Video: Daten in lokalen Netzwerken abfangen (Sniffing) [Teil 2- wichtige Theorie] 2025
Ehemals Ethereal, Wireshark ist ein Netzwerkprotokollanalysator, ein Tool, das die Details des Netzwerkverkehrs. Vor dem Vorherrschen der Netzwerkumschaltung könnte ein solches Tool den gesamten Datenverkehr anzeigen, der in Ihrem Netzwerk fließt.
In geswitchten Umgebungen sehen Sie nur den Datenverkehr für Ihren Computer oder Broadcast-Datenverkehr im Netzwerk, es sei denn, Sie haben einen Überwachungsport auf dem Netzwerkswitch aktiviert, sodass Sie den gesamten Datenverkehr auf diesem Switch sehen können.
Viele Produkte sind in dieser Kategorie - einige, die Sie kaufen können, und einige, die kostenlos sind. Als kostenlose Produkte ist Wireshark ein ziemlich umfangreiches Produkt und kann von Wireshark heruntergeladen werden. Wireshark ist unter der GNU General Public License (GPL) kostenlos und steht für Windows, Mac OS X und Linux zur Verfügung. Linux-Benutzer finden diese Anwendung normalerweise standardmäßig in ihrer Distribution.
Andere Produkte, die Sie ebenfalls in Betracht ziehen können, sind:
-
Microsoft Netzwerkmonitor von Microsoft
-
TCPDump von Tcpdump
-
Capsa Network Analyzer von Colasoft
-
ClearSight Analyzer von Fluke Networks
Netzwerkprotokoll-Analysatoren werden auch Netzwerk-Sniffer genannt.. Jedes dieser Tools erfasst Daten aus Ihrem Netzwerk, unabhängig vom Hersteller Ihrer Router oder Switches. Natürlich funktionieren sie auch hervorragend mit Cisco Netzwerkgeräten.
Mit Wireshark können Sie den Netzwerkverkehr in Ihrem Netzwerk erfassen und analysieren, was für die Fehlerbehebung im Netzwerk von entscheidender Bedeutung sein kann. Ein Beispiel bezieht sich auf DHCP-Server (Dynamic Host Configuration Protocol) in Ihrem Netzwerk. Normalerweise haben Sie nur einen DHCP-Server, aber manchmal wird ein Netzwerkbenutzer einen Rogue-DHCP-Server (nicht autorisiert und unbekannt) in Ihrem Netzwerk installieren.
Dieser Rogue-DHCP-Server kann dann anfangen, Negative Acknowledgements (NACKs) - eine Verweigerung - für alle DHCP-Anfragen in Ihrem Netzwerk auszugeben. Sie könnten Stunden damit verbringen, dieses Problem zu beheben, aber innerhalb weniger Sekunden nach dem Starten einer Netzwerkaufnahme (zum Erfassen und Anzeigen von Datenverkehr in Ihrem Netzwerk) haben Sie das Problem und die IP-Adresse des fehlerhaften Systems (der Rogue-DHCP-Server) leicht identifiziert.
Obwohl Sie die erfassten Daten für andere Zwecke verwenden können, z. B. zum Anzeigen von Telnet-Sitzungen oder anderen Klartextdaten, ist Wireshark in der Lage zu sehen, welche Systeme sprechen, wer am meisten Verkehr sendet und wie Netzwerkprobleme von einem sehr niedriges Niveau.
