Open Source im professionellen Einsatz
Linux-Magazin 09/2015
© sirikorn thamniyom, 123RF

© sirikorn thamniyom, 123RF

Ein Perl-Skript als Sniffer mit eingebauter Statistik

Lauschangriff

Zum Stöbern in vorbeirauschenden Paketen im lokalen Netzwerk leistet Platzhirsch Wireshark gute Dienste. Wer lieber eigene Tools baut, greift auf die Kommandozeilenversion Tshark zurück.

429

Online PLUS

Im Screencast demonstriert Michael Schilli das Beispiel: [http://www.linux-magazin.de/Ausgaben/2015/09/plus].

Ein schnell installiertes und einfach zu bedienendes Analysetool wie Wireshark enthüllt, dass durch den Aufruf einer einzigen Nachrichtenseite im Internet 3000 Netzwerkpakete und mehr hin und her schwirren können, die auf ein paar Dutzend verschiedenen Internetseiten die Fingerabdrücke des jeweiligen Benutzers hinterlassen.

Browser als Posaune

Jede Station im Internet, an der der User auf seinem Surftrip vorbeikommt, um seinen Nachrichtendurst zu stillen, muss ihm seine kürzlich bei Amazon begutachteten Güter wieder unter die Nase reiben und zu jedem Unfug Facebook-Like-Buttons präsentieren. Die in der Steinzeit des Internets von Netscape eingeführte Same Origin Policy für Cookies zur Wahrung der Privatsphäre ist dank Grenzdurchbrechern wie Doubleclick zur Makulatur verkommen.

Jeder User kann mittlerweile davon ausgehen, dass nicht nur die angesteuerte Seite weiß, dass er wieder da ist, sondern auch noch ein Dutzend zahlender Neugieriger. Falls der User nicht eigenhändig drastische Schritte einleitet, posaunt der Browser seine Identität samt Surfverhalten in alle Welt hinaus.

Anders als das mächtige GUI-Tool Wireshark (Abbildung 1) lässt sich das im Folgenden vorgestellte Perl-Skript einfach wie das Utility Top in einem Terminalfenster starten (Abbildung 2). Es zeigt eine nach Häufigkeit sortierte und permanent aktualisierte Liste der ermittelten Ziele aller aus der Leitung gesogenen Netzwerkpakete, wobei die Adressen via DNS in Namen aufgelöst sind.

Abbildung 1: Das Wireshark-GUI zeigt abgefangene Pakete an.
Abbildung 2: Das Skript topaddr gibt die am häufigsten gefundenen Paketadressen aus.

Eine Klippe gilt es vorab noch zu umschiffen: Der Linux-Kernel bietet einem Prozess nur dann die rohen Netzwerkpakete an, wenn dieser unter Rootrechten läuft oder über entsprechende Unix-Capabilities verfügt. Wireshark mit Rootrechten laufen zu lassen, erschien seinen Machern aber zu riskant, also bieten sie im Paket »wireshark-common« ein Verfahren an, das einen neuen Unix-User namens »wireshark« mit gleichnamiger Unix-Gruppe anlegt.

Nicht als Root

Ruft der Admin auf einem Ubuntu- oder Debian-System das Kommando

sudo dpkg-reconfigure wireshark-common

auf, peppt das Postinst-Skript das von Wireshark genutzte Capture-Skript »/usr/bin/dumpcap« entweder mit den Linux-Capabilities »cap_net_raw« und »cap_net_admin« (wenn vorhanden) oder mit einem Set-User-ID-Bit dergestalt auf, dass jedes Mitglied der Unix-Gruppe Wireshark Zugriff auf rohe Netzwerkdaten erhält. Andere Distributionen richten das bei der Paketinstallation von vornherein so ein. Der an den Rohpaketen interessierte Nutzer muss dann nur noch mittels

sudo usermod -a -G wireshark Username

der Wireshark-Gruppe beitreten, und nach erfolgtem Aus- und Einloggen kann das Paketsammeln unter dem nicht privilegierten Account beginnen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Perl-Snapshot: Lauschangriff

    Im Screencast zum Perl-Snapshot demonstriert Mike Schilli, wie sich die Wireshark-Kommandozeilenversion Tshark einsetzen lässt.

  • Bücher

    Die Bücherseite hat sich ein praktisch ausgerichtetes Buch zur Netzwerkanalyse mit Wireshark geangelt. Als Beifang gibt es ein exzentrisches Koch- und Programmierbuch aus dem Hause O'Reilly.

  • Py Side

    Die Bibliothek Py Side kombiniert Python mit den GUI-Fähigkeiten von Qt. Unter anderem bietet sie plattformunabhängige Techniken für Nebenläufigkeit und Netzwerkprogrammierung.

  • Switch

    Eigentlich wollte der Autor nur seinen neu gekauften Switch von Linux aus konfigurieren. Dabei stieß er auf eine hanebüchene Sicherheitslücke in der Firmware sowie im Managementprotokoll des Geräts. Der Hersteller hat es offenbar nicht besonders eilig, den Mangel zu beheben.

  • Licht ins Dunkel

    Im Dunkeln ist gut munkeln - doch damit ist jetzt Schluss: Der hier vorgestellte Perl-Daemon holt verborgene Vorgänge im Netz ans Licht und schlägt Alarm, wenn ihm etwas verdächtig vorkommt.

comments powered by Disqus

Ausgabe 08/2016

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.