Netzwerk-Check für jedermann

Mit dem Gratisprogramm Wireshark, ehemals Ethereal, sehen Sie im Detail, welche Datenpakete über eine Netzwerkkarte laufen und an welchen Server sie gesendet werden. Das ist nützlich, wenn Sie testen möchten, ob ein Programm hinter Ihrem Rücken Daten verschickt und, wenn ja, wohin. Zur Prüfung der Netzwerkfunktionen dürfen Sie das Programm einsetzen – das Abhören des Netzverkehrs ist in aller Regel illegal.

Netzwerk-Schnüffel-Programme (Sniffer) wie Wireshark stellen Daten aus Netzwerkpaketen für Menschen lesbar dar. Mit solchen Sniffern kann man beispielsweise Fehler im LAN aufspüren, mehr über Netzwerkprotokolle lernen, aber auch Programme enttarnen, die unerlaubt Daten an andere Rechner versenden.

Mit einer Personal Firewall wie Zone Alarm oder der Windows-XP-Firewall lässt sich zwar feststellen, ob eine Anwendung heimlich Daten überträgt oder ein Angreifer von außen Kontakt herstellen will. Allerdings bleibt damit noch im Dunkeln, welche Daten tatsächlich fließen. Außerdem hilft eine Firewall nicht bei Tools, die ohnehin dazu dienen, Daten über das Internet zu senden oder zu empfangen. Ein Instant Messenger oder ein Browser könnten ungestört Daten übermitteln, ohne dass die Firewall Alarm schlägt. Und genau das ist der Ansatzpunkt vieler Spyware-Programme: Sie benutzen in der Regel den Internet Explorer zur Übermittlung Ihrer gesammelten Daten an einen entfernter Rechner.

Um bei solchen Tools Unregelmäßigkeiten in der Datenübertragung auszumachen, muss man schwerere Geschütze auffahren und analysieren, welche Daten an welche Rechner geschickt werden. Ein Sniffer klinkt sich in den Datenverkehr ein und protokolliert alle gesendeten und empfangenen Pakete mit. Stück für Stück kann man dann den Datenstrom auseinandernehmen und feststellen, ob ein Programm unerlaubt Daten sendet.

Ein Sniffer besteht aus einer Reihe von Einzelkomponenten, die Hand in Hand arbeiten und ihre Funktionen kombinieren.

Protokollieren: Der Capture Driver klinkt sich in den Treiber der Netzwerkkarte oder des DFÜ-Adapters ein und sorgt dafür, dass alle gesendeten und empfangenen Pakete in einem Puffer zwischengespeichert werden. Über eine Reihe von Filtern kann der Sniffer sich auf Pakete beschränken, die bestimmten Kriterien wie etwa Netzwerkprotokoll, Zieladresse oder TCP-Port genügen. Da beispielsweise bei einem LAN mit 100 MBit/s bis zu 144.000 Pakete pro Sekunde ankommen können, ist ein schneller PC zum Sniffen erforderlich.

Analysieren: Ein Analysemodul untersucht die Pakete auf Fehler bei der Datenübertragung oder auf Spuren von Hackern. Mögliche Angriffe werden anhand bestimmter Muster wie Portscans entdeckt. Bei professionellen, sehr teuren Sniffern erfolgt die Analyse in Echtzeit. Das setzt ein leistungsfähiges PC-System voraus.

Decodieren: Der wichtigste Schritt beim Sniffen ist die Decodierung der Netzwerkpakete. Dabei bereitet der Sniffer die Pakete so auf, dass der Anwender die einzelnen Bestandteile unterscheiden kann, ohne genau zu wissen, welche Bytes zum Beispiel bei einem TCP/IP-Paket für den Ziel-Port zuständig sind.