Best Practices für das Network-Sniffing mit Wireshark

Wireshark ist ein Net Analyzer für den Netzwerk Verkehr. Er kann zur Analyse des drahtlosen Datenverkehrs für Administratoren sehr hilfreich sein.

Wireshark, eine Software für die Analyse von Netzwerk-Verkehr, verfügt auch über ein Werkzeug zum Mithören in drahtlosen Netzen. Damit können Administratoren Wireless-Datenverkehr mitschneiden und analysieren und so Probleme in ihren Netzen lösen.

Das Kapitel „Wireless Sniffing with Wireshark“ aus dem von Angela Orebaugh, Gilbert Ramirez und Jay Beale geschriebenen Buch Wireshark & Ethereal Network Protocol Analyzer Toolkit erklärt, wie sich drahtloser Datenverkehr mit Hilfe der Wireshark-Software analysieren lässt. Konkret nennt es die Herausforderungen dabei und beschreibt, wie sich Linux und Windows für drahtloses Mitschneiden und Analysen konfigurieren lassen.

Probleme bei WLAN-Sniffing

Drahtloses „Sniffing“ von Netzwerk-Verkehr kann einige Herausforderungen mit sich bringen. Eine davon ist die Wahl eines statischen Kanals, denn drahtlose Netze können am selben Ort mit vielen verschiedenen Kanälen auf unterschiedlichen Frequenzen arbeiten. Eine weitere Herausforderung besteht darin, den richtigen Kanal für das Mitschneiden bestimmter Traffic-Arten zu finden.

Auch die Reichweite kann Probleme bereiten, denn die Entfernung zwischen der Erfassungsstation und dem anvisierten Transmitter kann erheblich sein. Für eine zuverlässige Erfassung muss dies berücksichtigt werden. Und schließlich kann es auch zu Interferenzen und Kollisionen kommen.

Linux und Windows für WLAN-Sniffing konfigurieren

Um mit dem Sniffing mittels Wireshark beginnen zu können, müssen Sie zunächst Ihre WLAN-Hardware manuell auf den Monitor-Modus umstellen. Die meisten WLAN-Treiber für Linux verwenden die Schnittstelle Linux Wireless Extension, die eine konsistente Konfigurationsmöglichkeit für die Wireless-Erweiterung bietet. Anschließend können Sie die Paket-Erfassung starten. Auf diese Weise sammeln Sie Informationen, die Sie später mit den Wireshark-Analysemechanismen auswerten können.

Windows-Treiber für Wireless-Karten enthalten oft keinen Support für den Monitor-Modus. Falls vorhanden, lässt sich diese Beschränkung jedoch per Software umgehen, so dass Sie auch auf diesen Windows-Hosts WLAN-Datenverkehr mit Wireshark erfassen können.

Als kommerzielles Produkt dafür kommt AirPcap in Frage. Wenn Sie darin Ihre Präferenzen für die Erfassung angegeben haben, können Sie Wireshark starten und eine neue Paket-Erfassung beginnen. Wenn Sie genügend Verkehr mitgeschnitten haben, können Sie damit anfangen, Informationen daraus zu extrahieren.

Daten aus WLAN-Sniffing analysieren

Die Analyse-Funktionen von Wireshark sind fast immer dieselben – unabhängig davon, ob Sie eine gespeicherte Paket-Erfassung untersuchen oder mit einem Live-Interface auf einem Windows- oder Linux-Host arbeiten. Zu den Funktionen zählen Protocol Dissectors, starke Display-Filter, individuell einstellbare Display-Eigenschaften und die Möglichkeit, WLAN-Datenverkehr zu entschlüsseln.

Bei der Untersuchung einer großen Anzahl von Paketen können Sie auf beliebige Pakete klicken, um sich deren Inhalt anzeigen zu lassen. Ebenso können Sie vorgegebene Filter darauf anwenden und hoffen, dass sie etwas Nützliches zutage treten lassen. Um die Bewertung von erfassten Paketen zu erleichtern, bietet Wireshark im Fenster „Packet List“ außerdem die Möglichkeit, bestimmte Paket-Arten farblich zu kennzeichnen. Dies erleichtert zum Beispiel die Fehlersuche bei einem Drahtlos-Netzwerk.

Ebenfalls hilfreich ist es, zu wissen, ob Datenverkehr von einem drahtgebundenen oder drahtlosen Netzwerk stammt. Dazu können Sie in den Kennzeichnungen im Header Frame Control nach den Einträgen From DS bit und To DS bit suchen. Das Markieren von störendem Datenverkehr und wiederholten Übertragungsversuchen sowie das Hinzufügen weiterer Informationsspalten kann Ihre Analysen von erfassten Paketen weiter unterstützen.

Diese Schritte sind nur die Grundlagen für das Analysieren von drahtlosen Netzen mit Wireshark. Mehr über die Erfassung von Wireless-Verkehr unter Realbedingungen, Ausfall von Drahtlos-Verbindungen, Probing von Drahtlos-Netzen, Konten-Sharing bei EAP-Authentifizierung, DoS-Attacken, Spoofing-Angriffe und fehlerhafte Verkehrsanalysen können Sie erfahren, wenn Sie das gesamte Kapitel (in englischer Sprache) über Drahtlos-Sniffing mit Wireshark lesen.

 

 

 

 

Artikel wurde zuletzt im Juni 2012 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Fehlerbehebung im Wireless LAN

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close