Was ist ein Network Sniffer?
Ein Network Sniffer (deutsch „Netzwerkschnüffler“) überwacht und analysiert den Netzwerk-Verkehr. Administratoren nutzen die Software- und Hardware-Werkzeuge für die Optimierung des Netzwerks und decken damit Performance-Engpässe auf. Mithilfe der Sniffer lassen sich zum Beispiel Flaschenhälse vermeiden, die File-Sharing-Programme verursachen. Cyberkriminelle verwenden Network Sniffer für die rechtswidrige Sammlung von Netzwerkdaten.
Wie funktioniert die Technik?
Network Sniffer arbeiten im non-promiscuous Mode oder promiscuous Mode. Im erstgenannten Modus überwacht das Tool den abgehenden und eingehenden Datenverkehr des eigenen Computers. Im zweitgenannten Modus sammelt der Sniffer den Datenverkehr einer Netzwerkschnittstelle, die in diesen Modus geschaltet ist. So werden alle Frames empfangen, dabei erfolgt die Festlegung eines Adressats in Ethernet-Netzwerken über die MAC-Adresse. In Netzwerken mit Hubs kann der Sniffer sämtlichen Datenverkehr protokollieren, bei der Verwendung von Switches ist eigentlich nur der Traffic zu sehen, der für das schnüffelnde System bestimmt ist. Jedoch gibt es unter anderem mit DHCP-Spoofing, ICMP-Redirects und MAC-Flooding weitere Möglichkeiten für den Empfang solcher Frames.
Welche Produkte werden unterschieden?
Im Allgemeinen sind die Sniffer-Tools in Local und Remote Analyzer, Hardware und Software Analyser sowie Commerzial und Non-Commercial Analyzer zu unterscheiden. Bei Local Analysern handelt es sich um PC-Programme, Remote Analyzer lassen sich aus der Ferne steuern. Hardware Analyser kommen heute kaum noch zum Einsatz und werden von Software Anaylzern verdrängt. Hardware Analyzer sind heute aber weiter in Hochleistungs-Netzwerken im Einsatz. Waren bis Ende der 1990er-Jahre fast nur kommerzielle Produkte erhältlich, gibt es seit 1998 mit der Software Wireshark und weiteren Tools leistungsstarke Alternativen.