Eigenen Netzwerk-Traffic mit Wireshark analysieren
Dieses Programm brauchen Sie: Wireshark, kostenlos, für Windows XP, Vista, 7, 8, auf Heft-DVD und Download unter https://www.wireshark.org
WAS IN IHREM NETZWERK durch die Leitungen rauscht beziehungsweise per Funk übertragen wird, ist normalerweise nicht sichtbar. Das machen sich Hacker zunutze und lassen ihre Spyware unbemerkt über das Internet kommunizieren. Aber auch viele Fehlkonfigurationen und Engpässe in Ihrem LAN ließen sich erkennen, wenn man den Netzwerkverkehr kontrollieren könnte. Mit Wireshark gibt es eine mächtige, kostenlose Software, die genau das ermöglicht: die Überwachung und Analyse der Datenpakete, die in einem Netz übertragen werden. Normalerweise kontrolliert sie nur den NetzwerkTraffic des PCs, auf dem sie installiert ist. In Zusammenarbeit mit der AVM Fritzbox allerdings kann das Tool sämtliche Pakete analysieren, die zwischen Ihrem Netzwerk und dem Internet ausgetauscht werden. So geht’s: Die Fritzbox hält zu diesem Zweck eine versteckte Funktion bereit. Um sie zu erreichen, rufen Sie in Ihrem Browser die Adresse http:// fritz. box/ html/ capture.html auf. Bei einigen FritzboxModellen funktioniert auch der Link http://fritz.box/cgi-bin/ webcm?getpage=../html/capture. html. Nachdem Sie das Passwort für die Box eingegeben haben, erreichen Sie die Seite „Paketmitschnitt“. Dort können Sie entweder die Protokollierung des Verkehrs über eine bestimmte Schnittstelle einleiten oder durch einen Klick auf die Schaltfläche „Start“neben „Internetverbindung“beziehungsweise „1. Internetverbindung“den kompletten Traffic mitschneiden. Achtung: Die dabei entstehende Datei kann sehr groß werden! Aktivieren Sie den Mitschnitt daher nach Möglichkeit nur für einige Sekunden oder Minuten. Sobald Sie den Vorgang mit „Stopp“abbrechen, erzeugt die Fritzbox eine Datei mit der Endung ETH, die automatisch im DownloadOrdner des Browsers gespeichert wird. Installieren Sie nun Wireshark und rufen Sie es auf. Tipp: Wenn die Software beim Start hängenbleibt, überprüfen Sie, ob bei Ihnen die aktuelle, stabile Version der Programmbibliothek Winpcap eingerichtet ist. Falls Sie einen PowerlineAdapter von Devolo besitzen, ist es zudem teilweise erforderlich, das CockpitTool zu deinstallieren. In Wireshark gehen Sie auf „File > Open“und laden die ETHDatei. Sie sehen nun im obersten Fenster des Programms die Liste der Datenpakete, die über die Fritzbox geflossen sind. Klicken Sie einen Eintrag an, erscheinen im zweiten Fenster detaillierte Informationen dazu. Das dritte Fenster zeigt den Inhalt standardmäßig im HexadezimalCode an. Die meisten Einträge sind jedoch uninteressant und betreffen beispielsweise BroadcastAussendungen von Netzwerkgeräten. Die Stärke von Wireshark ist es jedoch, aus dem Datenwust genau die Informationen herauszufischen, die der Anwender sucht. Dazu stellt das Tool umfangreiche Filterfunktionen zur Verfügung, und viele davon sind bereits vordefiniert. Um beispielsweise zu ermitteln, welche Webseiten während des Überwachungszeitraums aufgerufen wurden und welche Dateien von dort heruntergeladen wur den, rufen Sie „Statistics > HTTP > Requests“auf. Klicken Sie in dem kleinen Fenster auf „Create Stat“, um die gesammelten Daten zu den HTTPVerbindungen abzurufen. Im folgenden Fenster erscheinen nun die InternetAdressen. Wenn Sie auf das vorangestellte Pluszeichen klicken, sehen Sie jeweils die übertragenen Dateien. Meistens handelt es sich um Bilder, die im Cache des Browsers landen, sowie um Cookies von Analyseprogrammen und Werbenetzwerken. Sie können aber auch erkennen, ob jemand in Ihrem Netzwerk größere Datenmengen über den Browser heruntergeladen hat. Sie können mit Wireshark natürlich auch einfach nur den Traffic Ihres eigenen Computers überwachen, um auf diese Weise Anwendungen auf die Spur zu kommen, die regelmäßig und unkontrolliert Daten ins Internet schicken. Klicken Sie dazu auf „Capture > Interfaces“, und achten Sie darauf, dass Ihr Netzwerkadapter markiert ist. Klicken Sie dann auf „Start“, um die Anzeige des laufenden Verkehrs zu starten. Vergessen Sie nicht, die Aufzeichnung mit „Capture > Stop“zu beenden. Über das Menü „File“können Sie die Daten dann für eine spätere Auswertung speichern.