Mobile-Menu

Definition Was ist ein Sniffer?

Ein Netzwerk-Sniffer liest den Datenverkehr eines Netzwerkadapters mit und ermöglicht die Analyse des Verkehrs. Abhängig vom Aufbau des Netzwerks, der Art der Netzwerkschnittstelle und der Positionierung des Sniffers betrifft der mitgelesene Datenverkehr einzelne Geräte oder das komplette Netzwerk. Sniffer sind als Software-Lösung für Rechner oder als Standalone-Geräte inklusive Hard- und Software erhältlich.

Firma zum Thema

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - stock.adobe.com)

Das Wort Sniffer leitet sich vom englischen Verb "to sniff" ab. Es bedeutet schnüffeln. Als Sniffer wird im Netzwerkumfeld daher eine Software oder ein Gerät bezeichnet, das den Datenverkehr auf einer Netzwerkverbindung mitlesen kann. In der Regel ist die Software oder das Gerät auch in der Lage, den erfassten Datenverkehr hinsichtlich verwendeter Protokolle und des Inhalts zu analysieren und die Ergebnisse aufbereitet darzustellen.

Alternative Begriffe sind Netzwerk- oder Paket-Sniffer, Netzwerk- oder Paket-Analysator, Ethernet-Sniffer oder Protokoll-Analysator. Im WLAN-Umfeld eingesetzte Sniffer, die WLANs finden und WLAN-Verkehr mitlesen, werden als WLAN-Sniffer bezeichnet. Sniffer lassen sich als zusätzliche Software auf einem Gerät mit einer oder mit mehreren Netzwerkschnittstellen installieren oder sind als Standalone-Geräte inklusive Hard- und Software erhältlich.

Darüber hinaus existieren verteilte Systeme bestehend aus dezentralen Netzwerksonden und zentraler Analysesoftware. Die Einsatzmöglichkeiten eines Sniffers sind vielfältig und reichen von der Netzwerkoptimierung über die Problemdiagnose bis zum Erkennen von Einbruchsversuchen oder Finden bereits aktiver Schadprogramme wie Keylogger. Cyber-Kriminelle nutzen das Sniffen für illegale Zwecke wie das Ausspähen von Benutzerkennungen, das Stehlen von Daten, Betriebsspionage oder das ausfindig machen weiterer Angriffsziele.

Der Einsatz eines Sniffers und das Mitlesen des Datenverkehrs kann abhängig vom Anwendungsbereich und dem Zweck der Verwendung strafbar sein. Beispielsweise fällt das Sniffen in bestimmten Fällen unter den § 202a des Strafgesetzbuches (StGB) (Ausspähen von Daten).

Die Funktionsweise eines Netzwerk-Sniffers

Grundsätzlich besteht ein Sniffer aus einer Hardware- und einer Software-Komponente. Bei der Hardware-Komponente handelt es sich um einen Netzwerkadapter, der von der Software so ansteuerbar ist, dass sich die empfangenen oder versendeten Daten mitlesen lassen. Die in Computern vorhandenen Ethernet- oder WLAN-Netzwerkkarten unterstützen das Mitschneiden von Daten, weshalb es in der Regel ausreichend ist, eine Software auf dem Rechner zu installieren.

In einigen Fällen sind Sniffer als Standalone-Geräte bestehend aus Hard- und Software realisiert oder lassen sich als zusätzliche Module in ein Gerät wie einen Switch oder Router einbauen. Die Sniffer-Software verfügt neben der Möglichkeit des Mitschneidens des Datenverkehrs über diverse zusätzliche Funktionen wie den Datenverkehr zu analysieren und die Ergebnisse anschaulich darzustellen.

Für das Mitschneiden des Netzwerkverkehrs an einer Netzwerkschnittstelle existieren die beiden Modi Promiscuous Mode und Non-Promiscuous Mode. Im Promiscuous Mode sind sämtliche über die Schnittstelle laufenden Daten eines Netzwerkmediums lesbar. Der Non-Promiscuous Mode sammelt lediglich die an den jeweiligen Rechner adressierten oder die vom jeweiligen Rechner versendeten Datenpakete oder Datenframes. Unabhängig vom Promiscuous oder Non-Promiscuous Mode verfügen fast alle Lösungen über die Fähigkeit, die mitzuschneidenden Frames oder Pakete nach bestimmten Kriterien wie Adressen oder Protokollen zu filtern. So reduzieren sich die erfasste Datenmenge und der Analyseaufwand.

Im Promiscuous Mode hängt es vom Netzwerkmedium oder von der Netzwerkstruktur ab, ob der gesamte Verkehr von einer einzigen Station aus mitgelesen werden kann. Kommen beispielsweise nur Hubs zum Einsatz, stehen alle Daten an allen Netzwerkports zur Verfügung. In einer geswitchten Umgebung hingegen sind an einem Netzwerkport nur die für das angeschlossene Endgerät bestimmten Ethernet-Frames und Broadcast-Frames für die mitlesende Software sichtbar. Verfahren wie ARP-Spoofing oder ICMP-Redirects erlauben es, gezielt Verkehr anderer Endgeräte oder Netzsegmente auf einem Netzwerkport sichtbar zu machen.

Sniffer speichern entweder den kompletten Inhalt des mitgeschnittenen Verkehrs oder nur die Informationen der Protokoll-Header. Für viele Anwendungen reichen die Protokoll-Header aus, da sie genügend Informationen für die Analyse des Datenverkehrs liefern.

Die verschiedenen Arten von Netzwerk-Sniffern

Es existieren viele verschiedene Arten von Sniffern. Zunächst ist eine Unterscheidung zwischen reinen Software-basierten Lösungen und eigenständigen Hardware-Sniffern möglich. Eine Software-basierte Lösung lässt sich auf einem Client-Rechner oder einem Server installieren und nutzt die dort vorhandene Hardware. Sie greift auf die Netzwerkadapter des Host-Rechners zu und liest den über diese Adapter verfügbaren Netzwerkverkehr mit. Die Software erlaubt die Analyse des Verkehrs und sorgt für die anschauliche Darstellung der Ergebnisse.

Eigenständige Hardware-basierte Lösungen sind für den von einem Host-Rechner unabhängigen Einsatz vorgesehen. Sie lassen sich standalone verwenden und besitzen alle notwendigen Hardware- und Software-Komponenten für das Mitschneiden und Analysieren des Datenverkehrs. Oft werden sie an zentralen Stellen eines Netzwerks "eingeschleift". An diesen Stellen steht der Verkehr für eine Vielzahl Geräte und Netzsegmente zur Verfügung. Was ihre Leistungsfähigkeit angeht, sind sie so dimensioniert, dass selbst bei Spitzenlast auf dem genutzten Netzwerkinterface keine Daten verworfen werden müssen. Einige Lösungen basieren auf einer verteilten Hard- und Softwarearchitektur. Im Netz installierte Sonden lesen Daten an verschiedenen Stellen mit und senden die Mitschnitte zu einer zentralen Station, die die Aufgaben der Speicherung, Analyse und Aufbereitung übernimmt.

Netzwerk-Sniffer lassen sich in aktive und passive Lösungen unterteilen. Passive Lösungen greifen nicht in den Datenverkehr ein und lesen auf dem Netzwerkport nur mit. Sie sind in einem Netzwerk kaum zu finden. Aktive Lösungen hingegen greifen in den Datenverkehr ein. Sie betreiben beispielsweise ARP-Spoofing oder arbeiten mit ICMP-Redirects, um Datenverkehr gezielt umzulenken. Diese aktiven Sniffer sind wesentlich leichter auffindbar.

Einsatzmöglichkeiten eines Sniffers

Die Einsatzmöglichkeiten eines Sniffers sind vielfältig. Sie sind für legale und illegale Zwecke nutzbar. Typische Einsatzmöglichkeiten sind:

  • Netzwerkdiagnosen und Fehlersuchen
  • Bandbreite- und Auslastungsanalysen
  • Erstellen von Netzwerkstatistiken
  • Untersuchung neuer Anwendungen
  • Analysen der Protokollkonformität
  • Optimierung von Verkehrsflüssen
  • Überwachen des Datenverkehrs und Erkennen von Einbruchsversuchen
  • Analysen im Rahmen von Sicherheitstests
  • Reverse Engineering
  • Aufspüren von verdächtigem oder gefährlichem Datenverkehr, wie er von Malware wie Trojaner oder Keylogger erzeugt wird
  • Einhaltung von Compliance-Vorgaben durch Mitschneiden und Speichern des Datenverkehrs
  • Überwachung von Mitarbeitern
  • Datenspionage
  • Datendiebstahl
  • Identitätsdiebstahl
  • Aufspüren von ungesicherten Netzen, Endgeräten und anderen Schwachstellen

Wireshark – eine der beliebtesten Sniffer-Lösungen

Es existieren zahlreiche freie und kommerzielle Lösungen zum Mitlesen des Datenverkehrs in einem Netzwerk. Die bekannteste und am häufigsten verwendete Software-basierte und frei verfügbare Lösung ist Wireshark. Die Open-Source-Software ist aus einem Fork von Ethereal entstanden und auf Rechnern mit unterschiedlichen Betriebssystemen wie Windows, macOS oder Linux nutzbar.

Aufgrund der Leistungsfähigkeit und der freien Verfügbarkeit der Software hat Wireshark viele kommerzielle Produkte verdrängt. Um den Datenverkehr auf Netzwerkadaptern mitzuschneiden, nutzt Wireshark die pcap-Schnittstelle. Die pcap-Schnittstelle ist für kabelbasierte Adapter wie Ethernet-Adapter, für drahtlose Adapter wie WLAN- oder Bluetooth-Adapter oder für USB-Adapter und andere Adapter-Typen einsetzbar. Wireshark ist in der Lage, viele unterschiedliche Protokolle zu interpretieren und den mitgelesenen Datenverkehr leicht verständlich aufzubereiten. Filterfunktionen, Statistikfunktionen, Datenflussdarstellungen, Extraktionsmöglickeiten binärer Inhalte und unterschiedliche unterstützte Capture-Datei-Import- und -Export-Formate komplettieren den Funktionsumfang der Software.

(ID:47104881)

Über den Autor