Andrea Danti - Fotolia

Was ist der Unterschied zwischen Paket-Sniffer und Protokollanalyse-Software?

Der Unterschied zwischen einem Paket-Sniffer (Packet Sniffer) und einer Protokollanalyse-Software (Protocol Analyzer) ist gar nicht so groß.

Gibt es einen Unterschied zwischen einem Paket-Sniffer (Packet Sniffer) und einer Protokollanalyse-Software (Protocol Analyzer)? Analyseprogramm hört sich komplexer an, aber stimmt das auch?

Der Sniffer ist ein Warenzeichen der alten Network General, der seine Hochzeit als DOS-basiertes Protokollanalyseprogramms feierte. Die Firma Network General erlebte dann einen zweiten Frühling unter McAfee. Network General wurde 2007 von NetScout Systems übernommen.

Manchmal wird das Wort Sniffer auch als Synonym für Protokollanalyseprogramm beziehungsweise Protocol Analyzer eingesetzt. Wie fortschrittlich ein Programm ist, hängt von den Funktionen ab, die die Software bietet. Manche können weit mehr als nur Pakete sammeln (Packet Capture) und diese entsprechend verarbeiten. Moderne Analyseprogramme bieten fortschrittliche Methoden, mit denen sich die Zeit für das Finden von Fehlern drastisch senken lässt. Aber genau wie bei Autos unterscheidet sich die Qualität der Programme von Anbieter zu Anbieter.

Eine fortschrittliche Funktion ist verteilte Analyse. Analyseprogramme der Enterprise-Klasse bieten Remote 24x7 Packet Capture, Expertenanalyse, Security-, Management- und Kontrollfunktionen. Einige Analyseprogramme unterstützen ebenfalls verteilte, drahtlose Sensoren.

Arbeiten Sie mit sehr schnellen Netzwerken wie Gigabit Ethernet, dann müssen die Protocol Analyzer spezielle Hardware unterstützen. Dazu gehören Gigabit-Netzwerkkarten mit einer integrierten CPU für präzise Zeitstempelbestimmung (Timestamp) der eingegangenen Pakete. Die Betriebssystemzeitstempel sind bei hohen Geschwindigkeiten nicht exakt genug. Weiterhin muss es Unterstützung für On-Board Packet Triggering und Filtering geben. Das System muss außerdem die beiden Datenströme einer Full-Duplex-Verbindung zusammenführen können. Eine alternative Lösung mit geringerer Performance ist der Einsatz von Hardware von der Stange, die zu einem SPAN-Port (Spiegel, Mirror) an einem Switch verbunden werden.

Eines der bekanntesten und beliebtesten Paketanalyseprogramme ist die Open Source Software Wireshark, die früher Ethereal hieß. Wireshark läuft unter Linux, BSD, Solaris, MacOS, Windows und anderen Unix-ähnlichen Betriebssystemen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Besser arbeiten mit Wireshark

Kostenloses E-Handbook: Security Scanner Nmap optimal einsetzen

Erfahren Sie mehr über Unified Communications