
Sniffing: Fühlen Sie sich in Ihrem lokalen Netzwerk sicher?

Arbeitshilfen Datenschutz und IT-Recht
Was verbirgt sich hinter dem Begriff Sniffing?
Zuerst denkt man selbstverständlich an das Erschnüffeln von Informationen, die sich durch einfaches Belauschen des Netzwerks ergeben. Ein solches Schnüffelprogramm klinkt sich in den Datenverkehr eines Netzwerks ein und schneidet alle gesendeten und empfangenen Pakete mit. Technisch geschieht dies in der Regel dadurch, dass ein netzwerkfähiges Gerät im – zumeist lokalen – Netzwerk aufgestellt und in den so genannten promiscuous Mode versetzt wird. Wozu das?
Der Adressat eines Frames in einem Ethernet-Netzwerke wird bekanntlich anhand dessen MAC-Adresse festgelegt. Der Hintergrund dabei ist, dass Ethernet ein verteiltes Medium, ein so genanntes Shared Medium ist. Alle Datenpakete werden an alle Stationen im Netz gesendet. Damit nun nicht die einzelnen Rechner ständig damit beschäftigt sind, die für sie bestimmten Pakete herauszusuchen, wird bereits in der Netzwerkkarte dafür gesorgt, dass nur solche Pakete an den Treiber weitergeleitet werden, die an die MAC-Adresse der NIC gerichtet sind (oder bei denen es sich um Broad- oder Multicasts handelt). Eine Netzwerkkarte kann aber so eingerichtet werden, dass der Capture Driver alle Netzwerkpakete empfängt - das nennt man den Promiscuous Mode. Eine Sniffersoftware kann eine Netzwerkkarte in beide Modi versetzen, in den non-promiscuous mode (nach erfolgtem Sniffing) und Promiscuous Mode. Im Promiscuous Mode sammelt der Sniffer also den gesamten Datenverkehr an die in diesem Modus geschaltete Netzwerkschnittstelle. Es werden nicht nur die an ihn adressierten Frames empfangen, sondern auch die nicht an ihn adressierten.
Interface (hier: eth0) unter einem Linuxsystem in den promiscuous Mode versetzen
root@sniff-server.netz.local:/# ifconfig eth0 promisc
Anschliessend sieht man den Zustand promisc bei der Statusanzeige der Netzwerkkarte:
root@sniff-server.netz.local:/# ifconfig eth0
eth0 Link encap:Ethernet Hardware Adresse d5:1f:f5:bf:87:a4
inet Adresse:172.16.12.17 Bcast:172.16.12.255 Maske:255.255.255.0
(…)
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metrik:1
(…)
Falls Sie als vielleicht doch nicht so Linux-affiner Nutzer dadurch die Netzwerkkonfiguration Ihres Admin-Kollegen, dessen Linuxserver Sie zum Testen des promiscuous Mode missbraucht haben, verhauen haben und nun nicht wissen, wie Sie PROMISC wieder aus der Netzwerkkarte bekommen: Das geht schlicht und einfach mit ifconfig eth0 -promisc
Unter einem Windows-System den promiscuous Mode aktivieren
Dies ist leider nicht ganz so einfach, es gibt aber eine spezielle Software wie WinPCap, die dies bewerkstelligt. Installiert man ein Snifferprogramm wie z.B. Wireshark unter Windows, wird der benötigte Treiber gleich mitgeliefert. In heutigen Netzwerken sorgen zumeist Switche für die Bündelung und Verteilung des Datenverkehrs – denken Sie daran, dass ein Ethernet-Netzwerk (heutzutage der Standard für LANs schlechthin) schaltungstechnisch gesehen ein sternförmiges Netz ist! Der Adressat eines Datenpakets wird in einem solchen Ethernet-Netz anhand der (zumindest in der Theorie) weltweit einmaligen und eindeutigen MAC-Adresse festgelegt. Ein Switch merkt sich nun für jeden Port die Zuordnung der MAC-Adresse zum daran angeschlossenen Gerät und stellt eingehende Pakete fortan lediglich an dem jeweiligen Ziel-Port zu. Einem Angreifer ist es nun nicht mehr ohne weiteres möglich, Pakete mitzulesen, die nicht an das Gerät gerichtet sind, welches ebenfalls an dem Switch angeschlossen ist – aber logischerweise erst einmal über eine andere MAC-Adresse verfügt.
Jetzt weiterlesen mit 
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare