Sniffing-Grundlagen

Ein Netzwerk-Sniffer besteht aus einer Reihe von Komponenten. Der so genannte "Capture Driver" klinkt sich in den Treiber der Netzwerkkarte oder des DFÜ-Adapters ein und sorgt dafür, dass alle gesendeten und empfangenen Pakete in einem Buffer zwischengespeichert werden. Über eine Reihe von Filtern kann der Sniffer sich auf Pakete beschränken, die bestimmten Kriterien wie etwa Netzwerkprotokoll, Zieladresse oder TCP-Port genügen. Da beispielsweise bei einem LAN mit 100 Mbit/s bis zu 144.000 Pakete pro Sekunde ankommen können, ist in solchen Netzen ein schneller Rechner zum Sniffen erforderlich.

Eine Analysekomponente untersucht je nach Anwendungszweck die Pakete auf Fehler bei der Datenübertragung oder auf das Vorhandensein von Hackern. Mögliche Angriffe werden anhand bestimmter Muster wie beispielsweise "Portscans" entdeckt. Bei kommerziellen Sniffern erfolgt die Analyse in Echtzeit. Das setzt natürlich ein entsprechend leistungsfähiges System voraus.

Kapselung: Beim Versenden von Netzwerkpaketen fügt jede Schicht ihre Kontrolldaten hinzu. Der Sniffer muss diese Daten wieder aufschlüsseln.

Der wichtigste Schritt ist die Dekodierung der Netzwerkpakete. Dabei bereitet der Sniffer die Pakete so auf, dass der Administrator die einzelnen Bestandteile unterscheiden kann, ohne genau zu wissen, welche Bytes zum Beispiel bei einem TCP/IP-Paket für den Zielport zuständig sind. Komfortablere Systeme suchen auch per DNS-Abfrage den Hostnamen zu IP-Adressen und bauen nötigenfalls mehrere Pakete wieder zu einem Datenstrom zusammen. Das erspart dem Administrator auch das händische Zusammensuchen der Sequenznummern in diesem Datenstrom sowie die Zuordnung der einzelnen Pakete beim Three-way-handshake.