ist auch möglich, Capture-Daten verschiedener Formate anderer LAN-Analyse-Tools oder oder Netzkomponenten einzulesen und auszuwerten. Zahlreiche Geräte wie Router oder Switches verschiedener Hersteller bieten die Möglichkeit an, den Datenverkehr in einem für Wireshark lesbaren Format aufzuzeichnen. Dazu zählen beispielsweise die in Deutschland sehr beliebten Fritzbox-Router des Herstellers AVM.
Wireshark, um Schwachstellen der IT-Sicherheit zu ermitteln
Ein wichtiges Einsatzgebiet von Wireshark ist auch das Umfeld der Netzwerk-Sicherheit. Man kann damit im Grunde genommen die IT-Sicherheit überprüfen. Schwachstellen lassen sich aufspüren und verdächtiger Datenverkehr identifizieren. So sind sämtliche Kommunikationspartner einer bestimmten Netzwerk-Node anhand der IP-Adressen identifizierbar. Verdächtige Pakete zu oder von unbekannten IP-Adressen sind schnell bestimmt. Kommt die Software an zentrale Schnittstellen eines Netzwerks wie beispielsweise auf dem Interface zum Internetanschluss oder an der WAN-Schnittstelle eines Routers zum Einsatz, erfasst die Software sämtliche Ein- und Ausgänge des Datenverkehrs. So ziemlich alles ist auswertbar und identifizierbar.
Gesetzliche und datenschutzrechtliche Aspekte zum Einsatz von Wireshark
Beim Einsatz von Wireshark sind einige gesetzliche Aspekte zu beachten. In Deutschland ist es verboten, fremde Netzwerkverbindungen mitzulesen und aufzuzeichnen. Während die Verwendung des Netzwerkanalysators im eigenen Netz in der Regel unproblematisch ist, muss für den Einsatz des Tools in fremden Netzwerkumgebungen eine Erlaubnis eingeholt werden. Auch die datenschutzrechtlichen Bestimmungen sind bei der Aufzeichnung, Speicherung und Weitergabe von Mitschnitten unbedingt einzuhalten. Hierzu macht es meistens Sinn, einen Datenschutzbeauftragten bzw. Juristen einzuschalten.
Fazit
Sniffing macht im Interesse der Sicherheit immer Sinn und ist auch notwendig. Einerseits um Fehler im Netzwerk aufzuspüren und andererseits, um Hacker oder Schadsoftware aufzuspüren. Man muss also keine Unsummen bezahlen, um sich, das Eigene- oder das Firmennetzwerk zu schützen. Manchmal reicht auch das richtige Werkzeug mit dem richtigen Anwender.
Und nicht vergessen! Sniffing zum Zwecke der Datenausspähung ist strafbar!