Wireshark - So analysieren Sie den eigenen Netzwerk-Traffic

Immer mehr Geräte erfordern den Zugang zum Internet. Ob damit tatsächlich nur die Daten übertragen werden, die für das smarte Türschloss oder die Heizungsfernsteuerung notwendig sind, können Sie nur mit einem Spezialwerkzeug ermitteln.

Wir alle haben uns an den Komfort gewöhnt, dass sich unzählige Anwendungen auf unseren Computern automatisch aktualisieren. Und natürlich ist es komfortabel, wenn man auf dem Heimweg schon einmal Klimaanlage oder Heizung einschalten kann. Regelmäßig machen in diesem Zusammenhang Anwendungen Schlagzeilen, die zusätzliche Informationen über die angeschlossenen Systeme an einen Server des Herstellers senden. Ohne um Erlaubnis zu fragen, versteht sich. Wireshark hilft Ihnen dabei, unerwünschten Datenverkehr aufzuspüren. Der Paketsniffer ist allerdings ein Hardcoretool, das gute Kenntnisse über Netzwerkprotokolle voraussetzt.

Wozu setzen Sie Wireshark ein? 

Der Sniffer Wireshark ist in allen Linux-Distributionen sowie für Windows und Mac-OS verfügbar. Das Programm kann den Datenverkehr aufzeichnen, wobei Sie sich den Inhalt eines Datenpakets ansehen können. Protokolliert wird dabei immer die IP-Adresse des Zielsystems. Mit Wireshark lassen sich beispielsweise Programme entlarven, die notorisch „nach Hause telefonieren“. Den gesammelten Datenverkehr können Sie auch statistisch auswerten, etwa nach besonders großen Paketen suchen oder sich Adressen heraussuchen, die häufig aufgerufen werden. Eine Gegenprobe, wem eine solche IP-Adresse gehört, bringt Sie dann möglicherweise auf die Spur eines Angriffs.

Wireshark protokolliert den Netzwerkverkehr der Schnittstellen des Systems, auf dem es installiert ist. Es kann also alle ein- und ausgehenden Verbindungen des jeweiligen Rechners untersuchen. Gleichzeitig empfängt es auch alle Datenpakete, die an alle Systeme im Netzwerk gesendet werden (Broadcasts).

Beim Router wird es schwieriger: Die Zentrale im Netzwerk kann Wireshark nicht direkt kontrollieren und protokollieren, es sei denn, der Router unterstützt dies selbst. Sofern vorhanden, liegt diese Protokollfunktion des Routers meistens tief vergraben in der Konfiguration. Bei der Fritzbox führt der Aufruf mit fritz.box/support.lua auf eine Supportseite, die „Paketmitschnitte“ anbietet. Die Seite ist auch auf der normalen Fritzbox-Oberfläche über den kleinen Link „Support“ links unten zu erreichen. Der Mitschnitt wird als Datei auf der Festplatte des PCs gespeichert, mit dem Sie die Fritzbox bedienen. Das Dateiformat ist Wireshark-kompatibel und kann dem Sniffer direkt übergeben werden.

Achtung: Leider sind einige Fritzboxen (etwa die Kabel-Fritzboxen von Vodafone) funktionsreduziert und bieten diese Option nicht. Die technisch weit anspruchsvollere Alternative können wir hier nur ansprechen, aber nicht explizit ausführen: Sie besteht darin, den Router lediglich als Modem zu verwenden. Dahinter bauen Sie sich mit Open WRT und einem Raspberry Pi einen Router, den dort installiertes Wireshark dann komplett kontrollieren kann.

Netzwerkverkehr analysieren 

Vor der Analyse steht die Aufzeichnung. Nachdem Sie Wireshark gestartet haben, zeigt Ihnen die Software zunächst die Schnittstellen des Rechners an. In der Übersicht markieren Sie den Eintrag der Schnittstelle, die überwacht werden soll. Mit einem Klick auf das Symbol einer Flosse in der linken oberen Ecke starten Sie die Aufzeichnung. Bereits während der Aufzeichnung können Sie einen Eintrag anklicken, um sich das Paket genauer zu betrachten. Arbeiten Sie wie gewohnt mit dem System weiter. Wenn es darum geht, unerwünschten Netzwerkverkehr zu entdecken, lässt sich ja nicht mit Bestimmtheit festlegen, wann ein Rechner seinen Zielhost aufruft. Übrigens können Sie zu einem späteren Zeitpunkt, wenn Sie ein Protokoll oder eine Zieladresse unter besonderem Verdacht haben, die Aufzeichnung des Datenverkehrs von Beginn an filtern. Im Menü „Aufzeichnen“ finden Sie dazu den Eintrag „Mitschnittfilter“.

Aus dem nachfolgenden Dialog entscheiden Sie sich dann für eine der gezeigten Optionen. Über das Pluszeichen können Sie mit Unterstützung des Programms eigene Filter definieren. Praktisch ist die Funktion, sich die schnell angewachsene Liste mittels eines Autofilters (Icon mit farbigen Balken) zu organisieren. So werden die Pakete desselben Protokolls besser sichtbar. Bei der Analyse werden Sie wahrscheinlich häufiger auf Protokolle stoßen, die Ihnen im Alltag noch nicht häufig begegnet sind. Recherchieren Sie dann über das Internet, was es damit auf sich hat und wozu es genutzt wird.

Netzwerkprobleme finden

Verzögerungen beim Aufruf von Netzwerkressourcen oder der Eindruck, dass die Verbindung zu langsam ist, sind ein Klassiker bei Netzwerkproblemen. Wenn eine Geschwindigkeitsmessung direkt am Router (per Ethernet-Kabel und direkt an einer Ethernet-Schnittstelle) ergibt, dass die Bandbreite nicht dem gebuchten Tarif entspricht, sollte zusätzlich der DNS-Server überprüft werden. Häufiger haben Provider gerade in den Abendstunden damit ein Problem. Sofern möglich, tragen Sie im Router einen öffentlichen DNS ein, etwa von Google oder Oracle, und prüfen, ob sich das Problem damit lösen lässt. Falls nicht, kann Wireshark beim Eingrenzen helfen. Bei geringem Durchsatz liegt der Verdacht nahe, dass die Schnittstelle von einem Dienst belegt wird, der viele oder große Datenpakete versendet. Solche Analysen lassen sich mit den Statistikfunktionen des Programms durchführen. Nutzen Sie das Kommando „Endpunkte“, um eine Liste der Zieladressen der Pakete abzurufen. Mit einem Klick auf die Spaltenüberschriften sortieren Sie diese Einträge dann nach der Häufigkeit. So fallen Ihnen auch Endpunkte außerhalb Ihres Netzwerks schnell auf. Mittels Whois-Abfragen ermitteln Sie dann, wer hinter den entsprechenden IP-Adressen steckt.

Falls es sich um den Provider handelt, dessen Hardware Sie einsetzen, kann ein Blick in die Pakete möglicherweise Aufschluss darüber geben, was dorthin übertragen wird. Stellt sich heraus, dass die IP-Adresse nicht eindeutig zugeordnet werden kann, sondern aus dem Adressraum eines anderen Zugangsproviders stammt, ist besondere Vorsicht geboten. Dahinter könnte dann ein Angriffsversuch stecken. Dann ist es sinnvoll, den Rechner auf Schädlinge und Rootkits zu untersuchen. Wireshark führt Sie nicht direkt zum potenziellen Täter, aber es verrät viel darüber, was im Netzwerk läuft. Die Beurteilung, ob das mit rechten Dingen zugeht, müssen Sie aber selbst treffen.

Die SSL-Verschlüsselung

Sniffer wie Wireshark haben ein Problem: Um den Inhalt eines Pakets einsehen zu können, muss es unverschlüsselt vorliegen. Bei einer abgesicherten Verbindung taucht zwar das Paket mit der Zieladresse auf, der Inhalt lässt sich aber nicht kontrollieren. Die gute Nachricht: Wireshark kann auch verschlüsselten Datenverkehr entschlüsseln. Die Einschränkung: Das funktioniert nur dann, wenn man den verwendeten Schlüssel in Wireshark einlesen kann. Das ist allerdings anspruchsvoll: Die Wireshark-Entwickler haben im offiziellen Wiki eine Anleitung verfasst, die das grundsätzliche Vorgehen beschreibt, um beispielsweise SSL-Verbindungen zu analysieren , die von Firefox aufgebaut werden.