Was ist ein Sniffer?
Ein Sniffer (Englisch „sniff“ für schnüffeln) ist ein Softwareprogramm zur Analyse des Datenverkehrs in einem Netzwerk, die Programme werden auch als Netzwerk-, Protokoll- und Paketanalyseprogramme bezeichnet. Solch ein Tool nutzen Administratoren zur Netzwerkanalyse und Cyberkriminelle, um übertragene Daten einzusehen oder Passwörter auszuspionieren.
Wie funktioniert ein Sniffer?
Die Tools kennen den sogenannten Promiscuous Mode und Non-Promiscuous Mode. Im Promiscuous Mode überwacht der Sniffer den Datenverkehr an der in diesem Modus geschaltete Netzwerkschnittstelle. Sowohl an den Computer adressierte Frames, als auch nicht an diesen adressierte werden gesammelt. In Ethernet-Netzwerken wird der Adressat eines Frames über die MAC-Adresse festgelegt. Im Non-Promiscuous Mode snifft das Tool den ein- und ausgehenden Datenverkehr des eigenen Computers. Der Sniffer erfasst die Datenpakete, decodiert diese und legt den Inhalt offen.
Was kann ein Sniffer einsehen?
Es hängt von der Art des Netzwerks ab, was mit einem Sniffer eingesehen werden kann. Kommen im Netzwerk Hubs zum Einsatz, lässt sich der gesamte Datenverkehr anderer Hosts mitschneiden, da die Datenpakete ungerichtet an alle Rechner im Netzwerk versandt werden. Sind die PCs hingegen über Switches miteinander verbunden, sind die Möglichkeiten des Sniffers eingeschränkt. Daten, die nicht direkt an den sniffenden Computer verschickt werden, sind kaum oder gar nicht einsehbar. Um trotzdem Frames zu empfangen, eignen sich dann andere Wege wie MAC-Flooding, DHCP-Spoofing oder ICMP-Redirects.
Wann eignet sich der Einsatz eines Sniffers?
Es gibt mehrere Gründe für den sinnvollen Einsatz eines Sniffers. Die Tools dienen Administratoren zur Diagnose von Netzwerkproblemen und Aufdeckung von Einbruchsversuchen (Intrusion Detection Systems). Der Admin kann verdächtige Daten im Netzwerk analysieren und filtern. Cyberkriminelle können die Tools zur Datenspionage verwenden um in den Besitz von Anmeldedaten, Passwörtern, Bankdaten oder vergleichbaren sensiblen Informationen zu gelangen. Ein Sniffer kann auf einem kompromittierten Rechner installiert werden und so den Netzwerkverkehr abfangen. Es gibt zudem Router mit Sniffer-Fähigkeiten und vergleichbarem Funktionsumfang, solche Sniffer sind jedoch schwieriger zu erkennen.