Glossar

Sniffer und Sniffing

Die Bezeichnungen Sniffing wurde von der englischen Vokabel „sniff“ abgeleitet, die mit dem Verb „schnüffeln“ übersetzt wird. Der Begriff Sniffer ist inzwischen sowohl positiv als auch negativ besetzt, denn als Sniffer werden einerseits Programme zum Aufspüren von Problemen in Netzwerken und andererseits Hacker bezeichnet, die unter Ausnutzung von Sicherheitslücken nicht für sie bestimmte Daten aus Netzwerken abfangen. Bevorzugter Einsatzpunkt der zum Sniffing bestimmten Programme sind die Schnittstellen der einzelnen Netzwerke, gleichgültig ob es sich dabei um lokale Netzwerke oder das Internet als globales Netzwerk handelt.

Welche Techniken setzen Sniffer ein?

Sniffer unterscheiden sich nach der Art und Weise des Abgreifens von Daten. Dabei kommen der Promiscous Mode und der Non-Promiscous Mode in Frage. Nutzt ein Sniffer den Non-Promiscous Mode, kann er die eingehenden und ausgehenden Daten an einer Netzwerkschnittstelle mitlesen, während im Promiscous Mode „nur“ die eingehenden Daten abgefangen werden können. Wie viele der mithilfe der MAC-Adressen in lokalen Netzwerken und IP-Adressen im Internet adressierten Daten ein Sniffing-Programm auslesen kann, ist von der Art der im Netzwerk verwendeten Schnittstellen abhängig. Arbeit ein Netzwerk mit Hubs, kann ein Sniffing-Programm grundsätzlich alles mitlesen. Erhöhte Sicherheit gegenüber der Datenspionage der Sniffer bietet die Verwendung von Switches als Schnittstellen im Netzwerk. Um die Sicherheit der Switches zu umgehen, setzen Sniffer beispielsweise die folgenden Technologien ein:
• ARP-Spoofing
• DHCP-Spoofing
• ICMP-Redirects
• MAC-Flooding

ARP-Spoofing gehört zur Sparte der „Man-in-the-middle“-Angriffen, bei denen gefälschte ARP-Pakete verschickt werden. Das Kürzel ARP steht für das Adress Resolution Protocol und damit zur Struktur der Adresszuordnung in Netzwerken. Das Dynamic Host Configuration Protocol, oder kurz DHCP steuert die Zuweisung von Clients an einen bestimmten Server. Das Internet Control Message Protocol, kurz ICMP, steuert den Austausch von Fehlermeldungen zwischen den Clients und Servern eines Netzwerkes. Beim MAC-Flooding fälschen Sniffer die in einem Netzwerk in speziellen Listen zur korrekten Adressierung hinterlegten MAC-Adressen der angeschlossenen Clients.

Welche Ziele verfolgen Sniffer?

Die zur Gruppe Sniffing gehörenden Programme wurden eigentlich entwickelt, um durch eine spezielle Diagnose die in einem Netzwerk bestehenden Probleme rechtzeitig erkennen und beheben zu können. Andere Sniffer gehören zu den Intrusion Detection Systems, das heißt, sie dienen dazu, Angriffe auf ein Netzwerk durch die Überwachung von Prüfsummen, der Anzahl von Anmeldeversuchen und den Traffic zu erkennen. Diese Sniffer werden in der Regel als Ergänzung für eine klassische Firewall benutzt. Eine weitere Gruppe der Sniffing-Programme fungiert als Filter, mit denen verdächtige Inhalte erkannt werden können. Allerdings haben inzwischen auch Hacker das Potential der Sniffer erkannt und setzen sie zum Zwecke der Datenspionage ein.

Welche bekannten Sniffer gibt es?

Die bekanntesten Vertreter der mit GPL-Lizenz angebotenen Sniffing-Programme sind „Cain&Abel“, „Ettercap“, „Tcpdump“ und „Wireshark“. Mit proprietären Lizenzen werden unter Anderem folgende Sniffer vertrieben:
• TraceCommander
• NetSpector
• Microsoft Network Decoder
• Observer
• Clearsight Analyzer
• OptiView

Eine Besonderheit stellen die aktiven und passiven WLAN-Sniffer dar. Dazu gehören beispielsweise „Kismet“ und „NetStumbler“. Passive Sniffing-Programme für das WLAN sind besonders gefährlich, da sie einerseits nur sehr schwer entdeckt werden können, andererseits aber selbst in der Lage sind, auch mit ungewöhnlich konfigurierten WLAN-Systemen zu kooperieren. Die Datenspionage mit Passivscannern, auch Wardriving genannt, ist deshalb schwer zu erkennen, weil die Passivscanner selbst im Netzwerk nicht einmal in den Logfiles Spuren hinterlassen.

Sniffer für WLAN können nicht nur den innerhalb des lokalen Netzwerks übertragenen Datenverkehr abfangen. Sie sind beispielsweise auch in der Lage, zu erkennen, mit welchen Websites ein Client des Netzwerks interagiert. Ebenso kann damit der aus dem Internet abgerufene Mailverkehr überwacht und gefiltert werden. Das ist ein Grund, warum auch viele Geheimdienste mit Programmen der Kategorie Sniffer arbeiten.


Interessiert? Erfahren Sie mehr zum Thema "Sniffer und Sniffing" - kontaktieren Sie uns jetzt

We create for You

Unter der Überschrift „Kreation“ vereinen wir die 4 Kernkompetenzen von baseplus®: Das Design, die Entwicklung, das Online Marketing und Print, in der jeweils anmutenden Farbe. Das konsequente Color-Coding dient der optimierten Benutzerführung, die Claims kommunizieren jeden Bereich zusätzlich.

Klicken Sie hier, um zu sehen was wir meinen