1724309

WLAN-Sniffer: Datenverkehr mit Wireshark und Fritzbox Capture mitschneiden

23.03.2016 | 10:06 Uhr |

Welche persönlichen Informationen geraten ungewollt ins Internet? Welche Apps und welche Netzwerkgeräte stecken dahinter? Welche Webseiten ruft Ihr Nachwuchs auf? Antworten auf alle diese Fragen liefert Ihr (WLAN-)Router.

Desktop-PC, Notebook, Smartphone, Tablet, Fernseher, Hifi-Anlage: Immer mehr Geräte verfügen heutzutage über eine Netzwerkschnittstelle und sind entsprechend per LAN-Kabel oder drahtlos per WLAN mit dem Router verbunden. Sie alle haben dadurch vollen Zugriff aufs Internet.

Und die nutzen sie nicht nur dafür, Daten in Ihrem Auftrag anzufordern und zu versenden. Nein, sie sind auch selbsttätig aktiv und verschicken Statusinfos, Nutzungsstatistiken und einiges mehr. Klingt irgendwie unheimlich, oder? Ähnliches gilt für Internetanschlüsse, die sich mehrere Familienmitglieder teilen.

Geheime Router-Funktion nutzen: Über einen undokumentierten Aufruf der Fritzbox-Bedienerführung können Sie den gesamten Datenverkehr mitschneiden und auf der Festplatte Ihres PCs speichern.
Vergrößern Geheime Router-Funktion nutzen: Über einen undokumentierten Aufruf der Fritzbox-Bedienerführung können Sie den gesamten Datenverkehr mitschneiden und auf der Festplatte Ihres PCs speichern.

Auch in dem Fall sehen Sie Ihrem Router nicht an, welche Daten die anderen gerade übertragen. Gerade bei minderjährigen Kindern ist es aber keine schlechte Idee, hin und wieder mal stichprobenartig zu schauen, welche Webadressen sie aufrufen. Auf normalem Weg kommen Sie nicht dahinter, welche Daten durch den Router rauschen. Einige Geräte bieten aber eine versteckte Diagnosefunktion, die Sie zu diesem Zweck nutzen können. Außerdem benötigen Sie noch eine (kostenlose) Software, um den Datenstrom auszuwerten. Wie das Ganze funktioniert, erfahren Sie in diesem Beitrag.

Sicherheits-Check - Den Router absichern

Schritt 1: Diagnosefunktion des Routers finden

Zunächst müssen Sie herausfinden, ob Ihr Router die Funktion bietet, den Netzwerkverkehr mitzuschneiden. Meistens verstecken die Hersteller den entsprechenden Menüpunkt in der Konfiguration, um unbedarfte Anwender nicht zu verwirren beziehungsweise zu überfordern. Bei den in Deutschland weit verbreiteten AVM Fritzboxen gelangen Sie von einem damit verbundenen PC über einen undokumentierten Aufruf der Konfiguration zum „Paketmitschnitt“. Dieser lautet: fritz.box/html/capture . Wenn der Link bei Ihrem Fritzbox-Modell nicht funktionieren sollte, benutzen Sie diesen hier .

Bei einigen Speedport-Routern der Telekom ist das Vorgehen ähnlich. Allerdings müssen Sie sich hier erst ganz normal über speedport.ip anmelden und dann die Adresse http://speedport.ip/html/capture.html oder die Adresse http://speedport.ip/cgi-bin/webcm?getpage=../html/capture.html aufrufen. Bei Routern von Alice/O2 klappt es meist mit der Adresse http://192.168.1.1/web.cgi?controller=System&action=IndexDiagnostic und Auswahl der Netzwerkschnittstelle „NAS1“. Gegebenenfalls müssen Sie sich auch hier erst über http://192.168.1.1 regulär mit dem Router-Passwort anmelden. Bei vielen Easybox-Routern von Vodafone findet sich unter „Extras ➞ Diagnoseprogramm ➞ Aufzeichnen von WAN-Datenpaketen ➞ VC1“ eine Option für das Mitschneiden des Datenverkehrs. Beachten Sie aber, dass Sie rechtlich gesehen nur Ihren eigenen Datenverkehr und den Ihrer minderjährigen Kinder mitschneiden und auswerten dürfen.

Schritt 2: Vorbereitungen für den Datenmitschnitt

Um den Netzwerkmitschnitt später gerätespezifisch filtern zu können, müssen Sie herausfinden, welches Gerät vom Router welche interne Netzwerkkennung (IP-Adresse) zugewiesen bekommen hat. Auf einem Windows-PC öffnen Sie dazu die Kommandozeile und tippen ipconfig ein. Interne Netzwerkadressen haben in der Regel den Aufbau 192.168.x.x. Auf einem Android-Gerät öffnen Sie die WLAN-Einstellungen, tippen auf die Menü-Taste und wählen „Erweitert“. Sie gelangen auf eine Statusseite, auf der Sie die interne IP-Adresse ablesen können. Bei iOS-Geräten tippen Sie in den Einstellungen auf „Wi-Fi“ und dann bei dem WLAN, in das Sie eingebucht sind, auf den blauen Pfeil-Button ganz rechts.

Nicht erschrecken: So sieht der Paketmitschnitt im kostenlosen Analyseprogramm Wireshark aus, bevor Sie ihn filtern. Jeder Eintrag in der Liste entspricht einem gesendeten oder empfangenen Datenpaket.
Vergrößern Nicht erschrecken: So sieht der Paketmitschnitt im kostenlosen Analyseprogramm Wireshark aus, bevor Sie ihn filtern. Jeder Eintrag in der Liste entspricht einem gesendeten oder empfangenen Datenpaket.

Schritt 3: Datenmitschnitt des Routers starten

Wir beschreiben im Folgenden am Beispiel der Fritzbox 7390, Firmware-Version „FRITZ!OS 05.22“ (84.05.22), wie Sie einen Paketmitschnitt anlegen: Als Erstes rufen Sie die oben schon erwähnte Adresse fritz.box/html/capture.html beziehungsweise in Ihrem Web-Browser fritz.box/cgi-bin/webcm?getpage=../html/capture.html auf. Klicken Sie dann in der Zeile „Routing-Schnittstelle“ auf „Start“. Nach kurzer Zeit sollte ein Download-Dialog erscheinen. Falls nicht, rufen Sie in einem zweiten Browser-Fenster eine beliebige Webseite auf, um etwas Netzwerkverkehr zu erzeugen. Spätestens jetzt können Sie den Download des Mitschnitts starten.

Es handelt sich dabei um einen gestreamten Download: Wenn (Internet-)Pakete von der Fritzbox oder an sie gesendet werden, werden sie gleichzeitig auch in die offene Download-Datei hineingeschrieben. Findet gerade keine Übertragung statt, pausiert also auch der Download. Wenn Sie nach einigen Minuten, Stunden oder Tagen für Ihre Zwecke genügend Daten gesammelt haben, klicken Sie auf der „Fritz!Box Paketmitschnitt“-Seite auf den Button „Stop“. Was Sie keinesfalls tun sollten: den Download über das Dialogfeld des Browsers zu beenden. Denn dann wird er abgebrochen, und die bis dahin erhaltenen Daten sind futsch.

Von hinten durch die Brust: Um die folgenden Auswertungen auf ein Netzwerkgerät zu beschränken, müssen Sie dessen IP-Adresse temporär ausfiltern und alle anderen Pakete auf ?ignorieren? stellen.
Vergrößern Von hinten durch die Brust: Um die folgenden Auswertungen auf ein Netzwerkgerät zu beschränken, müssen Sie dessen IP-Adresse temporär ausfiltern und alle anderen Pakete auf ?ignorieren? stellen.

Schritt 4: Datenmitschnitt mit Wireshark auswerten

Das Tool Wireshark ist in der Lage, eine Vielzahl von Netzwerkprotokollen zu erkennen und mitzuschneiden. Mit dabei sind etwa IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, WPA/WPA2 und viele weitere. Wireshark ist die Fortentwicklung des Tools Ethereal, das es bereits seit 1998 gibt. Unter dem Namen Wireshark tauchte die Software im Jahr 2006 auf, damals zunächst in der Version 0.99, später dann als 1.x. Im Dezember 2015 machte die Version nach langer Pause den Sprung auf die Version 2. Sie enthält einige neue Funktionen und viele kleine Verbesserungen. Die Neuerungen betreffen vor allem die Bedienerführung und die grafischen Tools zum Auswerten des aufgezeichneten Netzwerkverkehrs. Nun dürfen Fenster mit Messwertdarstellungen, etwa zu TCP-Streams oder Durchlaufzeiten, gleichzeitig geöffnet bleiben, was bei der Analyse eines Datenstroms sehr hilfreich sein kann.

So sichern Sie Ihren Router ab

4.1 Wireshark installieren und einrichten

Für Wireshark ist es kein Problem, den Datenverkehr des Windows-PCs aufzuzeichnen, auf dem es installiert ist. Und was dabei herauskommt, ist sogar deutlich interessanter, als man meinen mag. Denn auf einem aktuellen Windows 7, 8 oder gar 10 passiert bereits ohne, dass Sie ein typisches Online-Programme geöffnet haben, etwa Browser, Outlook oder Skype, eine ganze Menge: Windows fragt einen Microsoft-Server an, um zu testen, ob die Internetverbindung noch steht. Das Antivirenprogramm sucht bei seinem Hersteller im Web nach neuen Versionen, und der Dropbox-Client für Windows sucht nach neuen Dateien in der Cloud. Sollten Sie fürchten, dass sich auf Ihrem PC ein Spionageprogramm befindet, ist Wireshark ebenfalls das Mittel der Wahl, um die Verbindungen der Schadsoftware aufzudecken.

Wireshark installieren: Installieren Sie Wireshark auf dem PC, dessen Datenverkehr Sie aufzeichnen möchten. Bei der Installation wird Ihnen angeboten, die Tools Winpcap und Usbpcap mit zu installieren. Winpcap müssen Sie für die Aufzeichnung des Datenverkehrs über die Netzwerkkarten installieren. Wenn Sie auch Usbpcap aufspielen, können Sie zudem Daten von einigen USB-Geräten mitschneiden, etwa die Bewegungen der USB-Maus.

Netzwerkadapter wählen: Nach einem PC-Neustart lässt sich Wireshark aufrufen und präsentiert Ihnen als Erstes eine Liste mit den erkannten Netzwerkadaptern. Je nachdem, ob Ihr PC per Netzwerkkabel oder per WLAN mit Ihrem Router verbunden ist, wählen Sie den entsprechenden Adapter („Ethernet“ oder „WLAN“) per Doppelklick. Wireshark startet darauf hin die Aufzeichnung von allen Daten, die über diese Netzwerkkarte laufen.

Aufgerufene Webadressen auflisten: Starten Sie Wireshark. Den Hinweis „The NPF driver isn’t running“ können Sie ignorieren. Klicken Sie auf „File, Open“, um die vom Router erstellte Datei zu öffnen. Sie erhalten nun eine tabellarische Ansicht aller Datenpakete, die während des Mitschnitts über die Fritzbox gelaufen sind. Im oberen Drittel sehen Sie die Paketliste, im mittleren Drittel Detailinfos zum ausgewählten Paket und im unteren Drittel dessen (binären) Inhalt.

Mit Wireshark Netzwerk-Probleme finden

Die Spalte „No.“ gibt die laufende Nummer des Pakets an, die Spalte „Time“ die Sekunden seit dem Start des Paketmitschnitts. Über „View ➞ Time Display Format“ können Sie „Date and time of day“ auswählen und so einen genauen Datums- und Uhrzeitstempel jedes Eintrags erhalten. In der Spalte „Source“ steht, woher das Datenpaket kam, und unter „Destination“, wohin es ging. Das verwendete Übertragungsprotokoll entnehmen Sie der Spalte „Protocol“. Die Größe des Datenpakets steht unter „Length“. Und einen Auszug aus dem Inhalt fördert die Spalte „Info“ zutage.

Namenszuordnung einschalten: Wie Sie sofort sehen, befinden sich in den Zeilen „Source“ und „Destination“ nur (numerische) IP-Adressen. Während Sie die internen Adressen durch die in Schritt zwei getroffenen Maßnahmen problemlos Ihren mit dem Heimnetz verbundenen Geräten zuordnen können, geht das bei externen Adressen natürlich nicht. Daher sollten Sie unter „Edit ➞ Preferences ➞ Name Resolution“ die Option „Enable network name resolution“ aktivieren. Sie sorgt dafür, dass Wireshark versucht, die zu den IP-Adressen gehörigen Domain-Namen zu ermitteln.

Das funktioniert nur bei bestehender Internetverbindung – allerdings auch nicht immer. Denn nicht jeder IP-Adresse ist auch eine Domain zugeordnet. Und manchen IPs können auch mehrere Domains zugehörig sein. Und dann gibt es noch den Sonderfall, dass für manche Domains kein „Reverse lookup“-Eintrag zur Rückwärtssuche beim zuständigen DNS-Server hinterlegt ist. Für die meisten externen Adressen sollten Sie aber Ergebnisse erhalten. Und manche Router ordnen auch den internen IP-Adressen Domains zu. Die Fritzbox tut dies zum Beispiel nach dem Muster <Windows-Rechnername>.fritz.box.

Der Lohn der Mühe: In dem Fenster ?IPv4 Endpoints? zeigt Wireshark die Server an, auf die wir die Analyse aktuell beschränken und die von dem internen Netzwerkteilnehmer kontaktiert wurden.
Vergrößern Der Lohn der Mühe: In dem Fenster ?IPv4 Endpoints? zeigt Wireshark die Server an, auf die wir die Analyse aktuell beschränken und die von dem internen Netzwerkteilnehmer kontaktiert wurden.

Möchten Sie die Paketanalyse auf ein Netzwerkgerät einschränken, müssen Sie zunächst alle anderen Pakete herausfiltern. Geben Sie dazu in Wireshark in das Eingabefeld „Filter“ Folgendes ein: „!ip.addr==“, gefolgt von der IP-Adresse, auf die Sie die Analyse eingrenzen wollen. Beispiel: !ip.addr==192.168.178.20

Bestätigen Sie mit der Eingabetaste. Nun werden alle Pakete angezeigt, in denen diese IP nicht auftaucht. Über „Edit ➞ Ignore All Displayed Pakets (toogle)“ blenden Sie diese nun aus. Ein Klick auf „Clear“ in der Zeile „Filter“ macht den Blick frei auf alle Pakete der gewählten IP – in unserem Beispiel 192.168.178.20. Diese könnten Sie jetzt einzeln anklicken und den Inhalt analysieren. Eine leichter verdauliche Darstellung, die alle kontaktierte Server zusammenfasst, erhalten Sie über „Statistics ➞ Endpoint List ➞ IPv4“ in einem separaten Fenster.

Scrollen ausschalten: Standardmäßig springt die Anzeige des Datenverkehrs stets zum neuesten Eintrag. Wenn Sie sich mit dem Protokoll bereits während der Aufzeichnung beschäftigen möchten, ist diese Einstellung unpraktisch. Sie beenden das Scrollen über „Navigation -> Während der Aufzeichnung automatisch scrollen“.

WLAN-Überwachung mit Wireshark nur per Linux

Mit Wireshark den Datenverkehr eines PCs aufzuzeichnen, auf dem Sie das Tool installiert haben, ist wie oben gesehen recht einfach. Möchten Sie den Datenverkehr weiterer WLAN-Geräte aufzeichnen, geht das zumindest theoretisch ebenfalls mit Wireshark. Alldings klappt das nicht mit einem Windows-PC. Denn die Windows-Treiber für Netzwerkadapter erlauben den nötigen Lauschmodus („Monitoring-Mode“) nicht. Dieser ist nötig, um die Datenströme anderer Geräte über diesen PC zu leiten. Entsprechend taucht diese Option in Wireshark für Windows auch gar nicht auf.

Wenn Sie mit Wireshark für Linux Ihr Glück versuchen möchten, können Sie zu Kali Linux greifen, auf dem Wireshark bereits installiert ist. In Wireshark für Linux können Sie unter „Aufzeichnungen -> Optionen -> WLAN“ den „Monitoring-Mode“ aktivieren. Allerdings unterstützen auch unter Linux nicht alle Treiber beziehungsweise Netzwerkchips diesen Lauschmodus. Eine WLAN-Abhöraktion mit dieser Methode ist somit nicht sicher möglich. Zuverlässig klappt das Anzapfen der Datenströme aber am Router.

4.2 Mit Wireshark Detektiv spielen:

Möchten Sie die Kommunikation mit einem speziellen Server genauer unter die Lupe nehmen, klicken Sie den entsprechenden Eintrag mit der rechten Maustaste an und wählen „Apply as Filter ➞ Selected“. Nun zeigt das Hauptfenster von Wireshark nur noch die betreffenden Pakete an. Klicken Sie das erste davon mit der rechten Maustaste an und wählen Sie „Follow TCP Stream“, um den Inhalt des Pakets in einer besser lesbaren Form und zusammen mit dem Inhalt der dazugehörigen anderen Pakete zu sehen. In der Regel handelt es sich um ein Anfrage-Antwort-Pärchen: Am Anfang steht die Anfrage, die Ihr Rechner an einen Server gesendet hat, darauf folgt dessen Antwort. Die gesendeten Daten sind dabei in rot eingefärbt, die empfangenen in blau. Beachten Sie, dass Sie viele Paketinhalte nicht entziffern können werden. Nämlich einerseits, wenn es sich um Binärinhalte wie Bilder handelt – und zum anderen, wenn die Daten verschlüsselt übertragen wurden, zum Beispiel per Https oder VPN.

Übersichtlich: In diesem Beispiel betrachten wir nur die Kommunikation des ausgewählten internen Netzwerkteilnehmers mit dem uns suspekt erscheinenden Server flurry.com.
Vergrößern Übersichtlich: In diesem Beispiel betrachten wir nur die Kommunikation des ausgewählten internen Netzwerkteilnehmers mit dem uns suspekt erscheinenden Server flurry.com.

Auch im Hauptfenster zeigt Wireshark jetzt nur noch die Pakete an, die zu dem im Extra-Fenster dargestellten Datenaustausch gehören. Zum nächsten Anfrage-Antwort-Pärchen der zuvor ausgewählten Server-Verbindung zu gelangen, ist etwas umständlich: Klicken Sie das letzte Datenpaket in der Liste an und wechseln Sie dann ins noch geöffnete Fenster „IPv4 Endpoints“. Klicken Sie mit der rechten Maustaste auf den gleichen Server-Namen wie vorhin und wählen Sie erneut „Apply as Filter ➞ Selected“. Wenn es weitere Verbindungen zu dem Server gab, werden diese im Hauptfenster unter dem zuvor von Ihnen markierten Datenpaket angezeigt. Klicken Sie den darauf folgenden Eintrag mit der rechten Maustaste an und wählen Sie wiederum „Follow TCP Stream“. Wiederholen Sie dieses Vorgehen so lange, bis für den ausgewählten Server-Namen im Hauptfenster von Wireshark keine weiteren Pakete angezeigt werden. Im Anschluss können Sie sich im Fenster „IPv4 Endpoints“ dem nächsten Server-Namen zuwenden, der Ihr detektivisches Gespür weckt.

Wie zuvor beschrieben, bietet Wireshark keine Option, um die mitgeschnittenen Binärdaten wie Bilder oder Videos direkt anzuzeigen. Es gibt aber die Möglichkeit, die Dateien, die während des Mitschnitts über das Http-Protokoll übertragen wurden, zu exportieren. Dazu klicken Sie auf „File, Export, Objects, HTTP“. Hier werden alle Webinhalte aufgelistet, die während des Paketmitschnitts über den Router gelaufen sind. Klicken Sie entweder ein einzelnes Element an und wählen Sie „Save as“, oder nutzen Sie „Save All“, um alle Elemente zu exportieren.

Im Falle von „Save All“ geben Sie im Folgenden einen Ordnernamen ein, in dem die Elemente gespeichert werden sollen. Im Anschluss öffnen Sie diesen Ordner im Windows-Explorer und nehmen die Dateien unter die Lupe – zum Beispiel Videos, Bilder und HTML-Seiten. Wurden während des Mitschnitts Internettelefonate (VoIP) geführt, lassen sich diese – zurück im Hauptfenster von Wireshark – über „Telephony, VoIP Calls“ aus dem Netzwerkverkehr herausfiltern und anhören. Ausgenommen sind natürlich verschlüsselte Gespräche, zum Beispiel per Skype.

Bilder, Musik und Videos im Heimnetz

Nächstes Netzwerkgerät betrachten: Beachten Sie, dass sich alle Auswertungen seit Schritt 4 nur auf die dort gewählte interne IP-Adresse beziehen. Möchten Sie den Datenverkehr eines anderen Netzwerkgeräts analysieren, klicken Sie auf „Edit ➞ Un-Ignore All Packets“, und starten Sie mit dessen IP-Adresse von vorne.

Ertappt: Die genaue Analyse der Kommunikation mit dem Server flurry.com ergibt, dass die Android-App Angry Birds dorthin detaillierte Informationen zu unserem Nutzungsverhalten übermittelt.
Vergrößern Ertappt: Die genaue Analyse der Kommunikation mit dem Server flurry.com ergibt, dass die Android-App Angry Birds dorthin detaillierte Informationen zu unserem Nutzungsverhalten übermittelt.

4.3 Ein praktisches Anwendungsbeispiel

Der Screenshot zeigt, dass Sie mit Wireshark zum Beispiel Datenspionen auf die Schliche kommen können. Auf einem Android-Gerät haben wir das Spiel Angry Birds benutzt. Obwohl es sich dabei um kein Online-Spiel handelt, verursacht es einigen Datenverkehr. So stellt es zum Beispiel eine Verbindung zum Server Flurry.com her. Ruft man die Adresse im Web-Browser auf, erfährt man, dass sich dahinter ein Dienst verbirgt, der im Auftrag von App-Herstellern das Benutzerverhalten protokolliert.

Wie detailliert das geschieht, verrät uns die Protokollanalyse: An Flurry.com und damit auch an Rovio, den Hersteller von Angry Birds, übermittelt die Spiele-App ungeniert, was der Anwender in welcher Reihenfolge genau macht: „Episode selection entered, Main menu entered, Level failed, Goto episode 1, Level complete, Level started“ und so weiter. Als ob das noch nicht genug wäre, überträgt die App auch die Smartphone-Modellbezeichnung sowie weitere eindeutige Identifikationsnummern, an denen sich der Anwender bei der nächsten Benutzung wiedererkennen lässt. Sie haben bei Ihrer Protokollanalyse ähnlich haarsträubende Entdeckungen gemacht? Dann freuen wir uns, wenn Sie sie mit uns und allen anderen Interessierten auf pcwelt-forum oder facebook-pcwelt teilen.

Video: Brookstone Rover 2.0 Spy Tank
0 Kommentare zu diesem Artikel
1724309