Mit Wireshark dem Fehler auf der Spur, Teil 1

Netzwerkanalyse mit Wireshark in der Praxis – erste Schritte

| Autor / Redakteur: Johann Baumeister / Andreas Donner

An professioneller Netzwerkanalyse führt ab einer bestimmten Netzgröße kein Weg vorbei
An professioneller Netzwerkanalyse führt ab einer bestimmten Netzgröße kein Weg vorbei (© shock - Fotolia.com)

Ein funktionierendes Netzwerk ist das A und O jeglicher Kommunikation. Wenn es dennoch einmal klemmt, helfen Analysetools. IP-Insider zeigt deren Einsatzbereich und gibt Hilfestellungen zur Netzwerkanalyse.

Netzwerkanalysetools helfen bei der Suche nach Fehler in der Kommunikation von Systemen. Sie analysieren Protokolle und Datenströme und helfen, Fehler einzugrenzen.

Damit unterschiedliche Geräte überhaupt miteinander kommunizieren können, müssen einige Voraussetzungen gelten. Sie müssen die gleiche Sprache sprechen und sich an einige Regeln halten. Für die Kommunikation von IT-Systemen wurden diese Regeln schon vor Jahrzehnten in dem ISO/OSI-Modell festgeschrieben. Diese Definitionen legen fest, wie IT-Geräte bzw. System miteinander kommunizieren und welche Netzwerk-Protokolle sie dafür verwenden.

Getreu diesem Modell ging man seinerzeit von 7 Schichten aus. Ganz unten befindet sich die Definition der Kommunikationshardware, das obere Ende dient für Kommunikation der Anwendungen untereinander. Der Protokoll-Stack TCP/IP, der sich mittlerweile als de-facto Standard etabliert hat, gehört zu den mittleren Schichten 3, 4 und ggf. auch höher; siehe Abbildung 1.

TCP/IP wird in unterschiedlichen Bedeutungen verwendet. Mal steht es für ein ganzes Paket an Diensten oder aber auch allein für die beiden Protokolle IP und TCP. Wichtig zu wissen ist aber vor allem eines: Die Kommunikationsschichten des ISO/OSI-Modells bauen aufeinander auf. TCP nutzt IP zur Übertragung der Pakete. Die höheren Dienste wie DHCP, ftp, http oder etwa das Mailprotokoll POP3 nutzen wiederum die Dienste von TCP oder auch direkt IP. Dabei werden die Datenpakete jeweils gekapselt. Diese Tatsache ist wichtig für die Arbeit mit Wireshark.

Voraussetzungen für den Einsatz

Als Hilfsmittel für unsere exemplarische Netzwerkanalyse nutzen wir das Werkzeug Wireshark. Wireshark ist kostenfrei verfügbar. Es wird für Windows und verschiedene Linux-Derivate angeboten.

Wireshark ist ein ausgereiftes Analysetool und steht den kommerziellen Produkten in nichts nach. Wireshark besteht aus zwei Modulen: einem Netzwerkscanner und der nachgeschalteten Analyse.

Der Scanner wird durch PCAP bzw. WinPCAP gebildet. Diese Module lesen jedes übertragene Byte auf den Netzwerken mit. Dies hat ihnen die Bezeichnung Sniffer (Schnüffler) eingebracht. Dazu aktivieren sie den „Promiscous Mode“ der Netzwerkkarte. Wireshark wird daher nur mit Karten funktionieren, die diesen Modus unterstützen. Für die gängigen Netzwerkkarten ist dieses aber gegeben.

Die richtige Position des Sniffers

Wichtig für den Einsatz von Wireshark ist außerdem die Position des Scanners im Netzwerk. Denn der Scanner kann natürlich nur an jene Daten gelangen, die auch in seiner Reichweite sind. Liegt bspw. ein geswitchtes Netzwerk zugrunde, gilt es aufzupassen. Denn Layer-2-Switches sorgen im Normalfall dafür, dass die Datenpakete zwischen einem Sender und Empfänger nicht auf die andern Ports gelangen.

In diesem Fall wird die Funktion des „Port Mirroring“ oder „Port Forwarding“ Abhilfe schaffen. Sie sorgt dafür, dass alle Daten eines Ports auch auf einen andern weitergeleitet („forwarded“) oder gespiegelt werden; siehe Abbildung 3. Alternativ kann Wireshark auch als Man-in-the-Middle platziert werden. Dabei wird jeglicher Datenverkehr über Wireshark geschleust.

Egal für welche Lösung man sich entscheidet, Wireshark benötigt immer eine tiefe Integration in das Netzwerk. Ob diese möglich ist, hängt von der jeweiligen Situation ab. Zwingend beachten werden müssen ferner die datenrechtlichen Bestimmungen. Dabei gilt es im Vorfeld zu klären, ob es in der jeweiligen Umgebung überhaupt zulässig ist Datenpakete zu analysieren? Hierzu müssen zwingend vorher die datenschutzrechtlichen Vereinbarungen geprüft werden. Mitunter ist auch der Betriebsrat zu konsultieren.

weiter mit: Setup und erste Schritte

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 31838530 / Protokoll-Analyse)