Sniffing: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
KKeine Bearbeitungszusammenfassung
 
(6 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 2: Zeile 2:
'''Sniffing''' (eng. für "schüffeln") bezeichnet das Erfassen, Loggen und Mitlesen von Datenverkehren aus Computer-Netzwerken. Das für diese Netzwerkanalyse benötigte Werkzeug wird Sniffer genannt.  
'''Sniffing''' (eng. für "schüffeln") bezeichnet das Erfassen, Loggen und Mitlesen von Datenverkehren aus Computer-Netzwerken. Das für diese Netzwerkanalyse benötigte Werkzeug wird Sniffer genannt.  


== Sniffer-Arten ==
== Packet-Sniffer ==
=== Packet-Sniffer ===
Ein Packet-Sniffer ist ein Tool, das sämtliche Datenpakete im Netzwerk, unabhängig ihres Ziels erfasst.
Ein Packet-Sniffer ist ein Tool, das sämtliche Datenpakete im Netzwerk, unabhängig ihres Ziels erfasst.


==== Arbeitsweise ====
=== Arbeitsweise ===
Beim Sniffing werden zwei Modi der Netzwerkschnittstelle genutzt.  
Beim Sniffing werden zwei Modi der Netzwerkschnittstelle genutzt.  
* Im Non-Promiscous-Mode (nicht vermischt) lassen sich Datenverkehre mitschneiden, die an den eigenen Knoten ankommen und von diesem gesendet werden.  
* Im Non-Promiscous-Mode (nicht vermischt) lassen sich Datenverkehre mitschneiden, die an den eigenen Knoten ankommen und von diesem gesendet werden.  
Zeile 12: Zeile 11:
Der Packet-Sniffer besteht aus den zwei Modulen: Packet-Analyser und Packet-Capture (pcap). Während der Packet-Analyser auf Applikations-Ebene des OSI-Schichtenmodells arbeitet, nutzt der pcap alle weiteren Schichten. Beide Module kommunizieren miteinander, wodurch der Analyser den pcap beim Erfassen unterstützt.
Der Packet-Sniffer besteht aus den zwei Modulen: Packet-Analyser und Packet-Capture (pcap). Während der Packet-Analyser auf Applikations-Ebene des OSI-Schichtenmodells arbeitet, nutzt der pcap alle weiteren Schichten. Beide Module kommunizieren miteinander, wodurch der Analyser den pcap beim Erfassen unterstützt.


==== Verwendung ====
=== Verwendung in der IT-Forensik ===
In der IT-Forensik werden Netzwerkanalysetools genutzt um bei Sicherheitsvorfällen Einbrüche (Intrusions) zu erkennen und Datenabflüsse aus Netzwerken kenntlich zu machen.
In der IT-Forensik werden Netzwerkanalysetools genutzt, um Sicherheitsvorfälle Einbrüche (Intrusions) zu erkennen und Datenabflüsse aus Netzwerken kenntlich zu machen.


=== WLAN-Sniffer ===
== WLAN-Sniffer ==
WLAN-Sniffer scannen die Umgebung auf vorhandene Netzwerke, prüfen teilweise auf einfache Passwörter, schneiden auch verschlüsselte Verkehre mit und können mitunter Netzwerklandkarten mit GPS-Informationen erstellen
WLAN-Sniffer scannen die Umgebung auf vorhandene Netzwerke, prüfen teilweise auf einfache Passwörter, schneiden auch verschlüsselte Verkehre mit und können mitunter Netzwerklandkarten mit GPS-Informationen erstellen
==== Arbeitsweise ====
 
=== Arbeitsweise ===
WLAN-Adapter werden zum Channelhopping genutzt und hören passiv mit.
WLAN-Adapter werden zum Channelhopping genutzt und hören passiv mit.
==== Verwendung ====
 
In der IT-Forensik werden WLAN-Sniffer genutzt um Netzwerklaufwerke an Tatorten ausfindig zu machen.
=== Verwendung in der IT-Forensik ===
In der IT-Forensik werden WLAN-Sniffer unter anderem genutzt, um Netzwerklaufwerke an Tatorten ausfindig zu machen.


== bekannte Werkzeuge ==
== bekannte Werkzeuge ==

Aktuelle Version vom 2. August 2019, 16:49 Uhr

Sniffing (eng. für "schüffeln") bezeichnet das Erfassen, Loggen und Mitlesen von Datenverkehren aus Computer-Netzwerken. Das für diese Netzwerkanalyse benötigte Werkzeug wird Sniffer genannt.

Packet-Sniffer

Ein Packet-Sniffer ist ein Tool, das sämtliche Datenpakete im Netzwerk, unabhängig ihres Ziels erfasst.

Arbeitsweise

Beim Sniffing werden zwei Modi der Netzwerkschnittstelle genutzt.

  • Im Non-Promiscous-Mode (nicht vermischt) lassen sich Datenverkehre mitschneiden, die an den eigenen Knoten ankommen und von diesem gesendet werden.
  • Der Promiscous-Mode (vermischt) hingegen erlaubt das Mitschneiden aller (auch fremder) Verkehre. Die Sichtbarkeit der Daten ist hierbei abhängig von der Netzwerkstruktur.

Der Packet-Sniffer besteht aus den zwei Modulen: Packet-Analyser und Packet-Capture (pcap). Während der Packet-Analyser auf Applikations-Ebene des OSI-Schichtenmodells arbeitet, nutzt der pcap alle weiteren Schichten. Beide Module kommunizieren miteinander, wodurch der Analyser den pcap beim Erfassen unterstützt.

Verwendung in der IT-Forensik

In der IT-Forensik werden Netzwerkanalysetools genutzt, um Sicherheitsvorfälle Einbrüche (Intrusions) zu erkennen und Datenabflüsse aus Netzwerken kenntlich zu machen.

WLAN-Sniffer

WLAN-Sniffer scannen die Umgebung auf vorhandene Netzwerke, prüfen teilweise auf einfache Passwörter, schneiden auch verschlüsselte Verkehre mit und können mitunter Netzwerklandkarten mit GPS-Informationen erstellen

Arbeitsweise

WLAN-Adapter werden zum Channelhopping genutzt und hören passiv mit.

Verwendung in der IT-Forensik

In der IT-Forensik werden WLAN-Sniffer unter anderem genutzt, um Netzwerklaufwerke an Tatorten ausfindig zu machen.

bekannte Werkzeuge

unvollständige Liste in alphabetischer Reihenfolge

Weblinks

  1. https://forensicswiki.org/wiki/Sniffer
  2. en.wikipedia.org - Packet analyzer
  3. https://www.elektronik-kompendium.de/sites/net/1403011.htm

Literaturquellen

Dr. Charu Gandhi, Gaurav Suri, Rishi P. Golyan, Pupul Saxena, Bhavya K. Saxena: Packet Sniffer – A Comparative Study International Journal of Computer Networks and Communications Security Vol. 2 (179–187), No. 5, 2014, S. 1, 188