IT Explained:

Packet Sniffing




Was ist Packet Sniffing?

 

Packet Sniffing ist das Sammeln und Protokollieren einiger oder aller Pakete, die durch ein Computer-Netzwerk gehen, unabhängig davon, wie das Paket adressiert ist. Auf diese Weise kann jedes Paket oder eine bestimmte Teilmenge von Paketen zur weiteren Analyse erfasst werden. Sie als Netzwerkadministratoren können diese gesammelten Daten für eine Vielzahl von Zwecken wie z. B. zur Überwachung von Bandbreite und Datenverkehr nutzen.

Ein Packet Sniffer, der manchmal auch als Packet Analyzer bezeichnet wird, besteht aus zwei Hauptteilen: erstens aus einem Netzwerkadapter, der den Sniffer mit dem bestehenden Netzwerk verbindet, und zweitens aus der Software, die die Protokollierung, Ansicht oder Analyse der gesammelten Daten ermöglicht.

Wie funktioniert Packet Sniffing?


Ein Netzwerk ist eine Ansammlung von untereinander verbundenen Knoten wie Personalcomputern, Servern und Netzwerkhardware. Die Netzwerkverbindung ermöglicht die Übertragung von Daten zwischen diesen Elementen. Die Verbindungen können physisch mit Kabeln oder drahtlos mit Funksignalen erfolgen. Netzwerke können auch eine Kombination aus beiden Typen sein.

Während die Knoten Daten durch das Netzwerk schicken, wird jede Übertragung in kleinere Einheiten unterteilt, die als Pakete bezeichnet werden. Dank ihrer festgelegten Länge und Form können die Datenpakete auf Vollständigkeit und Nutzbarkeit überprüft werden. Da die Infrastruktur eines Netzwerks vielen Knoten gemeinsam ist, werden Pakete, die für unterschiedliche Knoten bestimmt sind, auf dem Weg zu ihrem Ziel durch zahlreiche andere Knoten geleitet. Um sicherzustellen, dass keine Daten verwechselt werden, wird jedem Paket eine Adresse zugewiesen, die den vorgesehenen Zielort dieses Pakets darstellt.

Die Adresse eines Pakets wird von jedem Netzwerkadapter und verbundenen Gerät überprüft, um zu ermitteln, für welchen Knoten das Paket bestimmt ist. Wenn ein Knoten bei normalen Betriebsbedingungen ein Paket erkennt, das nicht an ihn adressiert ist, ignoriert er dieses Paket und seine Daten.

Beim Packet Sniffing wird diese Standardpraxis ignoriert, und alle – oder einige – Pakete werden unabhängig von ihrer Adresse gesammelt.

Es gibt zwei Haupttypen von Packet Sniffern:

  • Hardware Packet Sniffer
    Ein Hardware Packet Sniffer ist dafür bestimmt, an ein Netzwerk angeschlossen zu werden und es zu überprüfen. Ein Hardware Packet Sniffer ist besonders nützlich, wenn versucht wird, den Datenverkehr eines bestimmten Netzwerksegments zu sehen. Durch direkten Anschluss an das physische Netzwerk an der passenden Stelle kann ein Hardware Packet Sniffer sicherstellen, dass keine Pakete durch Filterung, Routing oder andere beabsichtigte oder unbeabsichtigte Ursachen verloren gehen. Entweder speichert ein Hardware Packet Sniffer die gesammelten Pakete oder er leitet sie weiter an einen Sammler, der die gesammelten Daten zur weiteren Analyse protokolliert.
  • Software Packet Sniffer
    Heutzutage sind die meisten Packet Sniffer vom Software-Typ. Obwohl jede mit einem Netzwerk verbundene Netzwerkschnittstelle jedes Bit des durchgehenden Netzwerkverkehrs empfangen kann, sind die meisten Schnittstellen so konfiguriert, dass sie dies nicht tun. Ein Software Packet Sniffer ändert diese Konfiguration so, dass die Netzwerkschnittstelle den gesamten Netzwerkverkehr zum Stack weiterleitet. Diese Konfiguration ist für die meisten Netzwerkadapter als Promiscuous-Modus bekannt. Im Promiscuous-Modus besteht die Funktionalität eines Packet Sniffers darin, alle Software-Pakete, die durch die Schnittstelle gehen, unabhängig von ihrer Zieladresse zu zerlegen, wieder zusammenzusetzen und zu protokollieren. Software Packet Sniffer sammeln den gesamten Datenverkehr, der durch die physische Netzwerkschnittstelle fließt. Dieser Datenverkehr wird dann protokolliert und entsprechend den Packet-Sniffing-Anforderungen der Software genutzt.


Zur Erfassung der Daten in einem ganzen Netzwerk können mehrere Packet Sniffer nötig sein. Da jeder Sammler nur den Netzwerkverkehr sammeln kann, der vom Netzwerkadapter empfangen wird, kann er eventuell nicht den Datenverkehr sehen, der auf der anderen Seite von Routern oder Switchen existiert. In drahtlosen Netzwerken können sich die meisten Adapter nur mit jeweils einem Kanal verbinden. Um Daten in mehreren Netzwerksegmenten oder mehreren drahtlosen Kanälen zu erfassen, wird für jedes Segment des Netzwerks ein Packet Sniffer gebraucht. Die meisten Lösungen zur Netzwerküberwachung bieten Packet Sniffing als eine der Funktionen ihrer Überwachungs-Agenten an.

Mit Packet Sniffing können Sie Ihren Netzwerkverkehr überwachen und wertvolle Einsichten zu Ihrer Infrastruktur und Leistung erhalten.


Wie viel Datenverkehr fließt durch Ihr Netzwerk? Welche Anwendungen beanspruchen die meiste Bandbreite? Die Antworten finden Sie mit dem professionellen Netzwerk-Überwachungstool PRTG!

  • 30 Tage PRTG-Vollversion
  • Nach 30 Tagen wird PRTG zur Freeware
  • Alternativ kaufen Sie ein Lizenz-Upgrade

Welche Arten von Informationen werden beim Packet Sniffing gesammelt?


Beim Packet Sniffing wird das gesamte Paket jeder Netzwerkübertragung erfasst. Unverschlüsselte Pakete können wieder zusammengesetzt und vollständig gelesen werden. Zum Beispiel würden Pakete, die von einem Benutzer abgefangen werden, der auf eine Website zugreift, das HTML und CSS der Webseiten enthalten. Am wichtigsten ist hierbei, dass Benutzer, die sich per unverschlüsselter Übertragung bei Netzwerkressourcen anmelden, ihren Benutzernamen und ihr Passwort als normalen Text bloßlegen, der in abgefangenen Paketen zu sehen ist.

 

Wann sollte ich Packet Sniffing einsetzen?


Packet Sniffing hat viele praktische Anwendungen. Gewöhnlich wird Packet Sniffing zur Netzwerkfehlersuche eingesetzt. Pakete, die in einem Netzwerk erkannt werden, in dem sie nicht sein sollten, können Anzeichen für falsches Routing oder Switching sein. Pakete, die für Ports markiert sind, die nicht mit ihrem Protokoll übereinstimmen, können auch auf eine Fehlkonfiguration eines oder mehrerer Knoten hinweisen. Außerdem können Sie den Datenverkehr und die auf Anforderungen empfangenen Antworten analysieren. Fragt der Knoten den richtigen DHCP-Server ab? Wird die richtige DNS-Anforderung zum richtigen Standort weitergeleitet? Wird der Datenverkehr mit SSL oder HTTPS verschlüsselt, wenn dies der Fall sein sollte, oder werden unverschlüsselte Antworten gesendet? Ist der Routingpfad des Pakets die effizienteste Route zu seinem Endziel?

Pakete können auch analysiert werden um festzustellen, ob eine bestimmte Anwendung zu viel Bandbreite beansprucht oder ob zur Authentifizierung zahlreiche hin- und hergehende Anrufe nötig sind. Auf der Grundlage der verfügbaren Daten können Sie die Kommunikation verbessern oder eine Fehlersuche an Anwendungen durchführen, um die Softwareleistung zu steigern.

Sie können Packet Sniffing auch einsetzen, um Verbrauchstrends in einem Netzwerk zu überwachen. Die Analyse der gesammelten Pakete kann u. U. zeigen, dass eine große Menge des Datenverkehrs auf eine bestimmte interne Anwendung oder auf Videoübertragungen zurückzuführen ist. Außerdem kann eine Abnahme des Datenverkehrs darauf hinweisen, dass bestimmte Ressourcen weniger genutzt werden.

Packet Sniffing kann zur Verbesserung der Netzwerksicherheit nützlich sein. Zum Beispiel könnten Sie bei der Überwachung des Datenverkehrs auf Benutzernamen und Passwörter, die als normaler Text dargestellt werden, mögliche Sicherheitsprobleme früher bemerken als eventuelle Hacker. Außerdem kann die Überwachung des Remote-Datenverkehrs dazu beitragen, dass der gesamte Datenverkehr richtig verschlüsselt wird und dass keine Daten ohne Verschlüsselung offen ins Internet abgeschickt werden.

Sicherheit


Diese Struktur ähnelt der Verzeichnisstruktur eines Computerdateisystems. Mit einer Struktur wie Sensoren/ÖlundGas/Druck/ kann ein Abonnent spezifizieren, dass nur Daten dorthin geschickt werden sollen, die von Kunden kommen, die Mitteilungen zum Thema Druck veröffentlichen, oder im weiteren Sinne vielleicht alle Daten von Kunden, die Mitteilungen zu jedem Thema innerhalb des Bereichs Sensoren/ÖlundGas veröffentlichen. Themen werden nicht explizit in MQTT erstellt. Wenn ein Broker Daten empfängt, die zu einem gegenwärtig nicht existierenden Thema veröffentlicht werden, wird das Thema einfach erstellt und Kunden können sich für das neue Thema anmelden.