Sniffer

Sniffer

Ein Sniffer (engl. to sniff‚ riechen, schnüffeln) ist eine Software, die den Datenverkehr eines Netzwerks empfangen, aufzeichnen, darstellen und ggf. auswerten kann. Es handelt sich also um ein Werkzeug der Netzwerkanalyse.

Inhaltsverzeichnis

Herkunft des Begriffs

Sniffer ist das englische Wort für deutsch (Leck-)Schnüffler und hat eine synonyme Bedeutung. Weiterhin ist Sniffer ein eingetragenes Warenzeichen des Herstellers Network General, womit dieser eines seiner Produkte zur LAN-Analyse bezeichnet. Es war als eines der ersten auf dem Markt. Da der Zusammenhang von Funktion des Produkts und Bedeutungsgehalt des Namens sehr eingängig ist, hat sich die Bezeichnung Sniffer allgemein zur Bezeichnung vielfältigster Produkte der Netzwerkanalyse durchgesetzt und ist inzwischen auch als Gattungs-Begriff gebräuchlich.

Technik

Ein Sniffer kennt den so genannten non-promiscuous mode und den Promiscuous Mode. Im non-promiscuous mode wird der ankommende und abgehende Datenverkehr des eigenen Computers „gesnifft“. Im Promiscuous Mode sammelt der Sniffer den gesamten Datenverkehr an die in diesen Modus geschaltete Netzwerkschnittstelle. Es werden also nicht nur die an ihn adressierten Frames empfangen, sondern auch die nicht an ihn adressierten. Der Adressat eines Frames wird in Ethernet-Netzwerken anhand der MAC-Adresse festgelegt.

Weiterhin ist es von der Netzwerkstruktur abhängig, welche Daten ein Sniffer sehen kann. Werden die Computer mit Hubs verbunden, kann sämtlicher Traffic von den anderen Hosts mitgeschnitten werden. Wird ein Switch verwendet, ist nur wenig oder gar kein Datenverkehr zu sehen, der nicht für das sniffende System selbst bestimmt ist. Allerdings gibt es in diesem Fall mehrere Möglichkeiten wie z. B. ARP-Spoofing, ICMP-Redirects, DHCP-Spoofing oder MAC-Flooding, um trotzdem die Frames empfangen zu können. Ein Switch darf also nicht als Sicherheitsfeature gesehen werden.

Es gibt mehrere Gründe, einen Sniffer zu benutzen:

  • Diagnose von Netzwerkproblemen
  • Eindringungsversuche entdecken (Intrusion Detection Systems)
  • Netzwerktraffic-Analyse und Filterung nach verdächtigem Inhalt
  • Datenspionage

Bekannte Sniffer-Produkte und ihre Einordnung

(Produkt-Übersicht: siehe unten)

Seit Ende der 1980er-Jahre gibt es LAN-Analyzer, allgemein als „Sniffer“ bekannt (benannt nach dem ältesten und lange am weitesten verbreiteten Produkt). Daher wird im Umfeld der LAN-Analyse oft allgemein vom „Sniffer-Einsatz“ gesprochen, ohne dass damit konkret das gleichnamige Produkt gemeint sein müsste, sondern eben lediglich irgendein Produkt dieser Gattung.

Allgemein wird unterschieden zwischen:

  • Local Analyzer ↔ Remote Analyzer / Distributed AnalyzerLocal Analyzer sind klassische PC-Programme. Remote Analyzer sind in fernen LAN-Segmenten stehende Agenten, die von einer zentralen Station angesteuert werden - wie im Netzwerk-Management-Bereich lange schon üblich. Man spricht dann von Distributed Analysis. In stark durch Switching/Routing segmentierten Netzwerken ist diese Art der Analyse letztlich unverzichtbar.
  • Hardware Analyzer ↔ Software Analyzer – Wurde bis Mitte der 1990er-Jahre noch sehr stark auf Hardware-Analyzer gesetzt, haben sich heute weitgehend Software-Analyzer durchgesetzt, die auf PC-Basis arbeiten. Zwar ist in Hochleistungs-Netzwerken der Einsatz von Hardware-Analyzern weiterhin unverzichtbar; ihre hohen Kosten, die gegenüber Software-Analyzern mäßige Entwicklungsgeschwindigkeit sowie das Kapital-Risiko für den Fall von Fehlern haben die Kundschaft jedoch dazu übergehen lassen, nur dort Hardware einzusetzen, wo sie wirklich völlig unentbehrlich ist. Die Folge ist, dass kaum noch Hersteller von Hardware-Analyzern am Markt tätig sind.
  • Commercial Analyzer ↔ Non-Commercial („Open-Source“) Analyzer – Bis Ende der 1990er-Jahre hat es praktisch nur proprietäre Analyzer gegeben. Dies hat sich mit Wireshark (ehemals Ethereal) ab 1998 nach und nach geändert.

Entwicklungsgeschichte

Bis Ende der 1990er-Jahre waren die Anwender praktisch vollständig auf kommerzielle Produkte angewiesen. Deren Mangel war weniger, dass sie Geld kosteten, sondern vielmehr, dass die Hersteller am Markt vorbei arbeiteten und wichtige Bedürfnisse nicht oder zu spät erkannten. Die Folge war, dass Anwender zur Selbsthilfe griffen (siehe Wireshark). Die Folge ist eine Krise vieler kommerzieller Hersteller.

Seit ca. 2002 hat die Akzeptanz und Verbreitung des GPL-Analyzers Wireshark (früher Ethereal) immens zugenommen. Wesentliche Gründe sind, dass diese Software via Internet kostenfrei bezogen werden kann, ihre Mächtigkeit, ständige Aktualisierung und ihr Praxisbezug. Noch Ende der 1990er-Jahre waren rund zehn bedeutende kommerzielle Hersteller von LAN-Analyzern weltweit am Markt tätig (kleinere nicht mitgerechnet); inzwischen ist die Zahl der nennenswerten Hersteller auf rund fünf gesunken.

Der überaus großen Programmierergemeinde, die Wireshark inzwischen an sich binden konnte, kann auf der Seite der meisten kommerziellen Hersteller nichts mehr entgegengesetzt werden. Außerdem beteiligen sich inzwischen große Unternehmen, die eigene LAN-Protokolle verwenden, an der Entwicklung. Dass Wireshark eine offene Plattform ist, hilft beispielsweise Siemens, die eigenen Protokolle der Maschinensteuerung oder der Medizintechnik zu analysieren.

Möglicherweise entwickelt sich langfristig eine Arbeitsteilung, dass die Open-Source-Landschaft eher Software liefert, während die kommerziellen Hersteller auf leistungsfähige Hardware zielen, die im High-End-Bereich unerlässlich ist und naturgemäß von Open-Source-Projekten nicht geliefert werden kann. So hat der Hersteller Wildpackets (USA), als das Programm Wireshark noch Ethereal hieß, eine offizielle Übereinkunft mit Ethereal Inc. getroffen, die Protocol-Decodes von Ethereal in den Wildpackets-Produkten (Etherpeek, Gigapeek, Omnipeek) einzubinden (was inzwischen funktioniert).

Die vier Hersteller, die LAN-Analyzer mit leistungsfähiger Hardware liefern können, sind (Stand 2007) NetScout durch die Übernahme von Network General (Sniffer), Network Instruments (Observer) und WildPackets (EtherPeek NX, OmniPeek) und die deutsche Firma Consistec mit ihren PA2010e-Lösungen als interessante Nischenlösung für Telekom-Netzbetreiber, die sich eines modifizierten Ethereals/Wiresharks auf eigener Hardware bedienen. Weitgehend zurückgezogen bzw. auf dem Markt in Europa inzwischen eher bedeutungslos geworden sind die Hersteller Agilent (Hewlett-Packard), Acterna (Wavetec-Wandel-Goltermann) und Siemens (deren Hardware-Analyzer K1100 in den 1990er-Jahren eingestellt wurde; inzwischen engagiert sich Siemens im Wireshark-Umfeld)

Es scheint also, dass sich kommerzielle und nicht-kommerzielle (open-source) Analyzer mit der Zeit zunehmend verzahnen werden.

Einen weiteren Hinweis in diese Richtung zeigt der folgende Abschnitt.

Experten-Systeme

Ein Charakteristikum aller Produkte ist, dass der Bearbeiter in der Regel über weit fortgeschrittene Kenntnisse verfügen muss, um Protokoll-Abläufe und Protokoll-Fehler erkennen und sicher bewerten zu können. Spätestens, wenn es um Haftungsfragen geht, müssen die Aussagen letztlich auch gerichtlicher bzw. gutachterlicher Überprüfung standhalten können, müssen also zweifelsfrei sein. Nur wenige Spezialisten sind in der Lage, dieses Niveau zu liefern. Dieses Nadelöhr stellt ein Problem an sich dar.

Die Versuche, über Expertensysteme diesen Engpass zu überwinden, haben zwar große Fortschritte bewirkt, konnten aber nur sehr begrenzt erreichen, dass auch Laien sich selbst wirkungsvoll helfen konnten.

Produkt-Übersicht

Wichtige Produkte der LAN-Analyse in alphabetischer Reihenfolge:

Freie Produkte:


Proprietäre Produkte:

  • caplon (consistec)
  • Clearsight Analyzer (Clearsight Networks)
  • EtherPeek, OmniPeek, GigaPeek (WildPackets)
  • LANdecoder32 (Triticom)
  • Microsoft Network Monitor
  • NetSpector (INAT)
  • NetVCR (Niksun)
  • NetworkActiv PIAFCTM
  • Observer (Network Instruments)
  • OptiView (Fluke Networks)
  • Sniffer (NetScout, nach Übernahme von Network General)
  • TraceCommander (Synapse Networks)
  • webSensor und webProbe (Moniforce)

Siehe auch

Weblinks

 Commons: Sniffer – Sammlung von Bildern, Videos und Audiodateien

Wikimedia Foundation.

Игры ⚽ Поможем решить контрольную работу

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Sniffer —   [dt. »Schnüffler«], ein Programm zum unberechtigten Ausspionieren sensibler Daten. Der Sniffer wird in einem Netzwerk installiert und zeichnet wahllos vorüberkommende Datenpakete auf. Bei einer nachfolgenden Analyse können auf diese Weise Daten …   Universal-Lexikon

  • Sniffer — Снифер Анализатор трафика, или сниффер (от англ. to sniff нюхать) сетевой анализатор трафика, программа или программно аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика,… …   Википедия

  • sniffer — snifer ou sniffer [ snife ] v. tr. <conjug. : 1> • v. 1978; de l angl. to sniff « renifler » ♦ Anglic. (arg. de la drogue) Priser (un stupéfiant). ⇒ renifler. Snifer de la cocaïne. N. SNIF(F)EUR, EUSE . Les sniffeurs de colle. ● sniffer… …   Encyclopédie Universelle

  • Sniffer — Packet sniffer Les packet sniffers (littéralement « renifleurs de paquets », aussi connus sous le nom de renifleurs ou sniffeurs) sont des logiciels qui peuvent récupérer les données transitant par le biais d un réseau local. Ils… …   Wikipédia en Français

  • sniffer —    A small program loaded onto a system by an intruder, designed to monitor specific traffic on the network.    The sniffer program watches for the first part of any remote login session that includes the user name, password, and host name of a… …   Dictionary of networking

  • sniffer — n. 1 a person who sniffs, esp. one who sniffs a drug or toxic substances (often in comb.: glue sniffer). 2 sl. the nose. 3 colloq. any device for detecting gas, radiation, etc. Phrases and idioms: sniffer dog colloq. a dog trained to sniff out… …   Useful english dictionary

  • sniffer — noun Sniffer is used before these nouns: ↑dog …   Collocations dictionary

  • sniffer — sniff ► VERB 1) draw in air audibly through the nose. 2) (sniff at) show contempt or dislike for: the price is not to be sniffed at. 3) (sniff around/round) informal investigate something secretly. 4) (sniff out) informal discover by secret or… …   English terms dictionary

  • sniffer dog — UK [ˈsnɪfə(r) ˌdɒɡ] US [ˈsnɪfər ˌdɑɡ] noun [countable] [singular sniffer dog plural sniffer dogs] british a dog that is trained to find drugs, bombs etc by smelling Thesaurus: types …   Useful english dictionary

  • sniffer dog — sniffer dogs N COUNT A sniffer dog is a dog used by the police or army to find explosives or drugs by their smell …   English dictionary

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”