Wireshark (ehemals Ethereal) und Nmap gehören für Netzadministratoren zur obligatorischen Betriebsaustattung. Wir zeigen Ihnen, was diese Tools können, wie Sie sie richtig einsetzen und was es für Alternativen gibt.
Wichtiger rechtlicher Hinweis: Die hier präsentierten Werkzeuge sind für Anwender gedacht, die sich professionell mit Netzwerk und Internet-Rechnern beschäftigen. Damit Sicherheitslücken aufgedeckt und geschlossen werden können, waren und sind sie in vielen Unternehmen und Behörden unverzichtbar und vielfach erprobt. Die aktuelle Gesetzeslage der Bundesrepublik Deutschland (§202c StGB) verbietet seit kurzem den Einsatz derartiger Sicherheitswerkzeuge zum Ausspähen und Abfangen von fremden Daten. Wir müssen Sie daher darauf hinweisen, dass Sie die von uns vorgestellten Tools sowie Portscanner und Sniffer im Allgemeinen nur privat im eigenen Netzwerk einsetzen dürfen und auch nur dann, wenn sie es allein nutzen. Scannen Sie keine Ports fremder Netzwerke und lesen Sie keinen fremden Netzwerk-Traffic mit. Aus rechtlichen Gründen verzichten wir auf direkte Download-Links zu den Programmen und auf ausführliche Schritt-für-Schritt-Anleitungen. Funktions- und Arbeitsweise der Tools werden aber tiefgehend erklärt, sodass jeder Interessierte die Möglichkeit hat, Netze und Internet-PCs zu schützen. Schlagen Sie die Hacker mit ihren eigenen Mitteln!
Auf der nächsten Seite stellen wir Ihnen den Klassiker unter den Portscannern vor.
Nmap: Offene Ports erkennen
Der quelloffene und kostenlose Portscanner Nmap (was für Network Mapper steht) eignet sich hervorragend um offene Ports in Ihrem Netzwerk zu entdecken (also Ports, an denen ein Dienst auf einkommende Anfragen und Datenpakete lauscht). Sie können damit ganz einfach das Antwortverhalten Ihres Netzwerks nach außen hin überprüfen. So entdecken Sie Dienste und dadurch geöffnete Ports, die Sie vielleicht gar nicht benötigen und können Sie deaktivieren respektive die Ports schließen bevor ein Angreifer diese zum Eindringen in Ihr System ausnutzt. Dienste, die Sie benötigen und deshalb nicht abschalten können, sollten Sie möglichst so konfigurieren, dass nicht von jedem beliebigen Rechner der Zugriff darauf möglich ist, sondern nur von bestimmten Rechnern, beispielsweise nur von PCs aus Ihrem Intranet. Die lässt sich bei Linux zum Beispiel mittels TCP-Wrapper umsetzen. Zudem sollten Sie Ihre Firewall so restriktiv konfigurieren, wie es nur irgendwie möglich und sinnvoll ist.
Da Portscanner ein typisches Werkzeug von Hackern sind, um fremde Netzwerke auf erste lohnenswerte Einstiegsmöglichkeiten zu testen, sollten Sie Ihr Netzwerk unbedingt regelmäßig scannen, um unentdeckte Schwachstellen rechtzeitig und noch vor potenziellen Angreifern zu entdecken. Ganz besonders wichtig ist ein umfassender Portscan, wenn Sie neue Dienste auf Ihrem Rechner/Server oder in Ihrem Netzwerk installiert und gestartet haben oder dessen Konfiguration verändert haben.
Mit Nmap ermitteln Sie auf den überprüften Clients die jeweils darauf geöffneten Ports. Beim Portscan werden sowohl TCP als auch UDP unterstützt. Typischerweise wird Nmap von der Kommandozeile aus gestartet, ganz einfach geht das mit folgendem Befehl: "nmap -v -A targethost". Bei targethost geben Sie die IP-Adresse des zu überprüfenden Rechners ein. Doch Nmap besitzt noch viel mehr Optionen für den professionellen Einsatz, die Sie auf der Kommandozeile mitangeben können. Wenn Sie beispielsweise nur Ports für TCP-Verbindungen suchen, sollten Sie nmap -sT eingeben. Eine Liste der Optionen finden Sie auf dieser Seite.
Jedes Betriebssystem hinterlässt seinen eigenen Fingerabdruck im Internet, beispielsweise anhand der TCP/IP-Stack-Implementation. Diesen Vorgang nennt man OS-Fingerprinting. Ein Portscanner kann versuchen, anhand dieses Fingerabdrucks das Betriebssystem zu identifizieren. Fingerprinting kann aktiv (hier schickt das Analyseprogramm selbst Datenpakete an den zu untersuchenden Rechner. Vorteil: Die Analyse fällt exakter aus. Nachteil: Der Portscan kann entdeckt werden) und passiv (hier liest das Scannerprogramm nur den Traffic an den überwachten Rechner mit. Das führt zu weniger exakten Ergebnissen, diese Art des Scannens wird aber nicht entdeckt) erfolgen. Ein aktiver Versuch zur Identifizierung des Betriebssystems des Zielrechners mit abgeschickten TCP-Paketen sieht beispielsweise so aus: nmap -sT -O Clientname (wenn man den Scanvorgang beschleunigen will, kann man zusätzlich mit "-p" auch noch gezielt den Port angeben, an den Nmap das Datenpaket schicken soll). Das "-O" steht für "Enable OS detection". Schutzmaßnahmen gegen Fingerprinting bestehen etwa darin, dass der Zielrechner so konfiguriert ist, dass er keine Informationen über sich preis gibt oder dass er sogar falsche Informationen sendet um den Angreifer zu verwirren.
Übrigens: Ihren Arbeitsplatzrechner können Sie mit "nmap -v -A localhost" bequem auf offene Ports scannen. Das klappt aber nur, wenn Sie eine Linux-Maschine haben, bei Windows-Rechner funktioniert der localhost-Scan nicht. Das "-v" schaltet den Verbose-Modus ein, in dem Nmap anzeigt, was es gerade macht.
Admins können einen Portscan unter Umständen mit Intrusion-Detection-Systemen erkennen. Nmap kann deshalb so konfiguriert werden, das er verborgen scannt: das nennt man dann einen Stealth-Scan. Dafür sind Rootrechte erforderlich.
Wer keine Lust auf die Kommandozeile hat, kann auch eine grafische Oberfläche für Nmap nutzen. Mehr dazu lesen Sie auf der nächsten Seite.
Nmap bequem nutzen mit grafischer Oberfläche
Kryptisch anmutende Kommandozeilenbefehle mit komplizierten Options- und Parameterfolgen sind nicht jedermanns Sache. Das gilt besonders für Windows-Anwender. Doch es gibt Abhilfe: Zenmap, eine grafische Bedienoberfläche (GUI) für Nmap.
Mit Zenmap wird der Netzwerkscan deutlich vereinfacht. Geben Sie einfach die zu scannende IP-Adresse (oder den IP-Adressbereich) oder den Hostnamen und die Art des Scans ein. Der Benutzer kann auch bei Zenmap unter unterschiedlich umfangreichen Scans wählen. Beispielsweise ein kompletter Scan (mit oder ohne UDP), ein schneller Scan (für die gängigsten TCP-Ports - was für eine erste Bestandsaufnahmen reichen sollte) oder ein reiner Ping-Scan, um die Verfügbarkeit eines Rechners zu testen. Schon legt Nmap los, je nach Umfang des Scan und abhängig von der Größe des LANs erscheinen schon nach wenigen Sekunden oder erst nach einigen Minuten erscheinen die Resultate.
Der Abschluss der kompletten Scans kann wie gesagt je nach gewählter Variante etwas Zeit in Anspruch nehmen. Im rechten Ausgabefenster dokumentiert Nmap seine Arbeitsschritte: Welche Ports überprüft werden, welche Art von Scan gerade erfolgt und wie die Ergebnisse aussehen. Geschlossene Ports werden nicht separat angezeigt, zu den geöffneten Ports gibt es dagegen Detailinformationen wie "offen" oder "gefiltert", welcher Dienst konkret an einem offenen Port lauscht und welche Softwareversion des jeweiligen Dienstes Nmap zu erkennen glaubt. Wenn also der Port 80 offen ist, weil ein Webserver auf dem gescannten System läuft, dann liefert Nmap beispielsweise die Angabe, welche Apacheversion er entdeckt zu haben glaubt. Oder welche MySQL-Datenbankversion auf dem Server ihre Dienste verrichten soll. Und welcher Mailserver vermutlich die Post zustellt.
Zudem gibt Nmap an, wieviele Hops (also Sprünge von einem Netzknoten zum nächsten) nötig sind, bevor das Datenpaket vom Ausgangsrechner aus den Zielrechner erreicht hat. Nmap liefert auch gleich die Route dafür mit, sprich: die Ergebnisse der Netzwerk-Befehle Traceroute/tracert. Auch bei Zenmap versucht Nmap herauszubekommen, welches Betriebssystem vermutlich auf dem Zielrechner installiert ist - hierfür wird die oben beschriebene Fingerprintmethode eingesetzt. Die OS-Erkennung soll nicht nur mit typischen PC-Systemen wie Windows (einschließlich Vista mit SP1), Linux und MacOS, sondern auch mit Wii-Konsolen und iPhones klappen. Die Scanergebnisse können zur späteren Analyse bequem in Dateien gespeichert werden.
Wenn Sie gleich mehrere Rechner auf einmal scannen wollen: Kein Problem, bei Target können Sie auch IP-Ranges eingeben. Wenn Sie dabei aber "intense Scan" wählen, kann der Scanvorgang sehr lange dauern.
In Nmap ist seit Version 4.75 Radialnet integriert. Damit lassen sich die Netzwerke visuell darstellen. So entsteht quasi eine Karte des Netzwerks, auf der die geöffneten Ports pro Host angezeigt werden. Iphones und Wii-Konsolen, die angeschlossen sind, werden wie gesagt ebenfalls erfasst und dargestellt. Jeder Kreis stellt einen PC dar, Farbe und Größe eines solchen Punktes hängen von der Zahl der offenen Ports ab. Router werden als Quadrate dargestellt.
Nmap unterstützt alle gängigen OS und auch weniger bekannte Betriebssysteme wie beispielsweise FreeBSD, OpenBSD, Solaris, IRIX, Mac OS X, HP-UX, NetBSD, Sun OS und Amiga. Für die jeweiligen Betriebssysteme stehen eigene Downloadpakete zur Verfügung (außerdem steht der Quellcode für Anwender bereit, die Nmap selbst kompilieren wollen). Für Windows greifen Sie am besten zum selbstextrahierenden ZIP-Archiv. Darin ist nicht nur der eigentliche Portscanner (also das Kommandozeilentool), sondern auch die grafische Bedienoberfläche Zenmap enthalten, mit der sich Nmap wie eine normale Windows-Anwendung bedienen lässt.
Auf der nächsten Seite geht es weiter mit DEM Netzwerksniffer schlechthin.
Wireshark (ehemals Ethereal): Netzwerk-Verkehr analysieren
Mit dem kostenlosen Netzwerkanalysetool Wireshark für Windows, Linux und andere Betriebssysteme erkennen Sie, welche Datenströme zwischen Ihrem Rechner und dem Internet hin- und herfließen, ob es sich beispielsweise um Browserinhalte, Mails oder Kurznachrichten handelt, und je nach Beschaffenheit der Datenpakete sehen Sie auch, was sich in den Datenpaketen befindet. Sie sehen mit Wireshark auf einen Blick, mit welchen Servern Ihr PC Kontakt aufnimmt. Mit Wireshark können Sie somit unerwünschte Schad- und Schnüffelprogramme, Backdoors und Trojaner, aber auch Spy- und Adware aufzuspüren, die von ihrem Rechner aus Datenpakete verschicken. Administratoren ermitteln mit diesem hervorragenden und für professionelle Zwecke absolut geeigneten Freeware-Tool zudem Flaschenhälse und Fehler im Netzwerk.
Wireshark hat sich im Laufe der Jahre fast schon zum Defacto-Standard für Netzwerksniffer (der Begriff sniffer heißt auf Englisch Schnüffler) entwickelt. Mit dem englischsprachigen Tool können Sie den gesamten Verkehr, der über Ihre Netzwerkschnittstellen läuft, live überwachen, dekodieren, einsehen und mitschneiden. Neben Etherealschnittstellen werden beispielsweise auch Wlan-Schnittstellen, Bluetooth- und USB-Verbindungen überwacht. Damit Sie Wireshark effektiv nutzen können, sollten Sie zwar idealerweise über gewisse Netzwerk- und Protokollkenntnisse verfügen. Aber selbst mit geringem Einarbeitungsaufwand und vergleichsweise wenig Netzwerkkenntnissen können Sie mit Hilfe des Kabel-Hais sofort erkennen, ob ihr Rechner Datenpakete ins Internet sendet beziehungsweise empfängt und auf welchen Ports das passiert.
Wireshark bietet eine Fülle von Einstellmöglichkeiten, Sie können beispielsweise festlegen, ob Wireshark Traffic nur mit bestimmten Protokollen, nur an bestimmten Schnittstellen oder nur mit bestimmten Inhalten, mitschneidet - eine solche Filterung ist unverzichtbar, wenn Sie angesichts der Datenflut, die Ihnen Wireshark auf den Bildschirm zaubert, nicht den Überblick verlieren wollen. Der mitgeschnittene Internettraffic kann bequem in einer Datei gespeichert werden und später analysiert.
Damit Wireshark überhaupt weiß, was es tun soll, müssen Sie den Sniffer vor dem Einsatz konfigurieren. Das geht für einen ersten sichtbaren Erfolg durchaus flott und erfordert kein besonders Fachwissen: Im Menü "Capture, Options" wählen Sie bei "Interface" die Netz-Schnittstelle, an der Wireshark den Traffic mitschneiden soll (das Menü "Capture/Interfaces" zeigt alle erkannten Netzwerkschnittstellen an. Unter "Edit, Preferences, Capture" können Sie das Default-Interface festlegen). Wichtig: Sie müssen Wireshark unter Linux mit Rootrechten starten (also beispielsweise mit "gksu wireshark" von Gnome aus). Andernfalls bekommen Sie keine Netz-Interfaces zur Auswahl.
Wireshark zeigt Ihnen alle verfügbaren Schnittstellen an, Sie können die auf Ihrem PC vorhandenen Netzwerkschnittstellen zudem mit der Systemverwaltung Ihres Betriebssystems oder alternativ mit geeigneten Kommandozeilenbefehlen wie ifconfig unter Linux beziehungsweise ipconfig unter Windows (Start, ausführen, cmd) ermitteln. Unter Linux könnten Sie also beispielsweise eth0 für die erste Ethernetkarte auswählen. Wenn das Häkchen bei "Capture packets in promiscous mode" gesetzt ist, schneidet Wireshark alles mit, was an Ihrer Netzwerkkarte eintrifft, also auch die Pakete, die nicht an Ihren PC gerichtet sind. Wenn Sie den Traffic-Mitschnitt zudem aufzeichnen wollen, müssen Sie eine Datei dafür angeben. Optional können Sie die Größe oder die Dauer des Mitschnitts begrenzen, was angesichts der schnell wachsenden Datenmenge Sinn macht. Interessant ist noch die Checkbox bei "Hide capture Info Dialog". Wenn Sie das Häkchen wegnehmen, öffnet Wireshark zusätzlich ein weiteres Fenster, in dem die Zahl der mitgeschnittenen Pakete pro Protokoll und deren Anteil am Gesamttraffic angezeigt wird. Ist die Konfiguration abgeschlossen und abgespeichert, starten Sie das Mitschneiden mit "Start".
Wie Sie richtig mitschneiden und geeignete Filter definieren, lesen Sie auf der nächsten Seite.
Der erste Mitschnitt - Filterregeln
Jetzt müssen Sie nur noch Netzwerkverkehr erzeugen. Am einfachsten geht das mit dem Browser: Fangen Sie einfach an zu surfen. Schon wirft Wireshark im oberen der drei Ausgabefenster (dem "paket list pane") den auf Ihrem PC eingehenden und den ausgehenden Traffic aus (unter anderem mit Angabe von Quelle und Ziele, dem benutzten Protokoll und weiteren Informationen. Die angezeigten Spalten können über Edit, Preferences ausgewählt werden), unterschiedliche Farben kennzeichnen unterschiedliche Protokolle (die Farbwahl können Sie ebenfalls beeinflussen).
Diese Anzeige lässt sich nach jeder Spalte sortieren (im Menü "View" können Sie zudem die Zeitausgabe beeinflussen und IP-Adressen in DNS-Namen auflösen lassen - das erhöht spürbar die Lesbarkeit). Im mittleren dieser drei Fenster (dem "paket details pane") werden zu jedem der Einträge aus dem oberen Fenster technische Details wie Ziel- und Quellport oder die Headerlänge angezeigt, um nur einige Beispiele zu nennen. Der eigentliche Inhalt des ausgewählten Pakets wird im untersten der drei Ausgabefenster (deren Größe sich mit dem Hauszeiger verändern lässt) angezeigt (das so genannte "paket bytes pane"). Links in hexadezimaler Darstellung, rechts als Ascii-Code. Zu viel Aussagekraft dürfen Sie hier aber nicht erwarten, relativ wenig steht hier im Klartext. Passwörter und sonstige Logindaten, die unverschlüsselt übertragen werden, können sie hier aber schon rausfischen. Die Texte von ICQ-Nachrichten stehen hier ebenfalls im Klartext. Mit "Stop" können Sie den Mitschnitt wieder beenden.
Wird Wireshark derart filterlos auf Ihren Netzverkehr losgelassen, schneidet er alles mit, was irgendwie aus dem Internet auf dem PC einschlägt. Da verlieren Sie schnell den Überblick, die Masse des aufgezeichneten Traffics überrollt einen förmlich. Also sollten Sie Filterregeln festlegen, damit wirklich nur das aufgezeichnet und gegebenenfalls in der Mitschnitt-Datei abgespeichert wird, was Sie auch wirklich interessiert. Wireshark bietet zwei verschiedene Möglichkeiten zur Filterung: Ein Filter, der sich auf die Ansicht beschränkt und ein Filter, der den tatsächlichen Mitschnitt beeinflusst. Wireshark stellt bereits fertige Filter bereit, unter denen Sie auswählen können.
Am einfachsten legen Sie einen Filter fest, wenn Sie einen Eintrag im obersten Anzeigefenster mit der rechten Maustaste anklicken und dann "Apply as a Filter" wählen - das wird dann ein so genannter Display-/Ansicht-Filter, der auch sofort angewandt wird. Sie können Display-/Anzeige-Filter auch direkt in das Eingabefenster "Filter:" oberhalb der Trafficanzeige eingeben und mit apply anwenden. Mehrere Filter können Sie kombinieren, indem Sie "&&" zwischen zwei Filter setzen. Ein Beispiel: Sie wollen überprüfen, welche Datenströme durch das PING-Kommando verursacht werden (mit dem Kommandozeilen-Befehl PING testen Sie, ob ein Rechner respektive Server via Internet erreichbar ist). PING verwendet das ICMP-Protokoll (Internet Control Message Protocol): Sie geben also icmp in das Filtereingabefeld ein und drücken dann apply. Oder Sie wollen den gesamten Mailverkehr checken: Hierfür geben Sie je nach dem gewünschten Mailprotokoll SMTP, Imap oder POP ein. Auch nach IP-Adressen lässt sich filtern. Dafür geben Sie "ip.addr==IPADRESSE" ein. Mit "tcp.dstport==80" lassen Sie Wireshark nur http-Traffic anzeigen, der für den Standardport 80 vorgesehen ist. Wenn Sie auf den Button "Expression…" drücken, werden Ihnen die verfügbaren Filter angezeigt. Ihre Mitschnitte können Sie in einer Datei, beispielsweise einer TXT-Datei, abspeichern und dann bequem auswerten.
Bei den Filtern muss man wie gesagt unterscheiden zwischen den oben vorgestellten Anzeigefiltern und den so genannten Capturefiltern - mit Letzteren legen Sie fest, was Wireshark tatsächlich mitschneiden soll. Diese legen Sie unter "Capture, Options, Capture Filters" oder im Menü "Capture, Capture Filters" fest. Geben Sie dort beispielsweise "tcp dst port 80" ein, wenn Sie nur den Browser-Traffic mitschneiden wollen, der auf Ihrem PC eintrifft. Ebenso können Sie "host" eingeben, um Traffic von und zu einem bestimmten Host anzuzeigen. Das "host" lässt sich optional um "src" und/oder "dst" erweitern, wenn Sie nur Quellhosts oder Zielhosts anzeigen lassen wollen. Ein Beispiel: "src host www.spiegel.de" zeigt nur Traffic an, der von der Website des Spiegel kommt.
Zwei spannende Menü-Punkte sind "Statistics" und "Analyze". Während Sie in "Statistics" verschiedene Möglichkeiten finden, um die Datenmenge nach verschiedenen Kriterien aufzubereiten - auch grafisch mit IO Graphs - können Sie sich bei "Analyze" nicht nur über die von Wireshark unterstützten Protokolle und über die vorhandenen Filteroptionen informieren, sondern mit "Firewall AVL Rules" auch Empfehlungen für die Einstellung Ihrer Firewall anzeigen lassen. Dabei kommen Linux-Anwender ebenso auf ihre Kosten wie Windows-User.
Auf der folgenden Seite erklären wir Ihnen, wie Sie unerwünschte Besucher erkennen.
So decken Sie unerwünschte Verbindungen auf
Sie werden schnell merken: Selbst wenn Sie offensichtlich nichts am PC tun, was mit dem Internet in Verbindung zu stehen scheint, fließen doch oft Daten. Beispielsweise erscheinen Keep alive-Meldungen Ihrer Instant Messengers. Machen Sie den Test: Tauscht irgendein Programm auf Ihrem PC Daten mit dem Internet aus, ohne dass Sie das wollen? Beenden Sie den Browser, schließen Sie Ihren Mailclient und Ihren Instant Messenger. Starten Sie dann die Aufzeichnung ohne Filter: Wireshark sollte jetzt keinen Traffic mehr anzeigen. Falls doch, so sollten Sie die Ausgabe von Wireshark genau prüfen: Kommuniziert Ihr Rechner eventuell mit Ihrem Router? Oder mit einem anderen Rechner in Ihrem Netzwerk? Das müssten dann Datenpakete mit den Protokollen IGMP oder ARP sein und das wäre unbedenklich. Arbeitet in Ihrem Netzwerk vielleicht ein Netzwerkdrucker oder ein eigener Server? Auch dann wäre in gewisser Traffic okay. Lassen Sie Ihre Systemuhr vielleicht via NTP abgleichen? Das verursacht ebenfalls Traffic. Doch wenn Sie das alles ausschließen können, dann sollten Sie sich die funkenden Programme genauer anschauen - vielleicht haben Sie ja ungebetene Besucher entdeckt. Unter Umständen sollten Sie dann ein Intrusion Detection System nutzen. Den Wiresharkmitschnitt sollten in diesem Fall in einer Datei speichern und extern sichern.
Der Klassiker unter den Netzwerksniffern respektive Netzwerktraffic-Analyse-Programmen steht kostenlos und als Open Source für Windows (22,2 MB ist die Windowsversion groß), Mac OS X, Linux, Solaris, FreeBSD, NetBSD zum Download bereit. Linux-Anwender können Wireshark meist direkt über ihre Paketverwaltung installieren. Allerdings stehen in den Repositories vieler Linux-Distributionen oft veraltete Versionen bereit, gegebenenfalls müssen Sie also auch unter Linux den Sniffer von Hand installieren.
Wenn Sie die EXE-Datei für Windows installieren, bekommen Sie neben dem eigentlichen Wireshark auch noch einige andere Tools und Plugins mitgeliefert. Beispielsweise TShark für die Kommandozeile. Tshark wird wieder mit Optionen gestartet, beispielsweise: "Tshark -i Netzwerkkarte". Linux-User müssen Tshark als root nutzen, also beispielsweise mit "sudo tshark -i eth0". Außerdem werden Tools für die Behandlung der Capture-Dateien mitinstalliert. Optional wird bei Windows zudem das Windows Packet Capture (WinPcap) mitinstalliert für den Zugriff auf die Netzwerkschnittstellen. Unter Ubuntu installieren Sie Tshark separat mit "apt-get install tshark".
Für Wireshark gibt es einige Alternativen - sei es für die Kommandozeile, sei es für Firefox. Das finden Sie alles auf der nächsten Seite - zusammen mit einer umfangreichen Screenshotgalerie.
Alternativen auf der Kommandozeile & Tipps für Firefox
Eine Sniffer-Alternative auf der Kommandozeile von Linux ist tcpdump (für Windows heißt das Kommandozeilen-Äquivalent windump). Um tcpdump ausführen zu können, sind Root-Rechte erforderlich, zum Beispiel: "sudo tcpdump -i eth0 host IP-Adresse". Tcpdump wird ähnlich wie Nmap mit verschiedenen Optionen aufgerufen. So können Sie angeben, an welchen Netzwerkschnittstellen es mithören soll ("tcpdump -i Netzwerkschnittstelle"), standardmäßig macht TCPDump es bei allen verfügbaren Schnittstellen. Ebenso lässt sich der Port angeben, an dem mitgelesen werden soll. Statt TCP ("tcpdump tcp" liest nur tcp-Pakete mit) können Sie außerdem UDP-Pakete mitlesen ("tcpdump udp" weist den Sniffer an, nur nach UDP-Paketen Ausschau zu halten). Wenn Sie nur http-Pakete mitlesen wollen, ist "tcpdump port 80" die richtige Wahl. Der Mitschnitt kann außerdem direkt in einer Datei abgespeichert werden.
http Live Headers: Alternative für Firefox
HTTP Live Headers ist eine weitere Alternative für einen Sniffer. Dabei handelt es sich aber um kein Stand-Alone-Tool, sondern um ein kostenloses Add-on für Firefox. HTTP Live Headers zeichnet zudem nur den Traffic an Port 80 und anders als Wireshark nicht den gesamten Netzwerktraffic auf: HTTP-Header sind die Köpfe der Clientanfragen und Serverantworten beim http-Protokoll.
Mit dem praktischen Firefox-Addon kommen Sie auch URL-Weiterleitungen auf die Schliche und sehen, wo Cookies gesetzt werden. Aus den Mitschnitten sehen Sie, was für ein Server zum Einsatz kommt und welche MIME-Typen übermittelt werden. Gegebenenfalls sehen Sie auch den Fehlercode, den der Server sendet, wenn Probleme auftraten.
Diese ausführliche Screenshotgalerie zeigt Nmap, Zenmap und Wireshark im Einsatz:
Dieser Artikel basiert auf einem Beitrag der PC-Welt. (sh)