2111893

Wireshark - Eigenen Netzwerk-Traffic analysieren

12.10.2015 | 13:01 Uhr |

Wireshark überwacht und analysiert den gesamten Datenverkehr, der über den Netzwerkadapter eines Rechners läuft.

Was in Ihrem Netzwerk durch die Leitungen rauscht beziehungsweise per Funk übertragen wird, ist normalerweise nicht sichtbar. Das machen sich Hacker zunutze und lassen ihre Spyware unbemerkt mit dem Internet kommunizieren. Aber auch viele Fehlkonfigurationen und Engpässe in Ihrem LAN ließen sich erkennen, wenn man den Netzwerkverkehr kontrollieren könnte.

Mit Wireshark gibt es eine mächtige, kostenlose Software, die genau das ermöglicht: die Überwachung und Analyse der Datenpakete, die in einem Netz übertragen werden. Normalerweise kontrolliert sie nur den Netzwerk-Traffic des PCs, auf dem sie installiert ist. In Zusammenarbeit mit der AVM Fritzbox allerdings kann das Tool sämtliche Pakete analysieren, die zwischen Ihrem Netzwerk und dem Internet ausgetauscht werden.

So geht’s: Die Fritzbox hält zu diesem Zweck eine versteckte Funktion bereit. Um sie zu erreichen, rufen Sie in Ihrem Browser die Adresse http://fritz.box/html/capture.html auf. Bei einigen Fritzbox-Modellen funktioniert auch der Link http://fritz.box/cgi-bin/webcm?getpage=../html/capture.html .

Nachdem Sie das Passwort für die Box eingegeben haben, erreichen Sie die Seite „Paketmitschnitt“. Dort können Sie entweder die Protokollierung des Verkehrs über eine bestimmte Schnittstelle einleiten oder durch einen Klick auf die Schaltfläche „Start“ neben „Internetverbindung“ beziehungsweise „1. Internetverbindung“ den kompletten Traffic mitschneiden.

Achtung: Die dabei entstehende Datei kann sehr groß werden! Aktivieren Sie den Mitschnitt daher nach Möglichkeit nur für einige Sekunden oder Minuten. Sobald Sie den Vorgang mit „Stopp“ abbrechen, erzeugt die Fritzbox eine Datei mit der Endung ETH, die automatisch im Download-Ordner des Browsers gespeichert wird.

Installieren Sie nun Wireshark und rufen Sie es auf. Tipp: Wenn die Software beim Start hängenbleibt, überprüfen Sie, ob bei Ihnen die aktuelle, stabile Version der Programmbibliothek Winpcap eingerichtet ist. Falls Sie einen Powerline-Adapter von Devolo besitzen, ist es zudem teilweise erforderlich, das Cockpit-Tool zu deinstallieren.

In Wireshark gehen Sie auf „File > Open“ und laden die ETH-Datei. Sie sehen nun im obersten Fenster des Programms die Liste der Datenpakete, die über die Fritzbox geflossen sind. Klicken Sie einen Eintrag an, erscheinen im zweiten Fenster detaillierte Informationen dazu. Das dritte Fenster zeigt den Inhalt standardmäßig im Hexadezimal-Code an. Die meisten Einträge sind jedoch uninteressant und betreffen beispielsweise Broadcast-Aussendungen von Netzwerkgeräten.

Die Stärke von Wireshark ist es jedoch, aus dem Datenwust genau die Informationen herauszufischen, die der Anwender sucht. Dazu stellt das Tool umfangreiche Filterfunktionen zur Verfügung, viele davon sind bereits vordefiniert.

Um beispielsweise zu ermitteln, welche Webseiten während des Überwachungszeitraums aufgerufen wurden und welche Dateien von dort heruntergeladen wurden, rufen Sie „Statistics > HTTP > Requests“ auf. Klicken Sie in dem kleinen Fenster auf „Create Stat“, um die gesammelten Daten zu den HTTP-Verbindungen abzurufen. Im folgenden Fenster erscheinen nun die Internet-Adressen. Wenn Sie auf das vorangestellte Pluszeichen klicken, sehen Sie jeweils die übertragenen Dateien. Meistens handelt es sich um Bilder, die im Cache des Browsers landen, sowie um Cookies von Analyseprogrammen und Werbenetzwerken. Sie können aber auch erkennen, ob jemand in Ihrem Netzwerk größere Datenmengen über den Browser heruntergeladen hat.

Sie können mit Wireshark natürlich auch einfach nur den Traffic Ihres eigenen Computers überwachen, um auf diese Weise Anwendungen auf die Spur zu kommen, die regelmäßig und unkontrolliert Daten ins Internet schicken. Klicken Sie dazu auf „Capture > Interfaces“ und achten Sie darauf, dass Ihr Netzwerkadapter markiert ist. Klicken Sie dann auf „Start“, um die Anzeige des laufenden Verkehrs zu starten. Vergessen Sie nicht, die Aufzeichnung mit „Capture > Stop“ zu beenden. Über das Menü „File“ können Sie die Daten anschließend für eine spätere Auswertung speichern.

Tipp: Weitere Infos zu Wireshark, um Netzwerk-Probleme zu lösen, finden Sie in unseren Ratgeber zum Thema .

0 Kommentare zu diesem Artikel
2111893