Paketerfassung: Was ist das und was müssen Sie wissen

Datensicherheit

Abbildung eines Vergrößerungsglases über einem Computermonitor

Die Erfassung von Datenpaketen ist ein wichtiges Instrument, um den sicheren und effizienten Betrieb von Netzwerken zu gewährleisten. In den falschen Händen kann sie auch dazu verwendet werden, sensible Daten wie Benutzernamen und Passwörter zu stehlen. In diesem Beitrag erfahren Sie, was eine Paketerfassung ist, wie sie funktioniert, welche Tools verwendet werden und welche Anwendungsfälle es gibt.

Was ist Paketerfassung?

Paketerfassung bezieht sich auf die Aktion der Erfassung von Internetprotokoll-Paketen (IP-Paketen) zur Überprüfung oder Analyse. Der Begriff kann auch verwendet werden, um die Dateien zu beschreiben, die Paketerfassungs-Tools ausgeben, die oft im .pcap-Format gespeichert werden. Die Erfassung von Paketen ist eine gängige Fehlerbehebungstechnik für Netzwerkadministratoren und wird auch verwendet, um Netzwerkdatenverkehr auf Sicherheitsbedrohungen zu untersuchen. Nach einem Datenleck oder einem anderen Vorfall liefern Paketerfassungen wichtige forensische Hinweise, die Untersuchungen erleichtern. Aus Sicht eines Angreifers können Paketerfassungen verwendet werden, um Kennwörter und andere sensible Daten zu stehlen. Im Gegensatz zu aktiven Erkundungstechniken wie Port-Scanning kann die Erfassung von Paketen durchgeführt werden, ohne dass eine Spur für Prüfer sichtbar sein muss.

Wie funktioniert Paketerfassung?

Es gibt mehr als einen Weg, ein Paket zu erfassen! Die Paketerfassung kann von einem Netzwerkgerät wie einem Router oder Switch, von einem speziellen Gerät namens TAP, vom Laptop oder Desktop eines Analysten und sogar von mobilen Geräten aus erfolgen. Der gewählte Ansatz hängt vom jeweiligen Ziel ab. Egal, welcher Ansatz verwendet wird, die Paketerfassung funktioniert, indem Kopien einiger oder aller Pakete erstellt werden, die einen bestimmten Punkt im Netzwerk durchlaufen.

Das Erfassen von Datenpaketen von Ihrem eigenen Rechner aus ist der einfachste Weg, um damit zu beginnen, aber es gibt ein paar Vorbehalte. Standardmäßig achten Netzwerkschnittstellen nur auf den für sie bestimmten Traffic. Um einen vollständigen Überblick über den Netzwerk-Traffic zu erhalten, sollten Sie die Schnittstelle in den „Promiscuous“- oder „Monitor“-Modus versetzen. Beachten Sie, dass bei diesem Ansatz auch eine begrenzte Netzwerkansicht erfasst wird. Bei einem kabelgebundenen Netzwerk sehen Sie beispielsweise nur den Traffic auf dem lokalen Switch-Port, mit dem Ihr Computer verbunden ist.

Auf einem Router oder Switch können Netzwerkadministratoren mit Funktionen wie Port Mirroring, Port Monitoring und Switched Port Analyzer (SPAN) den Netzwerk-Traffic duplizieren und an einen bestimmten Port senden, um Pakete an eine spezielle Überwachungslösung zu exportieren. Viele Switches und Router für die gewerbliche Nutzung verfügen mittlerweile über eine integrierte Funktion zur Paketerfassung, die eine schnelle Fehlerbehebung direkt über die CLI- oder Web-Schnittstelle des Geräts ermöglicht. Andere Arten von Netzwerkgeräten wie Firewalls und drahtlose Zugangspunkte verfügen in der Regel auch über Paketerfassungsfunktionen.

Wenn Sie eine Paketerfassung in einem besonders großen oder stark ausgelasteten Netzwerk durchführen, ist ein dedizierter Netzwerk-TAP möglicherweise die beste Option. TAPs sind die teuerste Art, Pakete zu erfassen, bringen aber keine Leistungseinbußen mit sich, da es sich um dedizierte Hardware handelt.

Wie wird eine Paketerfassung gelesen?

Um eine Paketerfassung zu verstehen und zu analysieren, benötigen Sie einige grundlegende Kenntnisse über Netzwerkkonzepte, insbesondere das OSI-Modell. Auch wenn es Unterschiede zwischen den einzelnen Tools geben kann, bestehen Paketerfassungen immer aus einer Nutzlast und einigen Headern. Die Nutzlast besteht aus den eigentlichen Daten, die übertragen werden – das können Bits eines Streaming-Films, E-Mails, Ransomware oder alles andere sein, das ein Netzwerk durchläuft. Paket-Header enthalten alle wichtigen Informationen, die den Netzwerkgeräten helfen zu entscheiden, was mit den einzelnen Paketen geschehen soll. Am wichtigsten sind die Quell- und Zieladresse, aber IP-Pakete haben insgesamt 14 Header, die alles von der Serviceklasse bis zum Protokolltyp abdecken. Ein professioneller Netzwerkanalytiker wird über detaillierte Kenntnisse in all diesen Bereichen verfügen, aber ein allgemeines Verständnis der Paketstruktur ist alles, was man braucht, um mit der Behebung von Leistungsproblemen zu beginnen oder mehr über die Funktionsweise von Netzwerken zu erfahren.

Version Länge des Headers DSCP-Wert ECN Gesamtlänge des Pakets
Identifizierung Kennzeichen Fragment Offset
Time to Live (TTL) Protokoll Header-Checksumme
Quell-IP-Adresse
Ziel-IP-Adresse
Optional

 

Abgesehen von Quell- und Zieladressen können einige der wichtigsten Felder aus der Problembehebungs-Perspektive Differentiated Services Code Point (DSCP), Flags und TTL enthalten. DSCP wird verwendet, um die Dienstgüte (QoS) zu gewährleisten, und ist ein wichtiges Feld für Echtzeit-Traffic wie Voice over IP (VoIP). Flags werden meist zur Kontrolle der Paketfragmentierung verwendet und können zu einem Problem werden, wenn ein Paket mit der Flag „Nicht fragmentieren“ auch die MTU-Größe (Maximum Transmission Unit) einer Netzwerkverbindung überschreitet. TTL-Werte werden nach jedem Hop dekrementiert und können wichtige Hinweise auf den Weg eines Pakets durch das Netzwerk liefern.

Bei unverschlüsseltem Datenverkehr können Paket-Sniffer tiefer graben als nur in den Kopfzeilen und die eigentliche Nutzlast untersuchen. Dies kann bei der Behebung von Netzwerkproblemen sehr nützlich sein, stellt aber auch ein potenzielles Sicherheitsproblem dar, wenn sensible Daten wie Benutzernamen und Kennwörter vorhanden sind. Um die Bedeutung hinter der Nutzlast eines Pakets zu verstehen, sind Kenntnisse des verwendeten Protokolls erforderlich.

Anwendungen für die Paketerfassung und Netzwerkanalyse enthalten häufig Tools zum Filtern, Visualisieren und Prüfen großer Datenmengen. Diese Tools ermöglichen eine Analyse, die durch eine manuelle Untersuchung einer Paketerfassung nicht möglich ist. Erfassungsdateien können auch in ein Intrusion Detection System/Protection System (IDS/IPS)Security Information and Event Management System (SIEM) oder andere Arten von Sicherheitsprodukten eingespeist werden, um nach Anzeichen für einen Angriff oder ein Datenleck zu suchen.

Formate, Bibliotheken und Filter, oje!

Wenn es um Paketerfassungen geht, gibt es eine Reihe verwandter Begriffe, die ziemlich schnell verwirrend werden können. Im Folgenden werden einige der gebräuchlichsten und wichtigsten Begriffe erläutert, die Sie hören könnten:

Paketerfassungsformate

Während Paketerfassungs-Tools wie Wireshark verwendet werden können, um den Datenverkehr in Echtzeit zu untersuchen, ist es üblicher, die Aufzeichnungen für eine spätere Analyse in einer Datei zu speichern. Die Dateien können in vielen verschiedenen Formaten gespeichert werden. .pcap -Dateien sind am häufigsten und in der Regel mit einer Vielzahl von Netzwerkanalysatoren und anderen Werkzeugen kompatibel. .pcapng baut auf dem einfachen .pcap-Format auf, aber mit neuen Feldern und Funktionen, und ist jetzt das Standardformat beim Speichern von Dateien in Wireshark. Einige kommerzielle Tools können auch proprietäre Formate verwenden.

Bibliotheken

Bibliotheken wie libpcap, winpcap und npcap sind die wahren Stars der Paketerfassung, da sie sich in den Netzwerk-Stack eines Betriebssystems einklinken und die Möglichkeit bieten, Pakete zu untersuchen, die sich zwischen Schnittstellen bewegen. Viele dieser Bibliotheken sind Open-Source-Projekte, sodass Sie sie wahrscheinlich in einer Vielzahl von kommerziellen und kostenlosen Paketerfassungstools finden. In manchen Fällen müssen Sie die Bibliothek getrennt vom Tool installieren.

Filtern

Die vollständige Paketerfassung kann ziemlich viel Platz in Anspruch nehmen und mehr Ressourcen vom Erfassungsgerät verlangen. Außerdem ist sie in den meisten Fällen übertrieben – die interessantesten Informationen sind in der Regel nur ein kleiner Teil des gesamten beobachteten Traffics. Paketerfassung wird häufig gefiltert, um die relevanten Informationen herauszufischen. Dies kann von der Nutzlast über die IP-Adresse bis hin zu einer Kombination von Faktoren reichen.

Tools für die Paketerfassung

Für die Erfassung und Analyse der Pakete, die Ihr Netzwerk durchqueren, steht eine große Anzahl verschiedener Tools zur Verfügung. Diese nennt man manchmal auch „Paket Sniffer“. Hier sind einige der beliebtesten:

Wireshark

Wireshark ist für viele Netzwerkadministratoren, Sicherheitsanalysten und Computerfreaks das Tool schlechthin, um Pakete zu erfassen. Mit einer übersichtlichen grafischen Benutzeroberfläche und einer Vielzahl von Funktionen zum Sortieren, Analysieren und Verstehen des Datenverkehrs vereint Wireshark Benutzerfreundlichkeit und leistungsstarke Funktionen. Das Wireshark-Paket enthält auch ein Befehlszeilenprogramm namens tshark.

tcpdump

Leichtgewichtig, vielseitig und auf vielen UNIX-ähnlichen Betriebssystemen vorinstalliert, ist tcpdump der wahrgewordene Traum eines CLI-Junkies, wenn es um die Erfassung von Paketen geht. Dieses Open-Source-Tool kann schnell Pakete für die spätere Analyse in Tools wie Wireshark erfassen, verfügt aber auch über zahlreiche eigene Befehle und Schalter, um große Mengen an Netzwerkdaten sinnvoll zu verarbeiten.

SolarWinds Network Performance Monitor

Dieses kommerzielle Tool ist seit langem wegen seiner Benutzerfreundlichkeit, der Visualisierungen und der Möglichkeit, den Traffic nach Anwendungen zu klassifizieren, sehr beliebt. Es kann zwar nur auf Windows-Plattformen installiert werden, kann aber den Datenverkehr von jedem Gerätetyp erfassen und analysieren.

ColaSoft Capsa

ColaSoft stellt einen kommerziellen Packet Sniffer her, der sich an gewerbliche Kunden richtet, bietet aber auch eine abgespeckte Version an, die sich an Studenten und Einsteiger in die Netzwerktechnik richtet. Das Tool verfügt über eine Vielzahl von Überwachungsfunktionen, die bei der Fehlersuche und -analyse in Echtzeit helfen.

Kismet

Kismet ist ein Dienstprogramm zur Erfassung des drahtlosen Datenverkehrs und zur Erkennung drahtloser Netzwerke und Geräte. Dieses Tool ist für Linux-, Mac- und Windows-Plattformen verfügbar und unterstützt eine breite Palette von Erfassungsquellen, darunter Bluetooth- und Zigbee-Funkgeräte. Mit dem richtigen Setup können Sie Pakete von allen Geräten im Netzwerk erfassen.

Paketerfassung und Anwendungsfälle für Packet Sniffer

Der Begriff „Packet Sniffer“ kann zwar Bilder von Hackern heraufbeschwören, die heimlich sensible Kommunikation abhören, es gibt aber viele legitime Verwendungszwecke für einen Packet Sniffer. Im Folgenden werden einige typische Anwendungsfälle für Paket Sniffer beschrieben:

Asset-Ermittlung/Passive Erkundung 

Pakete enthalten Quell- und Zieladressen, sodass eine Paketerfassung verwendet werden kann, um aktive Endgeräte in einem bestimmten Netzwerk zu entdecken. Mit ausreichend Daten ist es sogar möglich, einen Fingerabdruck der Endgeräte zu erstellen. Wenn dies zu legitimen Geschäftszwecken geschieht, nennt man dies „Erkundung“ oder „Bestandsaufnahme“. Die passive Natur einer Paketerfassung macht sie jedoch zu einer hervorragenden Möglichkeit für böswillige Angreifer, Informationen für weitere Angriffsschritte zu sammeln. Natürlich kann dieselbe Technik auch von Red Teamern verwendet werden, um die Sicherheit eines Unternehmens zu testen.

Fehlerbehebung

Bei der Behebung von Netzwerkproblemen kann die Untersuchung des gegenwärtigen Netzwerk-Traffics das effektivste Mittel sein, um die Grundursache eines Problems einzugrenzen. Mit Paket Sniffern können Netzwerkadministratoren und -techniker den Inhalt von Paketen einsehen, die das Netzwerk durchlaufen. Dies ist eine wichtige Funktion bei der Fehlerbehebung bei grundlegenden Netzwerkprotokollen wie DHCP, ARP und DNS. Paketerfassungen zeigen jedoch nicht den Inhalt des verschlüsselten Netzwerk-Datenverkehrs an.

Das „Sniffing“ von Paketen kann dabei helfen, sicherzustellen, dass der Traffic den richtigen Pfad im Netzwerk einschlägt und die korrekte Präzedenz eingeräumt wird. Ein überlasteter oder fehlerhafter Netzwerk-Link ist oft leicht in einer Paketerfassung zu erkennen, da nur eine Seite einer typischerweise zweiseitigen Konversation vorhanden ist. Verbindungen mit einer großen Anzahl von Wiederholungsversuchen oder verworfenen Paketen sind oft ein Hinweis auf einen überlasteten Link oder fehlerhafte Netzwerkhardware.

Erkennung von Eindringlingen

Verdächtiger Netzwerkverkehr kann als Paketerfassung gespeichert und zur weiteren Analyse in eine IDS-, IPS- oder SIEM-Lösung eingespeist werden. Angreifer geben sich große Mühe, nicht aus dem normalen Netzwerkverkehr hervorzustechen, aber eine sorgfältige Inspektion kann verdeckten Datenverkehr aufdecken. Bekannte bösartige IP-Adressen, verräterische Nutzungsdaten und andere winzige Details können auf einen Angriff hindeuten. Selbst etwas so Harmloses wie eine DNS-Anfrage kann, wenn es in regelmäßigen Abständen wiederholt wird, ein Anzeichen für einen Command-and-Control-Beacon sein.

Ereignisreaktion und Forensik

Paketerfassungen bieten den für Zwischenfälle Verantwortlichen eine einzigartige Gelegenheit. Angreifer können Maßnahmen ergreifen, um ihre Spuren auf den Endpoints zu verwischen, aber sie können Pakete, die bereits ein Netzwerk durchquert haben, nicht mehr zurücknehmen. Egal, ob es sich um Malware, Datenexfiltration oder eine andere Art von Vorfällen handelt, Paketerfassung kann oft Anzeichen eines Angriffs erkennen, den andere Sicherheits-Tools übersehen. Da ein Paket-Header immer sowohl eine Quell- als auch eine Zieladresse enthält, können Incident Response-Teams mithilfe von Paketerfassungen den Pfad eines Angreifers über das Netzwerk verfolgen oder Anzeichen dafür erkennen, dass Daten aus dem Netzwerk herausgefiltert werden.

Wie bereits erwähnt, sind Paketerfassungen für Netzwerkadministratoren und Sicherheitsteams eine enorme Bereicherung. Sie sind jedoch nicht die einzige Option für die Überwachung des Netzwerk-Traffics, und es kann Fälle geben, in denen Dinge wie SNMP oder NetFlow die bessere Wahl sind. Im Folgenden werden einige der Vor- und Nachteile der Verwendung von Paketerfassungen erläutert:

Der Vorteil: Vollständigster Blick auf den Netzwerk-Traffic

Bei der Paketerfassung handelt es sich definitionsgemäß um ein Duplikat der tatsächlichen Pakete, die ein Netzwerk oder eine Netzwerkverbindung durchlaufen. Daher wird der Netzwerk-Traffic möglichst gründlich untersucht. Paketerfassungen enthalten ein hohes Maß an Details, die nicht in anderen Überwachungslösungen verfügbar sind, darunter die komplette Nutzlast, alle IP-Header-Felder und in vielen Fällen sogar Informationen über die Erfassungsschnittstelle. Dies kann dazu führen, dass die die Paketerfassung in Fällen, in denen viele Details erforderlich sind, die einzige brauchbare Lösung ist.

Vorteil: Kann zur weiteren Analyse gespeichert werden.

Die erfassten Pakete können für weitere Analysen oder Prüfungen in den Standardformaten .pcap und .pcapng gespeichert werden. So kann z. B. verdächtiger Datenverkehr von einem Netzwerktechniker gespeichert und später von einem Sicherheitsanalysten überprüft werden. Eine Vielzahl von Tools unterstützt dieses Format, darunter auch Sicherheitsanalyse-Tools. Es ist auch möglich, eine Paketerfassung mit mehreren Stunden an Daten zu speichern und zu einem späteren Zeitpunkt zu überprüfen.

Vorteil: Hardwareunabhängig

SNMP und NetFlow erfordern beide Unterstützung auf der Ebene der Netzwerkhardware. Beide Technologien erfreuen sich zwar umfassender Unterstützung, sind aber nicht universell verfügbar. Es kann auch Unterschiede in der Art und Weise geben, wie jeder Anbieter sie implementiert. Paketerfassung hingegen erfordert keinen speziellen Hardware-Support und kann von jedem Gerät, das Zugriff auf das Netzwerk hat, durchgeführt werden.

Nachteil: Große Dateigrößen 

Die vollständige Paketerfassung kann große Mengen an Speicherplatz beanspruchen – in einigen Fällen bis zu 20 Mal so viel Speicherplatz wie andere Optionen. Selbst bei Anwendung von Filtern kann eine einzelne Erfassungsdatei viele Gigabytes an Speicherplatz benötigen. Das kann dazu führen, dass Paketerfassungen nicht langfristig gespeichert werden können. Diese großen Dateigrößen können auch zu langen Wartezeiten beim Öffnen einer .pcap-Datei in einem Netzwerkanalysetool führen.

Nachteil: Zu viele Informationen

Während Paketerfassungen einen sehr vollständigen Einblick in den Netzwerk-Traffic bieten, sind sie häufig zu umfassend. Relevante Informationen gehen oft in riesigen Datenmengen verloren. Analysetools verfügen über Funktionen zum Ordnen, Sortieren und Filtern von Erfassungsdateien, aber für viele Anwendungsfälle sind andere Optionen besser geeignet. Oft ist es möglich, mit den zusammengefassten Versionen des Netzwerk-Traffics, die in anderen Überwachungslösungen zur Verfügung stehen, Fehler in einem Netzwerk zu beheben oder Anzeichen eines Angriffs zu erkennen. Ein gängiger Ansatz ist die Verwendung einer Technologie wie NetFlow, um den gesamten Datenverkehr zu überwachen und bei Bedarf auf eine vollständige Paketerfassung umzuschalten.

Nachteil: Feststehende Felder

Die neuesten Versionen von NetFlow ermöglichen anpassbare Datensätze, d. h. Netzwerkadministratoren können wählen, welche Informationen sie erfassen möchten. Da eine Paketerfassung auf der bestehenden Struktur eines IP-Pakets basiert, gibt es keinen Raum für Anpassungen. Dies mag kein Problem sein, aber je nach Anwendungsfall ist es nicht unbedingt erforderlich, alle Felder eines IP-Pakets zu erfassen.

FAZIT

Die Erfassung von Datenpaketen ist von unschätzbarem Wert für die Fehlersuche und Sicherheit, sollte aber nie das einzige Tool sein, auf das sich ein Netzwerkadministrator oder Sicherheitsingenieur verlässt. Die zunehmende Verwendung von Verschlüsselungen sowohl für legitime als auch für illegale Zwecke schränkt die Wirksamkeit von Tools wie Wireshark ein. Paketerfassungen geben dem Incident-Response-Team auch nicht viel Aufschluss darüber, welche Aktionen auf einem Host stattgefunden haben. Es könnten Dateien geändert, Prozesse versteckt und neue Benutzerkonten erstellt worden sein, ohne dass ein einziges Paket erzeugt wurde. Die Varonis Data Protection-Plattform bietet eine datenzentrierte Sicht auf Ihr Unternehmen, die Bedrohungen erkennen kann, die im Netzwerk unentdeckt bleiben. Wie immer sollten Sie darauf achten, dass Sie Ihr Netzwerk gründlich verteidigen und bewährte Verfahren anwenden. Und wenn Sie bereit sind, Varonis in Ihr Sicherheitsprogramm aufzunehmen, vereinbaren Sie einen Termin für eine persönliche Demonstration!

Avatar

Robert Grimmick

Robert ist ein IT- und Cybersicherheitsberater in Südkalifornien. Es macht ihm Spaß, sich über die neuesten Bedrohungen in der Computersicherheit zu informieren.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990