Netzwerk-Sniffing: Wie Sie mit Wireshark VoIP-Datenpakete abfangen

Damit Sie besser verstehen, welche Daten durch ihr Netzwerk wandern, können Sie mit Wireshark Datenpakete des VoIP-Traffics abfangen und analysieren.

Unified Communication (UC) verwischt die Grenze zwischen Sprach- und Daten-Kommunikation. Es ist noch nicht lange her, da waren SS7- (Signaling System 7) und IP-Kommunikation komplett eigene Bereiche. Beide wurden gleich behandelt und gleichermaßen genutzt. Derzeit gibt es einen Trend, Sprach- und Daten-Kommunikation über dieselbe Netzwerk-Infrastruktur zu verwenden. Durch diese Entwicklung wird es immer wichtiger, dass man genau versteht, was durch das Netzwerk fließt. Ein effizientes Tool für das Abfangen und Analysieren von Datenpaketen ist das kostenlose Wireshark.

VoIP-Sniffing mit Wireshark

Ein großer Vorteil von Voice over IP (VoIP) ist, dass Netzwerk-Administratoren diesen Traffic relativ einfach mit Wireshark sniffen können. In neueren Versionen von Wireshark gibt es einen kompletten Softwarebereich, der ausschließlich für die Analyse von VoIP-Traffic entwickelt wurden. Sie können VoIP-Pakete abfangen (Packet Capture), indem Sie das „Telephony“-Menü auf der Wireshark-Capture-Page nutzen.

 

Eine effektive Möglichkeit für das Traffic-Capturing in einem Netzwerk ist, Wireshark auf dem VoIP-Server zu installieren. Verwenden Sie einen Server mit Asterisk Session Initiation Protocol (SIP), möchten Sie vielleicht auch einen GNOME- oder KDE-Desktop installieren, um die Nutzung zu vereinfachen. Alternativ gibt es schlankere Desktop-Umgebungen, wie LXDE oder IceWM. Linux-Puristen sehen eine grafische Oberfläche (GUI) auf einem Server eventuell nicht gerne und bevorzugen die Kommandozeileneingabe von Wireshark: TShark. Allerdings bietet TShark nicht die reichhaltige Auswahl von Grafiken und anderen Analyse-Tools, die Sie vielleicht erwarten würden. Das Capturing lässt sich auch mit TShark ausführen, wobei man das Ergebnis auf einen anderen Rechner überträgt. Dort können die Daten anschließend mit Wireshark analysiert werden.

Nachdem Sie Wireshark auf dem VoIP-Server installiert haben, öffnen Sie die Software und wählen die Schnittstelle, auf der das Capture erscheint. Klicken Sie auf den Start-Button. Nun sollten die abgefangenen Pakete über den Bildschirm laufen.

Stellen Sie sicher, dass mindestens zwei Endgeräte am SIP-Server registriert sind und rufen Sie von einem Gerät das andere an. SIP-fähige Endgeräte können VoIP-Telefone, Videokonferenzgeräte und Softphones, die auf einer Workstation installiert sind, sein.

Nachdem Sie genügend Pakete abgefangen haben, um damit eine ausreichend große Beispiel-Datei zu erzeugen, beenden Sie den Anruf. Stoppen Sie gleichzeitig das Capturing. „Ausreichend groß“ ist in diesem Fall natürlich subjektiv und das Volumen wird sicher von Netzwerk zu Netzwerk variieren. Sind allerdings nur zwei Telefone und ein Server involviert, können Sie das Capturing nach geschätzten zehn bis 15 Sekunden beenden. Damit sollten Sie mindestens 4000 bis 5000 Pakete zur Verfügung haben.

Sobald das Capturing mit Wireshark erfolgreich abgeschlossen ist, wollen Sie natürlich überprüfen, ob Sie die Daten korrekt analysieren können. Im zweiten Teil des Tipps zeigen wir, wie Sie Wireshark Packet Captures richtig filtern und ein genaues Bild Ihres VoIP-Traffics erhalten.

 

Erfahren Sie mehr über Netzwerksicherheit