Das Aufzeichnen von Datenverkehr in einem Netzwerk
Das Mithören und Aufzeichnen (i.e. Erfassen) des Datenverkehrs in einem Netzwerk ermöglicht tiefe Einblicke in ein Netzwerk, die fließenden Datenströme und entsprechenden Protokolle. Somit ist es bestens geeignet, um mehr über die Netzwerktechnik zu lernen und einfach einen Eindruck zu bekommen, was in Ihrem Heimnetzwerk so los ist. Des Weiteren ist es nützlich dieses Werkzeug an sich zu kennen, um selbst Entscheiden zu können ob und wann eine Anwendung für Sie selbst sinnvoll ist. Für die Fehlersuche in einem typischen Heimnetzwerk ist das Verfahren und die Auswertung allerdings nur eingeschränkt zu empfehlen, da es fortgeschrittene Kenntnisse der Netzwerktechnik erfordert und eine pauschale Anwendung wenig Sinn macht.
Das Kapitel selbst ist in zwei Abschnitte strukturiert. Ein Abschnitt welcher ein paar Grundlagen für das Aufzeichnen von Datenverkehr erläutert. Der zweite Abschnitt beschreibt für den ersten Einstieg, konkret einen einfachen Aufbau und Ablauf einer Aufzeichnung.
- Grundlagen für das Aufzeichnen von Datenverkehr in einem Netzwerk.
- Die praktische Durchführung einer Aufzeichnung von Datenverkehr.
Notiz: Führen Sie eine Aufzeichnung von Datenverkehr nur in Ihrem eigenen privaten Netzwerk durch. Das Mithören und/oder Aufzeichnen von fremden Datenverkehr kann gegen geltende Gesetze verstoßen.
Grundlagen für das Aufzeichnen von Datenverkehr in einem Netzwerk
Wenn von dem Aufzeichnen von Datenverkehr gesprochen wird, stellt sich die Frage, was “Datenverkehr” in diesem Zusammenhang genauer bedeutet. Dieser Begriff ist sehr allgemein gehalten, umfasst alle Bits welche über eine Verbindung übertragen werden und sollte vorher in Gedanken etwas eingegrenzt werden. In der Netzwerktechnologie wird der “Datenverkehr” in Schichten und Protokollen unterteilt. So kann z.B. der Ethernet Datenverkehr (Datensicherungsschicht) relativ einfach mit existierenden Tools aufgezeichnet werden und eignet sich somit gut für Lernzwecke. Damit werden auch automatisch alle in einem Ethernet Frame verpackten Protokolle höherer Schichten mitaufgezeichnet. Aber vielleicht interessiert Sie nur der Datenverkehr eines ganz bestimmten Protokolls, z.B. des Dynamic Host Configuration Protocol (DHCP). Je nach Zielsetzung kann die Wahl eines Gerätes und eines Softwaretools für die Aufzeichnung, als auch die Einstellungen im verwendeten Softwaretool variieren.
Notiz: Es gibt viel freies Material im Web welches die Grundlagen der Netzwerktechnik erläutert. Von daher an dieser Stelle nur der Hinweis das Sie mit den Schlüsselwörtern “Schichtenmodell” und “Netzwerkprotokoll” unter z.B. Wikipedia weitergehende Informationen finden.
Die Analogie ist vielleicht nicht perfekt aber letztendlich doch passend. Wenn Sie Audio- oder Videoaufnahmen durchführen möchten, dann benötigen Sie ein Gerät welches in der Lage ist die Aufnahmen durchzuführen und das Gerät muss die Audio-, bzw. Videosignale empfangen oder selbst erzeugen. Im Prinzip verhält es sich genau so mit der Aufzeichnung von Datenverkehr. Sie benötigen ein Gerät, welches in der Lage ist Datenverkehr aufzuzeichnen und welches den aufzuzeichnenden Datenverkehr empfängt, bzw. den eigenen Datenverkehr aufzeichnen soll.
Als Aufzeichnungsgeräte sind für den Hausgebrauch, aber auch im professionellen Umfeld, Notebooks gut geeignet. Unter Umständen bietet aber auch das ein oder andere Gerät eine solche Funktion. Siehe hierfür als Beispiel die Notiz über die Aufzeichnungsfunktion einer Fritz!Box im nächsten Abschnitt.
Der zweite erwähnte Punkt war, den gewünschten aufzuzeichnenden Datenverkehr an das Aufzeichnungsgerät zu leiten. Für einen neugierigen Blick ist der eigene Datenverkehr eines aufzeichnenden Notebooks ausreichend. Möchten Sie aber den Datenverkehr eines anderen Gerätes untersuchen, dann haben Sie grundsätzlich zwei Methoden zur Auswahl. Entweder Sie leiten den Datenverkehr über das aufzeichnende Gerät oder Sie spiegeln den gewünschten Datenverkehr (engl.: Port Mirroring). Um den Datenverkehr über das aufzeichnende Gerät zu leiten gibt es wieder verschiedene Ansätze. So können Sie z.B. ein Notebook als WLAN Access Point konfigurieren und einen WLAN Client mit diesem Access Point verbinden. Mit zwei Ethernet Schnittstellen können Sie ein Notebook auch als Ethernet-Switch betreiben und die Quelle des Datenverkehrs über ein Ethernetkabel an das Notebook anschließen. Für das Spiegeln von Datenverkehr eignen sich einfache managed Ethernet-Switches. Selbst einfache Ethernet-Switche für mehrere 10 Euro, bieten schon entsprechende Möglichkeiten. Hier als Beispiel der Screenshot einer Bedienoberfläche zur Konfigurierung des Port Mirroring. In diesem Beispiel wird der Datenverkehr von Port 1 (mirrored Port) auf Port 4 (Mirroring Port) gespiegelt.
Für die erfolgreiche Durchführung einer Aufzeichnung, gerade mit gespiegeltem Datenverkehr, ist noch das Verständnis des sogenannten “promiscuous mode” wichtig. Dahinter steckt die durchaus sinnvolle Eigenschaft fast aller Geräte den empfangenen Datenverkehr erst einmal per Hardware auf die eigene Adresse vorzufiltern. Damit wird der Prozessor entlastet, sorgt aber auch dafür, dass nur der eigene Datenverkehr aufgezeichnet werden kann. Soll der komplette Datenverkehr aufgezeichnet werden, welcher an einer Schnittstelle empfangen wird, dann ist es notwendig die Schnittstelle in den “non-promiscuous mode” zu schalten. Andere in Hardware ausgelagerte Funktionen (engl.: Offload) können ebenfalls die Aufzeichnungsergebnisse beeinflussen. Um diese soweit wie möglich auszuschließen, empfiehlt es sich solche Funktionen temporär für die Dauer der Aufzeichnung auszuschalten (siehe z.B. die Konfiguration fortgeschrittener Ethernet Einstellungen unter Windows 10).
Die Verwendung des Begriffs “filtern” im letzten Absatz, ist ein guter Übergang, um auf das Konzept des Filterns hinzuweisen. Selbst in einfachen, kleinen Netzwerken kann eine Menge Daten von einer Reihe von Protokollen bei einer Aufzeichnung zusammenkommen. Haben Sie nur an bestimmten Protokollen oder Daten Interesse, dann erlauben es die Softwaretools zum Aufzeichen, dass Sie über Filter die Aufzuzeichnenden Daten eingrenzen können. Haben Sie keinen solchen Filter eingestellt oder sehr weit eingestellt, dann können Sie die Daten auch später noch Filtern und dem verwendeten Softwaretool z.B. anweisen nur den DHCP Datenverkehr darzustellen.
Die praktische Durchführung einer Aufzeichnung von Datenverkehr
Wie Sie implizit dem letzten Abschnitt entnehmen konnten gibt es viele Möglichkeiten und Variationen, um Datenverkehr aufzuzeichnen. Als praktische Einführung soll in diesem Abschnitt konkret ein einfacher Aufbau und Durchführung erläutert werden. Das Beispiel fokussiert sich auf den einfachsten Fall, der Aufzeichnung des eigenen Datenverkehr des Gerätes, welches auch die Aufzeichnung durchführt.
-
Als Aufzeichnungsgerät dient ein PC oder Notebook mit Windows oder Linux Betriebssystem.
-
Installieren Sie auf dem PC/Notebook das Softwaretool “Wireshark”.
- In der Windows Version installiert “Wireshark” einen zusätzlichen Treiber, welcher es ermöglicht Datenverkehr bis runter auf die Ethernet Ebene aufzuzeichnen.
-
Starten Sie “Wireshark”.
-
Wählen Sie eine der vorhandenen aktiven Netzwerkschnittstellen von welcher Sie den Datenverkehr aufzeichnen wollen, z.B. eine Ethernet oder WLAN Schnittstellen.
-
Starten Sie den Aufzeichnungsvorgang.
-
Die Mitte des Softwaretools “Wireshark” füllt sich mit den aufgezeichneten Datenpaketen.
- Jetzt werden Datenpakete auf Ethernet Ebene aufgezeichnet, welche das Notebook auf der gewählten Schnittstelle sendet oder empfängt. In Empfangsrichtung sind das alle Datenpakete vor der Firewallkomponente. In Senderichtung nur die Datenpakete welche erfolgreich die Windows Firewall passiert haben.
-
Stoppen Sie die Aufzeichnung.
Jetzt haben Sie die Möglichkeit die einzelnen Datenpakete näher zu Untersuchen. Dabei übersetzt und strukturiert “Wireshark” die einzelnen Bits und Bytes in ein besser lesbares Format. So erkennt Wireshark automatisch hunderte von Netzwerkprotokollen, bezeichnet diese in der Anzeige entsprechend und strukturiert diese je nach erkanntem Protokoll sinnvoll. Des Weiteren zeigt “Wireshark” Ihnen die Datenpakete in der zeitlichen Reihenfolge an, in welcher diese empfangen wurden, inkl. eines Zeitstempels. Wenn Sie nun noch z.B. die angezeigten Datenpakete auf ein Protokoll und die teilnehmenden Geräte filtern, dann können Sie einen Protokollablauf genau nachvollziehen.
Notiz: Eine Fritz!Box bringt eine eigene Funktion und Bedienoberfläche für die Aufnahme von Datenverkehr mit. Naturgemäß kann diese Funktion nur Datenverkehr aufzeichnen, welcher über eine Fritz!Box und dessen Prozessor läuft. Somit kann der Datenverkehr vom und in das Internet mitgeschnitten werden, als auch WLAN Datenverkehr. Datenverkehr direkt von einer Ethernet Schnittstelle einer Fritz!Box auf eine andere wird nicht von dem Prozessor weitergeleitet, sondern von anderer integrierter Hardware. Somit kann eine Fritz!Box diesen Datenverkehr nicht aufzeichnen. Die Bedienoberfläche für die Aufzeichnung öffnen Sie indem Sie
fritz.box/html/capture.html
in die Adressleiste eines Webbrowser eingeben. Nach erfolgreicher Anmeldung können Sie für verschiedenste Schnittstellen einer Fritz!Box eine Aufzeichnung mit einem Klick auf “Start” beginnen und entsprechend mit “Stop” beenden. Die resultierende Datei wird automatisch auf dem Computer mit dem Webbrowser gespeichert. Anschließend können Sie die Datei mit dem Softwaretool “Wireshark” öffnen und auswerten.