Sniffer
Wikipedia
http://de.wikipedia.org/wiki/Hauptseite
MediaWiki 1.7alpha
first-letter
Media
Spezial
Diskussion
Benutzer
Benutzer Diskussion
Wikipedia
Wikipedia Diskussion
Bild
Bild Diskussion
MediaWiki
MediaWiki Diskussion
Vorlage
Vorlage Diskussion
Hilfe
Hilfe Diskussion
Kategorie
Kategorie Diskussion
Portal
Portal Diskussion
Sniffer
51443
16355386
2006-05-05T13:20:46Z
80.143.98.158
/* Bekannte Sniffer-Produkte und ihre Einordnung */
Ein '''Sniffer''' (engl. "to sniff" für riechen, schnüffeln) ist eine Software, die den Datenverkehr eines Netzwerks empfangen, aufzeichnen, darstellen und ggf auswerten kann. Es handelt sich also um ein Werkzeug der [[LAN-Analyse]].
== Herkunft des Begriffs ==
"Sniffer" ist ein eingetragenes Warenzeichen des Herstellers "Network General"; es bezeichnet ein Produkt der sog. [[LAN-Analyse]]. Da dieses Produkt als eines der ersten auf dem Markt war, und da sein Name so eingängig ist, hat sich der Name "Sniffer" allgemein durchgesetzt zur Bezeichnung vielfältigster Produkte der [[LAN-Analyse]], ist also inzwischen auch als Gattungs-Begriff gebräuchlich.
== Technik ==
Ein Sniffer kennt den so genannten ''non-promiscuous mode'' und den ''[[Promiscuous Mode]]''.
Im '''non-promiscuous mode''' wird der ankommende und abgehende Datenverkehr des eigenen Computers ''gesnifft''.
Im '''Promiscuous Mode''' sammelt der Sniffer den gesamten Datenverkehr an die in diesen Modus geschaltete Netzwerk[[schnittstelle]]. Es werden also nicht nur die an ihn adressierten [[Frame]]s empfangen, sondern auch die '''nicht''' an ihn adressierten. Der Adressat eines Frames wird in [[Ethernet]]-Netzwerken anhand der [[MAC-Adresse]] festgelegt.
Weiterhin ist es von der Netzwerkstruktur abhängig, welche Daten ein Sniffer sehen kann. Werden die Computer mit [[Hub (Netzwerk)|Hubs]] verbunden, kann sämtlicher Traffic von den anderen [[Host]]s mitgeschnitten werden. Wird ein [[Switch (Computertechnik)|Switch]] verwendet, ist nur wenig oder gar kein Datenverkehr zu sehen, der nicht für das sniffende System selbst bestimmt ist. Allerdings gibt es in diesem Fall mehrere Möglichkeiten wie z. B. [[ARP-Spoofing]], um trotzdem die Frames empfangen zu können. Ein Switch darf also nicht als Sicherheitsfeature gesehen werden.
Es gibt mehrere Gründe, einen Sniffer zu benutzen:
* Diagnose von Netzwerkproblemen
* Eindringungsversuche entdecken
* Netzwerktraffic-Analyse und Filterung nach verdächtigem Inhalt
* Datenspionage
== Bekannte Sniffer-Produkte und ihre Einordnung ==
''(Produkt-Übersicht: siehe unten)''
Seit Ende der 80er Jahre gibt es LAN-Analyzer, allgemein als "Sniffer" bekannt (benannt nach dem ältesten und lange am weitesten verbreiteten Produkt).
Daher wird im Umfeld der [[LAN-Analyse]] oft allgemein vom "Sniffer"-Einsatz gesprochen, ohne dass damit konkret das gleichnamige Produkt gemeint sein müsste, sondern eben lediglich ''irgendein'' Produkt dieser Gattung.
Allgemein wird unterschieden zwischen:
'''(1)''' Local Analyzer <> Remote Analyzer / Distributed Analyiezer
'''(2)''' Hardware Analyzer <> Software Analyzer
'''(3)''' Commercial Analyzer <> Non-Commercial (Open-Source) Analyzer
* '''(1)''' "Local Analyzer" sind "klassische" PC-Programme. "Remote Analyzer" sind in fernen LAN-Segmenten stehende Agenten, die von einer zentralen Station angesteuert werden - wie im Netzwerk-Management-Bereich lange schon üblich. Man spricht dann von "Distributed Analysis". In stark durch Switching/Routing segmentierten Netzwerken ist diese Art der Analyse letztlich unverzichtbar.
* '''(2)''' Wurde bis Mitte der 90er Jahre nicht sehr stark auf Hardware-Analyzer gesetzt, haben sich heute weitgehend Software-Analyzer durchgesetzt, die auf PC-Basis arbeiten. Zwar ist in Hochleistungs-Netzwerken der Einsatz von Hardware-Analyzern weiterhin unverzichtbar; ihre hohen Kosten, die gegenüber Software-Analyzern mäßige Entwicklungsgeschwindigkeit sowie das Kapital-Risiko für den Fall von Fehlern ("bugs") haben die Kundschaft jedoch dazu übergehen lassen, nur dort Hardware einzusetzen, wo sie wirklich völlig unentbehrlich ist. Die Folge ist, dass kaum noch Hersteller von Hardware-Analyzern am Markt tätig sind.
* '''(3)''' Bis Ende der 90er Jahre hat es praktisch nur kommerzielle Analyzer gegeben. Dies hat sich mit [[Ethereal]] ab 1998 nach und nach geändert.
'''Historie / Gegenwart:'''
Bis Ende der 90er Jahre waren die Anwender praktisch vollständig auf kommerzielle Produkte angewiesen. Deren Mangel war weniger, dass sie Geld kosteten, sondern vielmehr, dass die Hersteller am Markt vorbei arbeiteten und wichtige Bedürfnisse nicht oder zu spät erkannten.
Die Folge war, dass Anwender zur Selbsthilfe griffen (-> [[Ethereal]]). Die Folge ist eine Krise vieler kommerzieller Hersteller (nicht aller!).
Seit ca. 2002 hat die Akzeptanz und Verbreitung des GPL-Analyzers "Ethereal" immens zugenommen. Dies liegt nicht nur darin begründet, dass diese Software via Internet kostenfrei bezogen werden kann; es liegt erheblich auch an der Mächtigkeit, der Entwicklungsgeschwindigkeit und am Praxisbezug.
Noch Ende der 90er Jahre waren rund 10 bedeutende kommerzielle Hersteller von LAN-Analyzern weltweit am Markt tätig (kleinere nicht mitgerechnet); inzwischen ist die Zahl der nennenswerten Hersteller auf rund 5 gesunken.
Der überaus großen Programmierergemeinde, die [[Ethereal]] inzwischen an sich binden konnte, kann auf der Seite der meisten kommerziellen Hersteller nichts mehr entgegen gesetzt werden. Außerdem lassen inzwischen große Unternehmen, die eigene LAN-Protokolle verwenden, Mitarbeiter des eigenen Hauses innerhalb von Ethereal die Analysefunktionen programmieren. Dass Ethereal eine offene Plattform ist, hilft beispielsweise SIEMENS, die eigenen Protokolle der Maschinensteuerung oder der Medizintechnik analysieren zu können.
Möglicherweise entwickelt sich langfristig eine Arbeitsteilung, dass die Open-Source-Landschaft eher Software liefert, während die kommerziellen Hersteller auf leistungsfähige Hardware zielen, die im High-End-Bereich unerlässlich ist und naturgemäß von Open-Source-Projekten nicht geliefert werden kann. So hat der Hersteller Wildpackets (USA) eine offizielle Übereinkunft mit den Rechte-Inhabern von Ethereal getroffen, um die Protocol-Decodes von Ethereal in den Wildpackets-Produkten (Etherpeek,Gigapeek,Omnipeek) einbinden zu können (was inzwischen funktioniert).
Die drei Hersteller, die LAN-Analyzer mit leistungsfähiger Hardware liefern können, sind (Stand: 2005) Network General (Sniffer), Network Instruments (Observer) und WildPackets (EtherPeek NX, OmniPeek). Weitgehend zurück gezogen bzw. auf dem Markt in Europa inzwischen eher bedeutungslos geworden sind die Hersteller Agilent (Hewlett-Packard), Acterna (Wavetec-Wandel-Goltermann) und Siemens (dessen Hardware-Analyzer "K1100" in den 90er Jahren eingestellt wurde; inzwischen engagiert sich Siemens -siehe oben- im Ethereal-Umfeld).
Es scheint also, dass "Commercial Analyzer" und "Non-Commercial (Open-Source) Analyzer" sich mit der Zeit verzahnen werden, sich ergänzen werden, auf einander angewiesen sein werden.
Einen weiteren Hinweis in diese Richtung zeigt der folgende Abschnitt.
'''Experten-Systeme:'''
Ein Problem bei ALLEN Produkten ist, dass der Bearbeiter in der Regel über weit fortgeschrittene Kenntnisse verfügen muss, um Protokoll-Abläufe und Protokoll-Fehler erkennen ''und sicher bewerten'' zu können. Spätestens, wenn es um Haftungsfragen geht, müssen die Aussagen letztlich auch gerichtlicher bzw. gutachterlicher Überprüfung standhalten können, müssen also zweifelsfrei sein. Nur wenige Spezialisten sind in der Lage, dieses Niveau zu liefern. Dieses Nadelöhr stellt ein Problem an sich dar.
Die Versuche, über Expertensysteme diesen Engpass zu überwinden, haben zwar große Fortschritte bewirkt, haben aber nur sehr begrenzt erreichen können, dass auch Laien zur wirkungsvollen Selbsthilfe gelangen konnten.
'''Produkt-Übersicht'''
Wichtige Produkte der LAN-Analyse in alphabetischer Reihenfolge:
nichtkommerziell (Freeware/GPL):
* [[Ethereal]] (http://www.ethereal.com/)
* [[Ettercap]] (http://ettercap.sourceforge.net/)
* [[Tcpdump]] (http://www.tcpdump.org/)
kommerziell (Software/Hardware):
* Clearsight Analyzer (Clearsight Networks) (http://www.clearsightnet.com/)
* EtherPeek,OmniPeek,GigaPeek (WildPackets) (http://www.wildpackets.com/)
* LANdecoder32 (Triticom) (http://www.triticom.com/)
* Observer (Network Instruments) (http://www.networkinstruments.com/)
* OptiView (Fluke Networks) (http://www.flukenetworks.com/de/)
* NetVCR (Niksun) (http://www.niksun.com/)
* Sniffer (Network General) (http://www.sniffer.com/)
* TraceMagic (Synapse Networks) (http://www.tracemagic.net/)
== Siehe auch ==
* [[WLAN-Sniffer]]
* [[Keylogger]]
* [[LAN-Analyse]]
* [[Netzwerk-Analyse]]
== Weblinks ==
* http://www.easy-network.de/ethereal.html Tutorial zum bekannten Windows Sniffer Ethereal
* http://www.oxid.it/ Cain - Alleskönner by Bomber
* http://www.sniff-em.com/ Packet Sniffer
* http://www.networkgeneral.com/ Network General (ex NAI) Sniffer
* http://www.tracemagic.net/ Auswertung von Sniffer-Traces (Synapse Networks)
* http://www.ietf.org/rfc/rfc1761.txt IETF Request for Comments Nr. 1761
[[Kategorie:Spionagesoftware]]
[[ast:Sniffer]]
[[en:Packet sniffer]]
[[es:Packet sniffer]]
[[fr:Packet sniffer]]
[[id:Sniffer Paket]]
[[it:Sniffing]]
[[ja:スニッファ]]
[[jv:Sniffer Paket]]
[[nl:Packet sniffer]]
[[pl:Sniffer]]
[[ru:Sniffer]]
Diese Version des Artikels stammt vom 29.05.2006.
Der Inhalt dieser Seite basiert auf dem Artikel
„Sniffer“ aus der freien Enzyklop�die
Wikipedia und ist unter der
GNU-Lizenz f�r freie Dokumentation ver�ffentlicht. Auf der Wikipedia-Seite ist eine
Liste der Autoren einzusehen.
