Channel Header
1724309

Vorbereitung des Datenmitschnitts

16.07.2016 | 08:34 Uhr | Arne Arnold

Schritt 2: Vorbereitungen für den Datenmitschnitt
Um den Netzwerkmitschnitt später gerätespezifisch filtern zu können, müssen Sie herausfinden, welches Gerät vom Router welche interne Netzwerkkennung (IP-Adresse) zugewiesen bekommen hat. Auf einem Windows-PC öffnen Sie dazu die Kommandozeile und tippen ipconfig ein. Interne Netzwerkadressen haben in der Regel den Aufbau 192.168.x.x. Auf einem Android-Gerät öffnen Sie die WLAN-Einstellungen, tippen auf die Menü-Taste und wählen „Erweitert“. Sie gelangen auf eine Statusseite, auf der Sie die interne IP-Adresse ablesen können. Bei iOS-Geräten tippen Sie in den Einstellungen auf „Wi-Fi“ und dann bei dem WLAN, in das Sie eingebucht sind, auf den blauen Pfeil-Button ganz rechts.

Nicht erschrecken: So sieht der Paketmitschnitt im kostenlosen Analyseprogramm Wireshark aus, bevor Sie ihn filtern. Jeder Eintrag in der Liste entspricht einem gesendeten oder empfangenen Datenpaket.
Vergrößern Nicht erschrecken: So sieht der Paketmitschnitt im kostenlosen Analyseprogramm Wireshark aus, bevor Sie ihn filtern. Jeder Eintrag in der Liste entspricht einem gesendeten oder empfangenen Datenpaket.

Schritt 3: Datenmitschnitt des Routers starten
Wir beschreiben im Folgenden am Beispiel der Fritzbox 7390, Firmware-Version „FRITZ!OS 05.22“ (84.05.22), wie Sie einen Paketmitschnitt anlegen: Als Erstes rufen Sie die oben schon erwähnte Adresse fritz.box/html/capture.html beziehungsweise in Ihrem Web-Browser fritz.box/cgi-bin/webcm?getpage=../html/capture.html auf. Klicken Sie dann in der Zeile „Routing-Schnittstelle“ auf „Start“. Nach kurzer Zeit sollte ein Download-Dialog erscheinen. Falls nicht, rufen Sie in einem zweiten Browser-Fenster eine beliebige Webseite auf, um etwas Netzwerkverkehr zu erzeugen. Spätestens jetzt können Sie den Download des Mitschnitts starten.

Es handelt sich dabei um einen gestreamten Download: Wenn (Internet-)Pakete von der Fritzbox oder an sie gesendet werden, werden sie gleichzeitig auch in die offene Download-Datei hineingeschrieben. Findet gerade keine Übertragung statt, pausiert also auch der Download. Wenn Sie nach einigen Minuten, Stunden oder Tagen für Ihre Zwecke genügend Daten gesammelt haben, klicken Sie auf der „Fritz!Box Paketmitschnitt“-Seite auf den Button „Stop“. Was Sie keinesfalls tun sollten: den Download über das Dialogfeld des Browsers zu beenden. Denn dann wird er abgebrochen, und die bis dahin erhaltenen Daten sind futsch.

Von hinten durch die Brust: Um die folgenden Auswertungen auf ein Netzwerkgerät zu beschränken, müssen Sie dessen IP-Adresse temporär ausfiltern und alle anderen Pakete auf „ignorieren“ stellen.
Vergrößern Von hinten durch die Brust: Um die folgenden Auswertungen auf ein Netzwerkgerät zu beschränken, müssen Sie dessen IP-Adresse temporär ausfiltern und alle anderen Pakete auf „ignorieren“ stellen.

Schritt 4: Datenmitschnitt auswerten
Um den Paketmitschnitt analysieren zu können, benötigen Sie eine spezielle Software, zum Beispiel das kostenlose Wireshark .
Aufgerufene Webadressen auflisten: Starten Sie Wireshark. Den Hinweis „The NPF driver isn’t running“ können Sie ignorieren. Klicken Sie auf „File, Open“, um die vom Router erstellte Datei zu öffnen. Sie erhalten nun eine tabellarische Ansicht aller Datenpakete, die während des Mitschnitts über die Fritzbox gelaufen sind. Im oberen Drittel sehen Sie die Paketliste, im mittleren Drittel Detailinfos zum ausgewählten Paket und im unteren Drittel dessen (binären) Inhalt.

Mit Wireshark Netzwerk-Probleme finden

Die Spalte „No.“ gibt die laufende Nummer des Pakets an, die Spalte „Time“ die Sekunden seit dem Start des Paketmitschnitts. Über „View ➞ Time Display Format“ können Sie „Date and time of day“ auswählen und so einen genauen Datums- und Uhrzeitstempel jedes Eintrags erhalten. In der Spalte „Source“ steht, woher das Datenpaket kam, und unter „Destination“, wohin es ging. Das verwendete Übertragungsprotokoll entnehmen Sie der Spalte „Protocol“. Die Größe des Datenpakets steht unter „Length“. Und einen Auszug aus dem Inhalt fördert die Spalte „Info“ zutage.

Namenszuordnung einschalten: Wie Sie sofort sehen, befinden sich in den Zeilen „Source“ und „Destination“ nur (numerische) IP-Adressen. Während Sie die internen Adressen durch die in Schritt zwei getroffenen Maßnahmen problemlos Ihren mit dem Heimnetz verbundenen Geräten zuordnen können, geht das bei externen Adressen natürlich nicht. Daher sollten Sie unter „Edit ➞ Preferences ➞ Name Resolution“ die Option „Enable network name resolution“ aktivieren. Sie sorgt dafür, dass Wireshark versucht, die zu den IP-Adressen gehörigen Domain-Namen zu ermitteln.

Das funktioniert nur bei bestehender Internetverbindung – allerdings auch nicht immer. Denn nicht jeder IP-Adresse ist auch eine Domain zugeordnet. Und manchen IPs können auch mehrere Domains zugehörig sein. Und dann gibt es noch den Sonderfall, dass für manche Domains kein „Reverse lookup“-Eintrag zur Rückwärtssuche beim zuständigen DNS-Server hinterlegt ist. Für die meisten externen Adressen sollten Sie aber Ergebnisse erhalten. Und manche Router ordnen auch den internen IP-Adressen Domains zu. Die Fritzbox tut dies zum Beispiel nach dem Muster <Windows-Rechnername>.fritz.box.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
1724309