Heim­netz im Griff

So geht's: Da­ten­ver­kehr aus­wer­ten, WLAN ab­si­chern, An­grei­fer ent­de­cken!

PC-WELT - - Vorderseite - VON AR­NE AR­NOLD UND DA­NI­EL BEH­RENS

IN EI­NEM HEIM­NETZ läuft in der Re­gel der ge­sam­te Da­ten­ver­kehr über den DSL-Rou­ter. Wenn Sie al­so her­aus­fin­den möch­ten, was in Ih­rem Netz­werk pas­siert, wel­che Da­ten ins In­ter­net und aus dem In­ter­net zu al­len Ih­ren Ge­rä­ten flie­ßen, dann ist Ihr Rou­ter der rich­ti­ge An­satz­punkt für ei­ne um­fas­sen­de Ana­ly­se. Wir zei­gen, wie Sie bei die­sem Ge­rät das Pro­to­koll für den Da­ten­ver­kehr ein­schal­ten und es an­schlie­ßend mit der neu­es­ten Ver­si­on von Wi­reshark (auf Plus-DVD 2) aus­wer­ten. Denn wenn es um die Ana­ly­se des Netz­werk­ver­kehrs geht, ist das Mit­tel der Wahl Wi­reshark – ei­ne ex­trem leis­tungs­fä­hi­ge Open-Sour­ce-Soft­ware, die selbst bei IT-Pro­fis sehr be­liebt ist. Sie ist nicht nur für Win­dows, son­dern auch für Li­nux er­hält­lich. En­de 2015 be­kam Wi­reshark sein ers­tes gro­ßes Up­date auf die Ver­si­on 2.0. Hier er­fah­ren Sie, wie Wi­reshark funk­tio­niert, was es Neu­es bei Ver­si­on 2 gibt und wie Sie mit dem Tool den Da­ten­ver­kehr Ih­res ge­sam­ten Heim­netz­werks ana­ly­sie­ren. Wich­tig: Sie dür­fen aus recht­li­chen Grün­den mit Wi­reshark oder auch mit an­de­ren Netz­werk-Ana­ly­se-Tools nur Ihr ei­ge­nes Netz­werk scan­nen. Wen­den Sie die hier be­schrie­be­nen Me­tho­den nicht bei frem­den Netz­wer­ken und an­de­ren Per­so­nen an.

Das ist neu in der Ver­si­on 2 von Wi­reshark

Wi­reshark ist in der La­ge, ei­ne Viel­zahl von Netz­werk­pro­to­kol­len zu er­ken­nen und mit­zu­schnei­den. Mit da­bei sind et­wa IP­sec, ISAKMP, Ker­be­ros, SNMPv3, SSL/TLS, WEP, WPA/WPA2 und vie­le wei­te­re. Wi­reshark ist die Fort­ent­wick­lung des Tools Et­he­re­al, das es be­reits seit 1998 gibt. Un­ter dem Na­men Wi­reshark tauch­te die Soft­ware im Jahr 2006 auf, da­mals zu­nächst in der Ver­si­on 0.99, spä­ter dann als 1.x. Im De­zem­ber 2015 mach­te die Ver­si­on nach lan­ger Pau­se den Sprung auf die Ver­si­on 2. Sie ent­hält ei­ni­ge neue Funk­tio­nen und vie­le klei- ne Ver­bes­se­run­gen. Die Neue­run­gen be­tref­fen vor al­lem die Be­die­ner­füh­rung und die gra­fi­schen Tools zum Aus­wer­ten des auf­ge­zeich­ne­ten Netz­werk­ver­kehrs. Nun dür­fen Fens­ter mit Mess­wert­dar­stel­lun­gen, et­wa zu TCP-Streams oder Durch­lauf­zei­ten, gleich­zei­tig ge­öff­net blei­ben, was bei der Ana­ly­se ei­nes Da­ten­stroms sehr hilf­reich sein kann. Ei­ne kom­plet­te Lis­te al­ler Neue­run­gen und Ver­bes­se­run­gen fin­den Sie über www.pcwelt.de/QkEY1b.

Wi­reshark in­stal­lie­ren und ei­nen PC über­wa­chen

Für Wi­reshark ist es kein Pro­blem, den Da­ten­ver­kehr des Win­dows-PCs auf­zu­zeich­nen, auf dem es in­stal­liert ist. Und was da­bei her­aus­kommt, ist so­gar deut­lich in­ter­es­san­ter, als man mei­nen mag. Denn auf ei­nem ak­tu­el­len Win­dows 7, 8 oder gar 10 pas­siert be­reits oh­ne, dass Sie ein ty­pi­sches On­li­ne-Pro­gram­me ge­öff­net ha­ben, et­wa Brow­ser, Out­look oder Sky­pe, ei­ne gan­ze Men­ge: Win­dows fragt ei­nen Mi­cro­soft-Ser­ver an, um zu tes­ten, ob die In­ter­net­ver­bin­dung noch steht. Das An­ti­vi­ren­pro­gramm sucht bei sei­nem Her­stel­ler im Web nach neu­en Ver­sio­nen, und der Drop­box-Cli­ent

„Mit ei­nem ver­steck­ten Be­fehl über­wa­chen Sie per DSL-Rou­ter den kom­plet­ten Da­ten­ver­kehr ins Web.“

für Win­dows sucht nach neu­en Da­tei­en in der Cloud. Soll­ten Sie fürch­ten, dass sich auf Ih­rem PC ein Spio­na­ge­pro­gramm be­fin­det, ist Wi­reshark eben­falls das Mit­tel der Wahl, um die Ver­bin­dun­gen der Schad­soft­ware auf­zu­de­cken. Wi­reshark in­stal­lie­ren: In­stal­lie­ren Sie Wi­reshark auf dem PC, des­sen Da­ten­ver­kehr Sie auf­zeich­nen möch­ten. Bei der In­stal­la­ti­on wird Ih­nen an­ge­bo­ten, die Tools Win­pcap und Us­bp­cap mit zu in­stal­lie­ren. Win­pcap müs­sen Sie für die Auf­zeich­nung des Da­ten­ver­kehrs über die Netz­werk­kar­ten in­stal­lie­ren. Wenn Sie auch Us­bp­cap auf­spie­len, kön­nen Sie zu­dem Da­ten von ei­ni­gen USB-Ge­rä­ten mit­schnei­den, et­wa die Be­we­gun­gen der USB-Maus. Netz­werk­ad­ap­ter wäh­len: Nach ei­nem PCNeu­start lässt sich Wi­reshark auf­ru­fen und prä­sen­tiert Ih­nen als Ers­tes ei­ne Lis­te mit den er­kann­ten Netz­werk­ad­ap­tern. Je nach­dem, ob Ihr PC per Netz­werk­ka­bel oder per WLAN mit Ih­rem Rou­ter ver­bun­den ist, wäh­len Sie den ent­spre­chen­den Ad­ap­ter („Et­her­net“oder „WLAN“) per Dop­pel­klick. Wi­reshark star­tet dar­auf hin die Auf­zeich­nung von al­len Da­ten, die über die­se Netz­werk­kar­te lau­fen. Do­main-Na­men an­zei­gen: Wer zum ers­ten mal Wi­reshark star­tet, wird un­ter Um­stän­den von den vie­len Mel­dun­gen ab­ge­schreckt. Die fol­gen­den zwei Op­tio­nen er­leich­tern den Ein­stieg in die Ana­ly­se des Da­ten­ver­kehrs. Las­sen Sie als ers­tes Wi­reshark die Do­main-Na­men zu ei­ner IP-Adres­se her­aus­su­chen. Das klappt na­tür­lich über­haupt nur für je­ne IP-Adres­sen, zu de­nen es ei­nen na­ment­li­chen Ein­trag gibt, und auch dann nicht in al­len Fäl­len. Trotz­dem schafft der Aus­tausch von ei­ni­gen IP-Adres­sen durch Ih­re Do­main-Na­men be­reits ei­ne viel bes­se­re Über­sicht. Läuft et­wa gera­de der Mu­sik-Strea­m­ing­dienst Spo­ti­fy, so wird bei et­li­chen Ver­bin­dun­gen zum Spo­ti­fy-Ser­ver die­ser Na­me an­ge­zeigt. Sie Än­dern die An­zei­ge­ein­stel­lung über „Be­ar­bei­ten -> Ein­stel­lun­gen -> Na­me Re­so­lu­ti­on -> Re­sol­ve Net­work (IP) ad­dres­ses“. Bei die­sem Be­fehl zeigt sich üb­ri­gens, dass auch in der ak­tu­el­len Ver­si­on die Be­die­ner­füh­rung noch nicht kom­plett ins Deut­sche über­tra­gen wur­de. Scrol­len aus­schal­ten: Stan­dard­mä­ßig springt die An­zei­ge des Da­ten­ver­kehrs stets zum neu­es­ten Ein­trag. Wenn Sie sich mit dem Pro­to­koll be­reits wäh­rend der Auf­zeich­nung be­schäf­ti­gen möch­ten, ist die­se Ein­stel­lung un­prak­tisch. Sie be­en­den das Scrol­len über „Na­vi­ga­ti­on -> Wäh­rend der Auf­zeich­nung au­to­ma­tisch scrol­len“.

WLAN- Über­wa­chung mit Wi­reshark nur per Li­nux

Mit Wi­reshark den Da­ten­ver­kehr ei­nes PCs auf­zu­zeich­nen, auf dem Sie das Tool in­stal­liert ha­ben, ist wie oben ge­se­hen recht ein­fach. Möch­ten Sie den Da­ten­ver­kehr wei­te­rer WLANGe­rä­te auf­zeich­nen, geht das zu­min­dest theo­re­tisch eben­falls mit Wi­reshark. All­dings klappt das nicht mit ei­nem Win­dows-PC. Denn die Win­dows-Trei­ber für Netz­werk­ad­ap­ter er­lau­ben den nö­ti­gen Lausch­mo­dus („Mo­ni­to­ring-Mo­de“) nicht. Die­ser ist nö­tig, um die Da­ten­strö­me

an­de­rer Ge­rä­te über die­sen PC zu lei­ten. Ent­spre­chend taucht die­se Op­ti­on in Wi­reshark für Win­dows auch gar nicht auf. Wenn Sie mit Wi­reshark für Li­nux Ihr Glück ver­su­chen möch­ten, fin­den Sie auf Plus-DVD 2 das ISO-Image Ka­li Li­nux (gra­tis, Down­load über www.ka­li.org), auf dem Wi­reshark be­reits in­stal­liert ist. In Wi­reshark für Li­nux kön­nen Sie un­ter „Auf­zeich­nun­gen -> Op­tio­nen -> WLAN“den „Mo­ni­to­rin­gMo­de“ak­ti­vie­ren. Al­ler­dings un­ter­stüt­zen auch un­ter Li­nux nicht al­le Trei­ber be­zie­hungs­wei­se Netz­werk­chips die­sen Lausch­mo­dus. Ei­ne WLAN-Ab­hör­ak­ti­on mit die­ser Me­tho­de ist so­mit nicht si­cher mög­lich. Zu­ver­läs­sig klappt das An­zap­fen der Da­ten­strö­me aber am Rou­ter.

So zeich­nen Sie den Da­ten­ver­kehr am Rou­ter auf

Vie­le der ak­tu­el­len DSL-Rou­ter bie­ten ei­ne Op­ti­on, mit der sich der Da­ten­ver­kehr am Rou­ter auf­zeich­nen lässt. An die­ser Stel­le fan­gen Sie wirk­lich al­le Da­ten ab. Denn über den Rou­ter lau­fen al­le Da­ten zum und vom In­ter­net, aber auch al­le Da­ten, die im Heim­netz kur­sie­ren. Al­ler­dings bie­tet nicht je­der Rou­ter ei­ne Pro­to­koll­funk­ti­on. So fehlt die­se Mög­lich­keit bei et­li­chen Zwangs­rou­tern, et­wa ei­ni­gen Ka­bel­mo­dem-Mo­del­len von Ka­bel­deutsch­land/Vo­da­fo­ne. Doch das be­deu­tet nicht au­to­ma­tisch das Aus für Ihr Auf­zeich­nungs­pro­jekt. In ei­nem sol­chen Fall kön­nen Sie et­wa ei­nen zwei­ten Rou­ter zu­sätz­lich zum Ka­bel­mo­dem oder Zwangs-DSL-Rou­ter nut­zen. Den zu­sätz­li­chen Rou­ter kon­fi­gu­rie­ren Sie als Ac­cess Po­int für Ih­re WLAN-Ge­rä­te. Der Zu­satz­rou­ter nutzt dann den In­ter­net­zu­gang des vor­han­den DSL- oder Ka­bel­mo­dems. Er bie­tet sich aber vor­ran­gig Ih­ren IT-Ge­rä­ten, et­wa PCs und Smart­pho­nes, als Ver­bin­dungs­punkt an. So läuft der Da­ten­ver­kehr zu­nächst über den Zu­satz­rou­ter – und dort kön­nen Sie ihn auf­zeich­nen. Wenn Sie als Zu­satz­ge­rät ei­ne Fritz­box ein­set­zen, fin­den Sie über www.pcwelt.de/6t5zUs ei­ne de­tail­lier­te Schritt-für-Schritt-An­lei­tung, wie Sie Ih­re Fritz­box als WLAN-Repeater kon­fi­gu­rie­ren. Die Be­schrei­bung sieht vor, dass so­wohl der Rou­ter am In­ter­net­an­schluss als auch das Ge­rät, das als WLAN-Rea­pe­ter dient, die­sel­be SSID und den­sel­ben WLAN-Schlüs­sel nut­zen. So kön­nen Ih­re WLAN-Ge­rä­te, et­wa das Ta­blet, je­weils den Zu­gangs­punkt wäh­len, der das stär­ke­re Si­gnal aus­sen­det. In un­se­rem Fall geht es aber dar­um, dass al­le Ge­rä­te sich über das Zu­satz­ge­rät (WLAN-Repeater) an­mel­den, da­mit Sie Ih­ren Da­ten­ver­kehr mit­schnei­den kön­nen. Das lässt sich recht ein­fach da­durch er­rei­chen, in­dem Sie dem neu­en Ge­rät die al­te SSID (WLAN-Ken­nung) und das al­te WLAN-Pass­wort ver­pas­sen. So­mit müs­sen Sie bei Ih­ren WLAN- Ge­rä­ten kei­ne Än­de­run­gen vor­neh­men. Bei Ih­rem DSL-Rou­ter hin­ge­gen än­dern Sie die SSID und das Pass­wort. Die­se neu­en Da­ten ge­ben Sie noch in das Zu­satz­ge­rät (WLAN-Repeater) ein, da­mit sich die­ses mit dem DSL-Rou­ter und da­mit mit dem In­ter­net ver­bin­den kann. Bei der Fritz­box ge­ben Sie die Da­ten wie in der An­lei­tung un­ter www.pcwelt.de/6t5zUs in Punkt „2 Repeater ein­rich­ten“be­schrie­ben ein. Üb­ri­gens: Ei­ni­ge, aber nicht al­le Fritz­box-Mo­del­le bie­ten die­se Re­pea­ter­funk­ti­on. Ob Ihr Mo­dell die­se Op­ti­on un­ter­stützt, se­hen Sie auf der Lis­te un­ter www.pcwelt.de/VDS3LE.

Pro­to­koll­funk­ti­on im Rou­ter fin­den und ein­schal­ten

Zu­nächst müs­sen Sie her­aus­fin­den, ob Ihr Rou­ter die Funk­ti­on bie­tet, den Netz­werk­ver­kehr mit­zu­schnei­den. Meis­tens ver­ste­cken die Her­stel­ler den ent­spre­chen­den Me­nü­punkt in der Kon­fi­gu­ra­ti­on, um we­ni­ger rou­ti­nier­te An­wen­der nicht zu ver­wir­ren be­zie­hungs­wei­se zu über­for­dern. Zu dem Me­nü „Pa­ket­mit­schnitt“in den Fritz­bo­xen ge­lan­gen Sie per Brow­ser über die un­do­ku­men­tier­ten Adres­se fritz.box/html/cap­tu­re. Ha­ben Sie die Fritz­box als WLAN-Repeater kon­fi­gu­riert (sie­he oben), dann er­rei­chen Sie sie nicht über fritz.box, son­dern über Ih­re IPAdres­se, die Sie im In­ter­ne­t­rou­ter er­fah­ren. Ist das et­wa 192.186.0.20, dann lau­tet die Adres­se zum „Pa­ket­mit­schnitt“92.186.0.20/ html/ cap­tu­re. Bei ei­ni­gen Speed­port-Rou­tern der Te­le­kom ist das Vor­ge­hen ähn­lich. Al­ler­dings müs­sen Sie sich hier erst ganz nor­mal über speed­port.ip an­mel­den und dann die Adres­se http:// speed­port.ip/html/cap­tu­re.html oder die Adres­se http://speed­port.ip/cgi-bin/web­cm? get­pa ge=../html/cap­tu­re.html auf­ru­fen. Bei Rou­tern von Ali­ce/O2 klappt es meist mit der Adres­se http://192.168.1.1/web.cgi?cont rol­ler= Sys­tem& ac­tion= In­dexDia­gnostic und Aus­wahl der Netz­werk­schnitt­stel­le „NAS1“. Even­tu­ell müs­sen Sie sich auch hier erst über http://192.168.1.1 re­gu­lär mit dem Rou­ter­pass­wort an­mel­den. Bei vie­len Ea­sy­bo­xRou­tern von Vo­da­fo­ne fin­det sich un­ter „Ex- tras -> Dia­gno­se­pro­gramm -> Auf­zeich­nen von WAN-Da­ten­pa­ke­ten -> VC1“ei­ne Op­ti­on für das Mit­schnei­den des Da­ten­ver­kehrs. Be­ach­ten Sie aber, dass Sie recht­lich ge­se­hen nur Ih­ren ei­ge­nen Da­ten­ver­kehr und den Ih­rer min­der­jäh­ri­gen Kin­der mit­schnei­den und aus­wer­ten dür­fen.

Vor­be­rei­tun­gen für den Da­ten­mit­schnitt

Um den Netz­werk­mit­schnitt spä­ter ge­rä­te­spe­zi­fisch fil­tern zu kön­nen, müs­sen Sie her­aus­fin­den, wel­ches Ge­rät vom Rou­ter wel­che in­ter­ne Netz­werk­ken­nung (IP-Adres­se) zu­ge­wie­sen be­kom­men hat. Auf ei­nem Win­dows-PC öff­nen Sie da­zu die Kom­man­do­zei­le und tip­pen ip­con­fig ein. In­ter­ne Netz­werk­adres­sen ha­ben in der Re­gel den Auf­bau 192.168.x.x. Auf ei­nem An­dro­id-Ge­rät öff­nen Sie die WLAN-Ein­stel­lun­gen, tip­pen auf die Me­nü­tas­te und wäh­len „Er­wei­tert“. Sie ge­lan­gen auf ei­ne Sta­tus­sei­te, auf der Sie die in­ter­ne IP-Adres­se ab­le­sen kön­nen.

Da­ten­mit­schnitt des Rou­ters star­ten

Wir be­schrei­ben im Fol­gen­den am Bei­spiel der Fritz­box 7290, Firm­ware-Ver­si­on Fritz OS 5.50, wie Sie ei­nen Pa­ket­mit­schnitt an­le­gen: Als Ers­tes ru­fen Sie die oben schon er­wähn­te Adres­se fritz.box/html/cap­tu­re.html auf. Kli­cken Sie dann in der Zei­le „Rou­ting-Schnitt­stel­le“auf „Start“. Nach kur­zer Zeit soll­te ein Down­load­dia­log er­schei­nen. Falls nicht, ru­fen Sie in ei­nem zwei­ten Brow­ser­fens­ter ei­ne be­lie­bi­ge Web­sei­te auf, um et­was Netz­werk­ver­kehr zu er­zeu­gen. Spä­tes­tens jetzt kön­nen Sie den Down­load des Mit­schnitts star­ten. Es han­delt sich da­bei um ei­nen ge­stream­ten Down­load: Wenn (In­ter­net-)Pa­ke­te von der Fritz­box oder an sie ge­sen­det wer­den, wer­den sie gleich­zei­tig auch in die of­fe­ne Down­load­da­tei hin­ein­ge­schrie­ben. Fin­det gera­de kei­ne Über­tra­gung statt, pau­siert al­so auch der Down­load. Wenn Sie nach ei­ni­gen Mi­nu­ten, St­un­den oder Ta­gen für Ih­re Zwe­cke ge­nü­gend Da­ten ge­sam­melt ha­ben, kli­cken Sie auf der „Fritz!Box Pa­ket­mit­schnitt“-Sei­te auf den But­ton „Stop“. Was Sie kei­nes­falls tun soll­ten: den

Down­load über das Dia­log­feld des Brow­sers be­en­den. Denn dann wird er ab­ge­bro­chen, und die bis da­hin er­hal­te­nen Da­ten sind futsch.

Da­ten­mit­schnitt mit Wi­reshark aus­wer­ten

Den Pa­ket­mit­schnitt ana­ly­sie­ren Sie mit Wi­reshark ein. Star­ten Sie die Soft­ware, und kli­cken Sie auf „Da­tei, Öff­nen“, um die vom Rou­ter er­stell­te Da­tei zu öff­nen. Sie er­hal­ten nun ei­ne ta­bel­la­ri­sche An­sicht al­ler Da­ten­pa­ke­te, die wäh­rend des Mit­schnitts über die Fritz­box ge­lau­fen sind. Im obe­ren Drit­tel se­hen Sie die Pa­ket­lis­te, im mitt­le­ren Drit­tel De­tail­in­fos zum aus­ge­wähl­ten Pa­ket und im un­te­ren Drit­tel des­sen (bi­nä­ren) In­halt. Die Spal­te „No.“gibt die lau­fen­de Num­mer des Pa­kets an, die Spal­te „Ti­me“die Se­kun­den seit dem Start des Pa­ket­mit­schnitts. Über „An­sicht -> For­mat der Zeit­an­zei­ge“kön­nen Sie „Da­tum und Uhr­zeit“aus­wäh­len und so ei­nen ge­nau­en Da­tums- und Uhr­zeits­tem­pel je­des Ein­trags er­hal­ten. In der Spal­te „Sour­ce“steht, wo­her das Da­ten­pa­ket kam, und un­ter „Des­ti­na­ti­on“, wo­hin es ging. Das ver­wen­de­te Über­tra­gungs­pro­to­koll ent­neh­men Sie der Spal­te „Pro­to­col“. Die Grö­ße des Da­ten­pa­kets steht un­ter „Length“. Und ei­nen Aus­zug aus dem In­halt för­dert die Spal­te „In­fo“zu­ta­ge. Zu ei­ni­gen Ein­trä­gen lie­fert Ih­nen Wi­reshark auch bei die­sem auf­ge­zeich­ne­ten Pro­to­koll statt der IP-Adres­se den Do­main-Na­men. Wo das nicht klappt, kön­nen Sie noch sel­ber In­fos zur IP-Adres­se ein­ho­len. Star­ten Sie da­zu ei­nen Brow­ser und öff­nen Sie die Si­te www. net­work-tools.com.

Mit­schnitt auf ein Ge­rät be­schrän­ken

Möch­ten Sie die Pa­ket­ana­ly­se auf ein Netz­werk­ge­rät ein­schrän­ken, müs­sen Sie zu­nächst al­le an­de­ren Pa­ke­te her­aus­fil­tern. Ge­ben Sie da­zu in Wi­reshark in das Ein­ga­be­feld „An­zei­ge­fil­ter an­wen­den“Fol­gen­des ein: „! ip.ad­dr==“, ge­folgt von der IP-Adres­se, auf die Sie die Ana­ly­se ein­gren­zen wol­len. Bei­spiel: ! ip. ad­dr==192.168.0.13. Be­stä­ti­gen Sie mit der Ein­ga­be­tas­te. Nun wer­den al­le Pa­ke­te an­ge­zeigt, in de­nen die­se IP nicht auf­taucht. Über „Be­ar­bei­ten -> Al­le an­ge­zeig­ten Ge­rä­te igno­rie­ren“blen­den Sie die­se aus. Lö­schen Sie den Fil­ter von oben mit ei­nem Klick auf das X am En­de der Zei­le. Nun tau­chen al­le Pa­ke­te der ge­wähl­ten IP auf – in un­se­rem Bei­spiel 192.168.0.13. Die­se könn­ten Sie jetzt ein­zeln an­kli­cken und den In­halt ana­ly­sie­ren. Ei­ne leich­ter über­schau­ba­re Darstel­lung, die al­le kon­tak­tier­ten Ser­ver zu­sam­men­fasst, er­hal­ten Sie über „Sta­tis­ti­ken End­punk­te -> IPv4“in ei­nem se­pa­ra­ten Fens­ter. Un­ter „Sta­tis­ti­ken“hat sich üb­ri­gens in der Ver­si­on 2 von Wi­reshark sehr viel ver­bes­sert. Die Aus­wer­tungs­tools in die­sem Me­nü bie­ten nun teils deut­lich mehr Über­sicht­lich­keit und auch die Mög­lich­keit zum Fein­tu­ning der Aus­ga­be.

So ana­ly­sie­ren Sie den Da­ten­ver­kehr mit Wi­reshark

Möch­ten Sie die Kom­mu­ni­ka­ti­on mit ei­nem spe­zi­el­len Ser­ver ge­nau­er un­ter die Lu­pe neh­men, kli­cken Sie den ent­spre­chen­den Ein­trag mit der rech­ten Maus­tas­te an und wäh­len „Als Fil­ter an­wen­den -> das Aus­ge­wähl­te“. Nun zeigt das Haupt­fens­ter von Wi­reshark nur noch die be­tref­fen­den Pa­ke­te an. Kli­cken Sie das ers­te da­von mit der rech­ten Maus­tas­te an und wäh­len Sie „Fol­gen -> TCP Stream“, um den In­halt des Pa­kets in ei­ner bes­ser les­ba­ren Form und zu­sam­men mit dem In­halt der da­zu­ge­hö­ri­gen an­de­ren Pa­ke­te zu se­hen. In der Re­gel han­delt es sich um ein An­fra­ge-Ant­wort-Pär­chen: Am An­fang steht die An­fra­ge, die Ihr Rech­ner an ei­nen Ser­ver ge­sen­det hat, dar­auf folgt des­sen Ant­wort. Die ge­sen­de­ten Da­ten sind da­bei in Rot ein­ge­färbt, die emp­fan­ge­nen in Blau. Be­ach­ten Sie, dass Sie vie­le Pa­ke­tin­hal­te nicht ent­zif­fern kön­nen wer­den. Näm­lich ei­ner­seits, wenn es sich um Bi­när­in­hal­te wie Bil­der han­delt – und zum an­de­ren, wenn die Da­ten ver­schlüs­selt über­tra­gen wur­den, zum Bei­spiel per Https oder VPN. Auch im Haupt­fens­ter zeigt Wi­reshark jetzt nur noch die Pa­ke­te an, die zu dem im Ex­tra-Fens­ter dar­ge­stell­ten Da­ten­aus­tausch ge­hö­ren. Zum nächs­ten An­fra­ge-Ant­wort-Pär­chen der zu­vor aus­ge­wähl­ten Ser­ver­ver­bin­dung zu ge­lan­gen, ist et­was um­ständ­lich: Kli­cken Sie das letz­te Da­ten­pa­ket in der Lis­te an, und wech­seln Sie dann ins noch ge­öff­ne­te Fens­ter „IPv4 End­points“. Kli­cken Sie mit der rech­ten Maus­tas­te auf den glei­chen Ser­ver­na­men wie vor­hin, und wäh­len Sie er­neut „Als Fil­ter an­wen­den -> das Aus­ge­wähl­te“. Wenn es wei­te­re Ver­bin­dun­gen zu dem Ser­ver gab, wer­den die­se im Haupt­fens­ter un­ter dem zu­vor von Ih­nen mar­kier­ten Da­ten­pa­ket an­ge­zeigt. Kli­cken Sie den dar­auf fol­gen­den Ein­trag mit der rech­ten Maus­tas­te an, und wäh­len Sie wie­der­um „Fol­gen -> TCP Stream“. Wie­der­ho­len Sie die­ses Vor­ge­hen so lan­ge, bis für den aus­ge­wähl­ten Ser­ver­na­men im Haupt­fens­ter von Wi­reshark kei­ne wei­te­ren Pa­ke­te an­ge­zeigt wer­den. Im An­schluss kön­nen Sie sich im Fens­ter „IPv4 End­points“dem nächs­ten Ser­ver­na­men zu­wen­den, der Ihr de­tek­ti­vi­sches Ge­spür weckt.

Dank der IP-Adres­senAuf­lö­sung zeigt Wi­reshark nicht nur die IP-Adres­sen an, son­dern wenn mög­lich auch die Do­main-Na­men. In die­sem Fall er­kennt man so­fort den Da­ten­ver­kehr des An­ti­vi­ren­pro­gramms Avast und des Mu­sik­tools Spo­ti­fy.

Wenn Sie Wi­reshark star­ten, kön­nen Sie im un­te­ren Be­reich des Fens­ters den Netz­werk­ad­ap­ter wäh­len, des­sen Da­ten­ver­kehr Sie über­wa­chen und ana­ly­sie­ren möch­ten. Oder Sie öff­nen ei­ne Pro­to­koll­da­tei Ih­res Rou­ters.

Die Fritz­box bie­tet auf ei­ner ver­steck­ten Un­ter­sei­te ih­res Kon­fi­gu­ra­ti­ons­me­nüs die Mög­lich­keit, den ge­sam­ten Da­ten­ver­kehr des Heim­netz­werks auf­zu­zeich­nen. Auch vie­le an­de­re ak­tu­el­le DSL-Rou­ter bie­ten die­se Pro­to­koll­funk­ti­on.

Um die fol­gen­den Aus­wer­tun­gen auf ein Netz­werk­ge­rät zu be­schrän­ken, fil­tern Sie des­sen IPAdres­se tem­po­rär her­aus und igno­rie­ren al­le an­de­ren Pa­ke­te.

Wi­reshark lie­fert bei Wei­tem nicht zu je­der IP-Adres­se ei­ne zu­ge­hö­ri­ge Do­main. Wenn Ih­nen ei­ne IP-Adres­se ins Au­ge fällt, dann ge­ben Sie die­se zum Bei­spiel bei www. net­work-tools.com ein. In die­sem Bei­spiel ge­hört die Adres­se un­se­rem VPN-Ser­ver Zen­ma­te.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.