So nutzen Sie den Raspberry Pi als Netzwerk-Sniffer
Mit dem Raspberry Pi ist es möglich, die Kontrolle über die Datenströme in einem Netzwerk zu gewinnen. Das ist dann wichtig, wenn Probleme aufgespürt und beseitigt werden müssen.
Das Beobachten von Datenpaketen hat immer zwei Seiten. Zum einen kann die Technik genutzt werden, um Probleme und Fehler in einem Netzwerk aufzuspüren und zu beseitigen. Ebenso ist es aber möglich, über die Kontrolle von Datenströmen die Kommunikation von Dritten zu überwachen. Deswegen genießt der Begriff "sniffing", der mit "Schnüffeln" übersetzt werden kann, nach wie vor einen zweifelhaften Ruf.
Hier geht's zur großen Sniffer-Bildershow!
Doch ebenso wie ein Messer per se kein Unheil anrichtet, sondern zweckentfremdet werden kann, so sind Sniffing-Tools zunächst auch einmal nur nützliche Werkzeuge, die Menschen das Leben erleichtern. Unter anderem kann mit solchen Programmen herausgefunden werden, ob von einem Rechner in einem Netzwerk besonders viel Traffic ausgeht. Das deutet dann auf Spampots oder ein vorhandenes Filesharing hin. Auch Latenzzeiten können festgestellt werden, was im Sinne von "Quality of Service" entscheidend ist. Solche Möglichkeiten bieten klassische Analysetools nicht.
Der Begriff "Man-in-the-middle" ist irreführend
Noch immer werden Sniffing-Computer, die Datenströme überwachen, als "Man-in-the-middle Device" bezeichnet. Dieser Begriff weckt sofort Assoziationen mit Cyberattacken, bei denen die Technik dazu genutzt wird, Datenströme abzufangen und manipuliert weiterzugeben. Aus diesem Grund sollte beim Sniffing von Monitoring oder Capturing gesprochen werden - diese Begriffe sind wertneutral. Die Aufgaben des Netzwerk-Sniffings sind beinahe ideal auf den Raspberry Pi zugeschnitten, weil dieser flexibel und umfassend eingesetzt werden kann.
Verschiedene Tools zur Netzwerküberwachung
Zu den bekanntesten Tools zur Netzwerküberwachung gehört Wireshark. Es war als Sniffer gedacht, erlangte aber vor allem dadurch Berühmtheit, dass es beim Wardriving eingesetzt wurde, um WEP-Verschlüsselungen bei WLANs zu umgehen. Heute liegen die Einsatzbereiche vor allem im Monitoring. Mittlerweile ist Wireshark ein recht gebräuchliches Tool, dessen Einsatzmöglichkeiten sogar in Kursen gelehrt werden. Praktisch ist, dass das Tool mit dem Raspberry kompatibel ist. Hierfür ist es allerdings empfehlenswert, das eigene System mit "sudo apt-get update" und "sudo apt-get-upgrade" zu aktualisieren. Anschließend muss der Raspberry mit einem WLAN-Stick versehen und neu gestartet werden. Nur dann kann die Netzwerküberwachung drahtlos erfolgen.
Über den Befehl "sudo apt-get install wireshark" wird das Tool installiert und mit "sudo wireshark" gestartet. Als erstes erscheint eine mit der Rechtevergabe verknüpfte Fehlermeldung. Es ist möglich, diese zu ignorieren und das Tool zu nutzen. Es empfiehlt sich jedoch, die Befehle "cd /usr/share/wireshark nano init.lua" und die Änderung der Zeile 29 in "disable_lua = true" zu nutzen, sodass Wireshark sogenannte Superuser-Rechte besitzt. Ohne dieses Vorgehen ist ein Zugriff auf die Netzwerk-Schnittstellen nicht möglich. Diese sind aber für das Sniffing unverzichtbar.
Ein Augenmerk sollte auf der Netzwerkkarte liegen
Wird ein Switch zur Verteilung von Datenpaketen verwendet, ist es wenig sinnvoll, auf den Promiscuous Mode zu setzen. Über den Switch werden die Datenpakete schließlich zielgerichtet verteilt und vom Sniffer gar nicht erfasst. Aus diesem Grund ist es empfehlenswert, auf einen WLAN-Adapter im Monitoring Mode zu setzen. Auf diese Weise werden sämtliche Datenpakete registriert, die ihren Weg durch das Netzwerk nehmen. Hierbei ist es jedoch eine Illusion, zu glauben, dass der eigene Rechner im Netz nicht gefunden werden kann. Ohne eine Identifizierung ist es nämlich kaum möglich, relevante Datenpakete zu sammeln. Entsprechend ist es das höchste der Gefühle, wenn der Rechner so genutzt wird, dass er bestimmte Netzwerkerkennungsverfahren wie ein Ping ignoriert. Zudem kann der Rechner vor sogenannten Man-in-the-middle-Attacken geschützt werden. Hierfür wird er als Proxy getarnt und erst einmal nicht erkannt.
Wireshark kann mit dem Raspberry genutzt werden
Sobald Wireshark erfolgreich gestartet wurde, muss es eingerichtet werden. Um bei dem recht großen Programm nicht die Orientierung zu verlieren, ist es empfehlenswert, sich vor dem ersten Einsatz genau zu überlegen, wie das Tool eigentlich genutzt werden soll. Hierfür sind folgende Schritte hilfreich:
Auswahl der passenden Netzwerkkarte
In einem ersten Schritt muss die passende Netzwerkkarte ausgewählt werden. Wie oben bereits beschrieben, sollte in gesicherten Netzwerken auf einen WLAN-Adapter gesetzt werden, solange auf ein Funknetz zurückgegriffen werden kann.Arbeiten im Monitoring Mode
Die Aktivierung des Monitoring Mode ist über die erweiterten Optionen möglich. Wichtig ist es aber, dass alle anderen Modi deaktiviert sind. Nur so kann ein Höchstmaß an Datenpaketen eingesammelt werden.Namensgebung und Auswahl von Speicherorten
Die nächste Aufgabe besteht darin, der Dump-Datei einen Namen zu geben und einen Speicherort festzulegen, an dem sie abgespeichert werden soll. Hierbei sollte eine Partition ausgewählt werden, auf der noch eine große Menge an Speicherplatz zur Verfügung steht. Je nachdem, wie oft und wie intensiv das Tool zum Einsatz kommt, wird diese Datei nämlich schnell sehr groß.
Tag:
