Netzwerkanalyse Seite 1 von 6 Einführung in die Netzwerkanalyse ...

Netzwerkanalyse Seite 1 von 6
Einführung in die Netzwerkanalyse
Unter Netzwerkanalyse versteht man einen Prozess, bei dem der Netzwerk-Traffic abgegriffen
und genau untersucht wird, um festzustellen, was gerade im Netzwerk passiert.
Ein solches Programm nennt man Sniffer. Ein weit verbreitetes ist das
Netzwerkanalysetool ’Ethreal Network Analyser’.
Zusammenfassung
Details
Daten
Abb. 1: Oberfläche Ethreal Network Analyser
Zusammenfassung: Zusammenfassung der abgegriffenen Pakete mit Datum, Uhrzeit,
Quelladresse, Zieladresse sowie der Name und Informationen zum Protokoll der höchsten
Schicht.
Details: Es werden alle Einzelheiten aus den verschiedenen Schichten der abgegriffenen
Daten in einer Baumstruktur dargestellt.
Daten: Es werden die abgegriffenen Rohdaten sowohl im hexadezimalen als auch im
ASCII-Format dargestellt.
Für das Abgreifen des rohen Netzwerk-Traffics ist ein ’Capture-Treiber’ notwendig, der die
abgehörten Daten in einen Puffer speichert.
Testen des Programms:
• Installieren Sie das Programm.
• Wählen Sie unter ’Capture – Interfaces’ die Netzwerkschnittstelle aus und starten Sie
die Aufzeichnung
• Melden Sie sich bei Ihrem Mail-Provider an, zeichnen Sie die Traffic mit und lassen
Sie sich Ihr Passwort anzeigen.
Roscher W.-v.-S.-Schule Mannheim

Netzwerkanalyse Seite 2 von 6
Abb. 2: Auswahl der Netzwerkschnittstelle
Ethernet:
ist eine kabelgebundene Datennetztechnik für lokale Datennetze (LANs). Sie ermöglicht den
Datenaustausch in Form von Datenrahmen zwischen allen in einem lokalen Netz (LAN)
angeschlossenen Geräten (Computer, Drucker usw.).
Ethernet umfasst Festlegungen für Kabeltypen und Stecker, beschreibt die Signalisierung
für die Bitübertragungsschicht und legt Paketformate und Protokolle fest. Aus Sicht des
OSI-Modells spezifiziert Ethernet sowohl die physikalische Schicht (OSI Layer 1) als auch
die Data-Link-Schicht (OSI Layer 2). Ethernet ist weitestgehend in der IEEE-Norm 802.3
standardisiert. Ethernet kann die Basis für Netzwerkprotokolle z.B. AppleTalk oder TCP/IP
bilden.
Es ist der gängiste Protokollstandard, der für die Kommunikation zwischen Computern
eingesetzt wird. Es handelt sich um ein Broadcast-Protokoll, weil Daten an alle Computer im
selben Netzwerksegment gesendet werden.
Die Informationen werden in leicht zu handhabende Abschnitte oder Pakete aufgeteilt.
Jedes Paket besitzt einen Header- eine Art Umschlag, der die Adressen der Quell- und
Zielcomputer erhält. Obwohl diese Informationen an alle PCs in einem Segment übertragen
werden, antwortet nur der Computer mit der passenden Zieladresse, alle anderen
ignorieren die Pakete, es sein denn ein Computer führt einen Sniffer aus. Dieser, bzw. der
Capture-Treiber, schaltet die Netzwerkkarte in den Promiscuous-Modus. In diesem
Modus erkennt der sniffende Computer den gesamten Traffic im Segment, ungeachtet des
Empfängers. In der Regel laufen Computer nicht im Promiscuous-Modus, sondern warten
nur auf Informationen, die nur für sie selbst bestimmt sind. Wenn eine Netzwerkkarte jedoch
in den Promiscuous-Modus geschaltet wurde, kann sie den Dialog aller benachbarten
Computer erkennen.
Netzwerkanalyse (legitime):
Die meisten Switches und Router bieten ein Feature namens Port-Mirroring. Um einen
Port zu Spiegeln, muss der Switch so konfiguriert werden, dass er den Traffic von einem zu
überwachenden Port auf dem Port spiegelt, an dem das Netzanalysesystem angeschlossen
ist.
Aufzeichnung über einen Splitter:
Der Splitter wird wie ein Hub in die Verbindung eingeschliffen und ist völlig transparent.
Splitter gibt es für alle Medien von 10BaseT bis Gigabit Ethernet.
Roscher W.-v.-S.-Schule Mannheim

Netzwerkanalyse Seite 3 von 6
Abb. 3: Einsatz eines Protokollanalysers
Bei einem Fullduplex-Link fallen dann 2 mal 100 Mbit/s an. Dazu wird ein
Protokollanalyser mit 2 Eingängen benötigt. Im Normalfall tut es auch ein PC mit zwei
Netzwerkkarten und ein nachträglicher Merge der Tracefiles mit mergecap von Ethereal
(mergecap ist ein Programm, das eine aus mehreren Dateien gespeicherte Erfassung in
eine einzige Datei ausgegeben kann).
Es kann auch stattdessen ein Tab eingesetzt werden. Taps stellen einen "Test Access
Port" für die Analyse von Hochgeschwindigkeitsnetzwerken im Halb- oder Vollduplex
Modus zur Verfügung. Sie erlauben das Mitschneiden von Vollduplex-Links mit einer
einzigen Netzwerkkarte.
Netzwerkanalyse (illegal):
Der Switch sendet nur Daten an den Zielcomputer und nicht an den Sniffer. ARPs werden
am Switch per Broadcast übertragen, sodass alle Computer am Switch die Request und die
Antwort erkennen können. Es gibt verschiedene Methoden die ARP zu nutzen, um sich für
einen anderen Computer auszugeben. Das Verfälschen von MAC-Adressen wird MAC-
Spoofing genannt.
Sniffer erkennen:
Um den Promiscuous-Modus auf Windows-Systemen zu erkennen können >Tools
eingesetzt werden. PromiscDetect erkennt Netzwerkkarten im Promiscuous-Modus, es ist
runterzuladen unter http://www.ntsecurity.nu/toolbox/promiscdetect/.
Aufgabe:
Laden Sie sich das Programm aus dem Internet, installieren sie es unter C: und führen Sie
es in der Eingabeaufforderung aus mit: C:\ promiscdetect
Starten Sie nun ’Ethreal Network Analyser’ und führen Promiscdetect erneut aus. Das
Programm erkennt nun den veränderten Modus der Netzwerkkarte.
Manche Sniffer können allerdings ihre Spuren verwischen, indem sie die Zeichenkette
Promiscuous unterdrücken.
Roscher W.-v.-S.-Schule Mannheim

Netzwerkanalyse Seite 4 von 6
Weiterer Schutz:
• Einsatz eines Honeypots. Ein Honeypot ist ein Server, der konfiguriert ist, um die
Aktivität von Angreifern zu überwachen. Er enthält unechte Daten, einen falschen
Administrator und falsche Benutzerkonten. Eine auf den Server laufende Software
schlägt Alarm, wenn eines der unechten Konten benutzt wird.
• Verschlüsselung, z.B. VPN (Virtuel-Private-Network)
• oder SSL / HTTPS Verschlüsselung; das Protokoll SSL (Secure Socket Layer) gilt als
ziemlich sicher. Die Sicherheit basiert allerdings auf dem Verbindungsaufbau mit
einer vertrauenswürdigen Gegenstelle.
Filter:
Das wichtigste Instrument zum Auswerten von Traces sind Filter. Mit Filtern wird die
Anzeige auf die interessanten Frames eingeschränkt. Um nur noch Traffic von und zu
unserer eigenen IP-Adresse zu sehen, geben wir im Eingabefeld Filter von Ethereal
folgenden Ausdruck ein:
ip.addr == 192.168.1.2
Als IP-Adresse setzen wir die IP-Adresse des Sniffers ein (wurde unter Capture /
Interfaces angezeigt). Ethereal zeigt nun nur noch Frames an, die diese Filterbedingung
erfüllen. Mit der Schaltfläche Clear kann die Filterbedingung gelöscht werden.
Filter erweitern
Im nächsten Schritt werden wir die Anzeige weiter einschränken. Es interessiert nur der
Traffic des Ping-Kommandos. Ping nutzt eine Protokoll namens ICMP. Die Filterbedingung
wird entsprechend erweitert:
ip.addr == 192.168.1.2 && icmp
Mit dem Operator && werden die einzelnen Filterbedingungen UND-verknüpft. ICMP
schränkt die Anzeige auf das Protokoll ICMP ein.
Aufgabe:
Wenden Sie den obigen Filter an; rufen Sie über den Ping-Befehl www.google.de auf. In
der Anzeige sollten jetzt nur noch ICMP-Pakete unserer eigenen IP-Adresse zu sehen sein.
Roscher W.-v.-S.-Schule Mannheim

Netzwerkanalyse Seite 5 von 6
Zusammenfassung: Die Spalte No. zeigt die Nummer des Frames an. Durch den aktiven
Filter müssen die Nummern jetzt nicht fortlaufend sein. Die Spalte Source zeigt den
Absender eines Frames an. In der Spalte Destination steht der Empfänger des Frames. Die
Spalte Protocol gibt das Protokoll in diesem Frame an. Die Spalte Info enthält zusätzliche
Angaben zum Frame.
Alle ICMP Echo Request sollten von der eigenen IP-Adresse zu einer IP-Adresse von
Google laufen. Die ICMP Echo Replies sollten als Source die Google-IP enthalten.
Paketdetails
Im mittleren Teil des Bildschirm werden die Details zum ausgewählten Frame angezeigt.
Wir wählen zuerst ein ICMP Echo Request in der Paketliste mit der Maus aus. In den
Paketdetails werden die Layer (Schichten) des Datenframes angezeigt. Durch Anklicken
des Plus-Symbols kann der gewählte Layer erweitert werden. Sehen wir uns die Layer im
einzelnen an.
Ganz oben in den Paketdetails finden wir Informationen von Ethereal zum betreffenden
Frame: Größe des Frames, aufgezeichnete Größe, Zeit und Zeitdifferenz zum
vorgehenden Frame.
Die nächste Zeile liefert Informationen zum OSI-Layer 2 (Ethernet). Dort sehen wie die
MAC-Adressen von Absender und Empfänger. Die MAC-Adresse des Empfängers wird im
Normalfall die MAC-Adresse des Default Routers sein.
Weiter geht es mit dem Layer 3: Internet Protocol (IP). Dort finden wir Angaben wie IP-
Flags, die Time to live (TTL), das Protokoll und Absender- und Empfänger-IP-Adressen.
Operatoren
In Capture Filtern erlaubt Wireshark die Nutzung einiger Operatoren.
Operator
Beschreibung
! oder not Negation
&& oder and logische UND-Verknüpfung
|| oder or logische ODER-Verknüpfung
&
bitweise UND-Verknüpfung
Roscher W.-v.-S.-Schule Mannheim

Netzwerkanalyse Seite 6 von 6
Beispiele für Capture-Filter
Filter
host 192.168.178.1
src host
192.168.178.1
dst host
192.168.178.1
port 22
src port 22
host 192.168.0.1 &&
port 53
Resultat
Liefert alle Pakete von und zum Host mit der IP-Adresse
192.168.178.1.
Filter auf Pakete die von der IP-Adresse 192.168.178.1 kommen.
Nur Pakete die an die IP 192.168.178.1 gerichtet sind, werden
durchgelassen.
Filtert auf alle SSH-Pakete.
Nur Pakete mit dem Absender-Port 22 werden aufgezeichnet.
Hier werden zwei Ausdrücke UND-verknüpft. Der Filter spricht auf
DNS-Traffic der IP-Adresse 192.168.0.1 an.
Zugriff auf Inhalte ab einem Offset
Neben den vordefinierten Filterausdrücken erlaubt Wireshark den Zugriff auf alle Inhalte
eines Frames. Dazu können Bytes ab einem Offset maskiert und verglichen werden. Die
Syntax für diesen Zugriff lautet:
protokoll[Offset in Bytes vom Beginn des Headers:Anzahl der Bytes]
Es können 1, 2 oder 4 Bytes verglichen werden. Wird keine Anzahl angegeben, wird nur 1
Byte verglichen. Der Vergleichswert kann dezimal oder hexadezimal (0x) angegeben
werden. Hier einige Beispiele.
ip[8] = 1
tcp[0:2] = 22
tcp[13] = 2
tcp[13] & 0x02 =
2
Filter auf das 8 Bytes des IP-Headers (TTL)
Filter auf die ersten beiden Bytes des TCP-Headers (Port-Nummer)
Filter auf Byte 13 des TCP-Headers (Flags). Segemente die nur das
SYN-Flag gesetzt haben passieren diesen Filter.
Hier wird das Byte 13 zuerst mit 0x02 maskiert. Dadurch passieren alle
TCP-Segemente mit gesetztem SYN-Flag den Filter. Die anderen Flags
sind ausgeblendet.
Roscher W.-v.-S.-Schule Mannheim