CDI-Handbuch
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Traffic-Analyse (Wireshark)<br />
Wireshark ist ist ein sogenannter Traffic-Sniffer, der Netzwerkverkehr<br />
„abschnüffeln“ und schließlich sortieren und anderweitig aufbereiten<br />
kann. Sie können Wireshark beispielsweise dazu benutzen, den Verkehr<br />
eines Smart TVs (der Werbung von den Servern des Herstellers nachlädt)<br />
zu analysieren oder mit Schadsoftware infizierte Windows-Rechner, die<br />
Spam verschicken zu identifizieren. Um den vollen Funktionsumfang<br />
von Wireshark nutzen zu können, sollten sowohl der zu analysierende<br />
Rechner als auch der PC, auf dem Sie das <strong>CDI</strong> Forensik-System gestartet<br />
haben, mit demselben Netzwerk-Switch verbunden sein. Ist dies nicht<br />
möglich (beispielsweise weil das zu analysierende Gerät nur über eine<br />
WLAN-Schnittstelle verfügt), können Sie – im Falle dass der WLAN-<br />
Accesspoint die Pakete nicht zum Forensik-Rechner durchreicht – den<br />
DSL-Router die Netzwerkpakete mitschneiden lassen und diese unter<br />
Wireshark analysieren.<br />
Wireshark begrüßt Sie mit einer Liste der Netzwerkschnittstellen. Suchen<br />
Sie hier die Schnittstelle aus, von der Traffic mitgeschnitten werden<br />
soll, in der Regel ist dies „eth0“ oder „eth1“ (die erste und die zweite<br />
Ethernetschnittstelle). Klicken Sie dann auf die grüne Haifischflosse,<br />
die mit „Start“ beschriftet ist. Sie sehen nun die aktuell übers Netzwerk<br />
laufenden Pakete und deren Absender sowie Empfänger in Echtzeit. Mit<br />
35