So decken Sie unerwünschte Verbindungen auf
Sie werden schnell merken: Selbst wenn Sie offensichtlich nichts am PC tun, was mit dem Internet in Verbindung zu stehen scheint, fließen doch oft Daten. Beispielsweise erscheinen Keep alive-Meldungen Ihrer Instant Messengers. Machen Sie den Test: Tauscht irgendein Programm auf Ihrem PC Daten mit dem Internet aus, ohne dass Sie das wollen? Beenden Sie den Browser, schließen Sie Ihren Mailclient und Ihren Instant Messenger. Starten Sie dann die Aufzeichnung ohne Filter: Wireshark sollte jetzt keinen Traffic mehr anzeigen. Falls doch, so sollten Sie die Ausgabe von Wireshark genau prüfen: Kommuniziert Ihr Rechner eventuell mit Ihrem Router? Oder mit einem anderen Rechner in Ihrem Netzwerk? Das müssten dann Datenpakete mit den Protokollen IGMP oder ARP sein und das wäre unbedenklich. Arbeitet in Ihrem Netzwerk vielleicht ein Netzwerkdrucker oder ein eigener Server? Auch dann wäre in gewisser Traffic okay. Lassen Sie Ihre Systemuhr vielleicht via NTP abgleichen? Das verursacht ebenfalls Traffic. Doch wenn Sie das alles ausschließen können, dann sollten Sie sich die funkenden Programme genauer anschauen - vielleicht haben Sie ja ungebetene Besucher entdeckt. Unter Umständen sollten Sie dann ein Intrusion Detection System nutzen. Den Wiresharkmitschnitt sollten in diesem Fall in einer Datei speichern und extern sichern.
Der Klassiker unter den Netzwerksniffern respektive Netzwerktraffic-Analyse-Programmen steht kostenlos und als Open Source für Windows (22,2 MB ist die Windowsversion groß), Mac OS X, Linux, Solaris, FreeBSD, NetBSD zum Download bereit. Linux-Anwender können Wireshark meist direkt über ihre Paketverwaltung installieren. Allerdings stehen in den Repositories vieler Linux-Distributionen oft veraltete Versionen bereit, gegebenenfalls müssen Sie also auch unter Linux den Sniffer von Hand installieren.
Wenn Sie die EXE-Datei für Windows installieren, bekommen Sie neben dem eigentlichen Wireshark auch noch einige andere Tools und Plugins mitgeliefert. Beispielsweise TShark für die Kommandozeile. Tshark wird wieder mit Optionen gestartet, beispielsweise: "Tshark -i Netzwerkkarte". Linux-User müssen Tshark als root nutzen, also beispielsweise mit "sudo tshark -i eth0". Außerdem werden Tools für die Behandlung der Capture-Dateien mitinstalliert. Optional wird bei Windows zudem das Windows Packet Capture (WinPcap) mitinstalliert für den Zugriff auf die Netzwerkschnittstellen. Unter Ubuntu installieren Sie Tshark separat mit "apt-get install tshark".
Für Wireshark gibt es einige Alternativen - sei es für die Kommandozeile, sei es für Firefox. Das finden Sie alles auf der nächsten Seite - zusammen mit einer umfangreichen Screenshotgalerie.