Wireshark
Wireshark ist ein Open-Source-Tool, mit dem sich Netzwerkverbindungen überwachen und die dabei gesammelten Pakete analysieren lassen. Das Programm wird deswegen auch oft als Network Analyzer, Network Protocol Analyzer oder einfach nur als Sniffer bezeichnet.
Die Software war früher Teil von Ethereal, wurde dann aber bereits vor einigen Jahren in Wireshark umbenannt. Das Programm kann genutzt werden, um Kommunikationen zum Beispiel auf dem Verbindungs-Level bis zu den einzelnen Bits zu untersuchen, aus denen die aufgezeichneten Pakete bestehen (siehe auch: Operativ arbeiten im Netzwerk: Sniffing mit Wireshark). Wireshark kann sämtliche über eine Netzwerkschnittstelle übertragenen Pakete aufzeichnen, so dass ein Administrator diese Daten in Ruhe auf Probleme und Fehler untersuchen kann. Dabei erhält er Zugriff auf zum Beispiel die Übertragungszeit, die Quelle, das Ziel, das verwendete Protokoll sowie Informationen über den kompletten Header des Pakets. Diese Daten sind nützlich, um einen sicherheitsrelevanten Vorfall zu analysieren oder um Störungen im Netzwerk zu untersuchen und zu beheben.
Welche Informationen zeigt Wireshark an?
In der Standardeinstellung zeigt Wireshark die gesammelten Informationen in drei Bereichen an. Der oberste Teil listet die gesammelten Frames in jeweils einer Zeile auf. Jedes Frame, das dort ausgewählt wird, stellt Wireshark im mittleren Bereich detaillierter dar. Hier zeigt das Tool dann genaue Informationen über die Pakete an. Dadurch lassen sie sich etwa den verschiedenen Ebenen in einem Netzwerk wie dem Data Link Layer (Datenverbindungsschicht, Sicherungsschicht), Network Layer (Netzwerkschicht), Transport Layer (Transportschicht) oder Application Layer (Anwendungsschicht) zuordnen. Im untersten Bereich zeigt das Tool zuletzt auch noch die Rohdaten des ausgewählten Frames an. Links stehen die Daten in einem hexadezimalen Format und rechts daneben in einer für Menschen leichter lesbaren ASCII-Darstellung.
Weil Wireshark auch zum Ausspionieren von Daten genutzt werden kann, sollten Unternehmen, die es einsetzen, eine klar formulierte Richtlinie dafür verfassen. Darin sollte genau festgelegt werden, wie und warum bestimmte Personen das Programm im Netzwerk nutzen dürfen, wer also die Erlaubnis bekommt, den Datenverkehr aus Sicherheitsgründen oder um Fehler zu beheben mitzuschneiden. Außerdem sollte darin beschrieben werden, wie die mit Wireshark erzeugten Protokolle gespeichert und analysiert werden dürfen und wann sie gegebenenfalls wieder gelöscht werden müssen.